home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #1 / NN_1993_1.iso / spool / comp / virus / 4886 < prev    next >
Encoding:
Internet Message Format  |  1993-01-12  |  1.9 KB

  1. Path: sparky!uunet!spool.mu.edu!howland.reston.ans.net!zaphod.mps.ohio-state.edu!cis.ohio-state.edu!news.sei.cmu.edu!cert!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  3. Newsgroups: comp.virus
  4. Subject: Re: Vshield vs Virstop (PC)
  5. Message-ID: <0015.9301121242.AA22066@barnabas.cert.org>
  6. Date: 7 Jan 93 13:44:59 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 34
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. bill.lambdin%acc1bbs@ssr.com (Bill Lambdin) writes:
  12.  
  13. > There are several problems with the integrity checking by Scan, and 
  14. > Vshield.
  15. >  
  16. > 1. Some programs will not run after the CRC is added to the file. So it is 
  17. >    necessary to remove the CRC. Scan filename /RV will remove the CRC.
  18.  
  19. Yes, but there is another option, which puts the checksums in a
  20. separate file, instead of attached to the checksummed executables.
  21. Nevertheless, there are much more serious problems:
  22.  
  23. > 2. These CRCs will not detect stealth infectors because stealth viruses 
  24. >    disinfects infected files when an infected file is opened for any 
  25. >    reason.
  26.  
  27. > 3. These CRCs will not detect the presence of companion infectors because 
  28. >    these companion infectors do not attach to files.
  29.  
  30.   4. The particular CRCs used are trivial to forge.
  31.  
  32.   5. The integrity checker is not aware of many of the existing
  33. attacks against integrity checking software (described in my paper).
  34. You mentioned two of them - stealth viruses and companion viruses, but
  35. there are many more and almost any of them can be used to bypass the
  36. integrity checking of VShield.
  37.  
  38. Regards,
  39. Vesselin
  40. - -- 
  41. Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
  42. Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
  43. < PGP 2.1 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
  44. e-mail: bontchev@fbihh.informatik.uni-hamburg.de    D-2000 Hamburg 54, Germany
  45.