home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #18 / NN_1992_18.iso / spool / comp / virus / 3609 < prev    next >
Encoding:
Internet Message Format  |  1992-08-19  |  6.2 KB
  1. Path: sparky!uunet!mcsun!uknet!doc.ic.ac.uk!ibmassc!yktnews!admin!newsgate.watson.ibm.com!news.ans.net!malgudi.oar.net!zaphod.mps.ohio-state.edu!darwin.sura.net!jvnc.net!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  3. Newsgroups: comp.virus
  4. Subject: Re: victor charlie (PC)
  5. Message-ID: <0008.9208191546.AA13760@barnabas.cert.org>
  6. Date: 18 Aug 92 12:47:18 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 122
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. james.roy@synapse.isis.org (James Roy) writes:
  12.  
  13. > It takes a radically different approach to virus control than McAfee's
  14. > products.  It is a generic product which looks for virus activity and
  15. > can detect all viruses even those previously unknown.
  16.  
  17. It is very dangerous to make claims that a single anti-virus program
  18. is able (in its current state) to detect any possible viruses -
  19. including the currently unknown ones... In all cases I have seen,
  20. programs which made such claims could be easily bypassed just by a
  21. combination of the currently existing virus techniques. Some of them
  22. could be bypassed even by some of the existing viruses...
  23.  
  24. >   - a quick (3 second) routine which runs bait files and checks key
  25. >   files and areas to detect active viruses. 
  26.  
  27. This can be circumvented in different ways:
  28.  
  29. 1) The "bait file" technique is not able to detect boot sector
  30. infectors, non-resident, or companion viruses.
  31.  
  32. 2) If the names of the generated bait files are easily predictable, a
  33. targeted virus can easily avoid to infect them.
  34.  
  35. 3) A virus which infects only sometimes, or only files with particular
  36. properties, may just not want to infect the bait files.
  37.  
  38. > Once detected the signature
  39. >   of the virus is captured in real time and a reboot is forced to purge
  40. >   it from memory.  Because of this feature you do not have to depend on
  41. >   updates from the developer nor risk extensive damage to your files due
  42. >   to a virus unknown to the version of the scanner you have;
  43.  
  44. This method (on-the-fly scan string capturing) fails miserably with
  45. polymorphic viruses. As to the damage - if the user is "lucky" enough,
  46. the payload of the virus may trigger and cause significant damage -
  47. which would not happen, had the virus been previously detected by a
  48. scanner.
  49.  
  50. >   - an audit routine that allows you to record encrypted checksums of
  51. >   all your executable files and later run a comparison.  This will
  52. >   detect all changes to files and allow you to track down elusive
  53. >   viruses;
  54.  
  55. An integrity checker, that is. This is a very powerful tool for virus
  56. detection, but there are some pitfalls:
  57.  
  58. 1) If an intelligent stealth virus is active in memory during the
  59. integrity check, the integrity checker will be unable to spot the
  60. modifications.
  61.  
  62. 2) There are several possible virus attacks against integrity checking
  63. programs, that a virus could use. Companion viruses and DOS-file
  64. fragmentation are two of them. Most of these attacks can be easily
  65. stopped by the integrity checking software, but the producers of this
  66. software must know about them and take some steps to stop them.
  67. Sincerely, do you know what the DOS-file fragmentation attack consists
  68. in, and does the integrity checking part of your product take care of
  69. it?
  70.  
  71. 3) A specific kind of viruses - the so-called slow viruses, cannot be
  72. stopped by integrity checking programs. I mean, there is no practical
  73. way to do it, not that they are theoretically unstoppable. More
  74. exactly, I do not know about any practical way to stop them.
  75.  
  76. > VC is a highly secure product designed to foil viruses which may be
  77. > specifically written to attack it.
  78.  
  79. Viruses, written to specifically attack a particular product, usually
  80. do not spread very far, but they are particularly dangerous against
  81. this product, if they are well implemented. Why do you think that your
  82. product is so secure? What steps does it take to prevent a targeted
  83. attack?
  84.  
  85. > It currently does not use a TSR due to the vulnerability of TSR virus
  86. > monitors to such targeted viruses.  VC's checks are easily put into your
  87. > applications menu or batch files which allow it to be run automatically
  88. > (and silently) frequently during your computing day.
  89.  
  90. A (rather stupid) targeted attack I can think of would be to inspect
  91. the programs started from CONFIG.SYS and AUTOEXEC.BAT, "scan" them for
  92. the "scan string" of your program, and delete them, or even better -
  93. replace them with the virus.
  94.  
  95. BTW, how does your product react if the database of file checksums
  96. suddenly disappears? There are at least two viruses, which attack
  97. integrity checkers in this way, and they do it rather successfully...
  98.  
  99. > It is, one might say, a scanner in reverse.  Rather than relying on
  100. > scanning new files for viruses which the scanner knows about, VC is run
  101. > after a new application is run to see if any viruses have gone active.
  102.  
  103. Problem is, this is quite unreliable, if the virus is already active
  104. and smart enough...
  105.  
  106. > VC does have a scanner which it updates itself.  One can use it for
  107. > scanning new files but it is primarily for used for tracking down a
  108. > virus once detected by the method described above.
  109.  
  110. > Given the stealth viruses and polymorphic viruses which are out there,
  111. > scanners are becoming more and more limited in their effectiveness.
  112.  
  113. I wholeheartly agree with the second paragraph, but think that it is
  114. in contradiction with the first. Scanning for a "captured" on-the-fly
  115. signature is still scanning. OK, this is an "auto-updating" scanner,
  116. but it still fails (even more often than the "normal" scanners) with
  117. the polymorphic and with some stealth viruses.
  118.  
  119. Please, do not think that with the above criticisms I am trying to
  120. underestimate your product. I agree that it is probably a stronger
  121. line of defense against viruses than any scanner-only based defense.
  122. However, I cannot agree with the claims that it can "detect all
  123. viruses - known or unknown", although I can accept that it is able to
  124. detect whole classes of unknown viruses.
  125.  
  126. Regards,
  127. Vesselin
  128. - -- 
  129. Vesselin Vladimirov Bontchev           Virus Test Center, University of Hamburg
  130. Tel.:+49-40-54715-224, Fax: +49-40-54715-226       Fachbereich Informatik - AGN
  131. ** PGP public key available by finger. **     Vogt-Koelln-Strasse 30, rm. 107 C
  132. e-mail: bontchev@fbihh.informatik.uni-hamburg.de     D-2000 Hamburg 54, Germany
  133.