home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #19 / NN_1992_19.iso / spool / comp / virus / 3708 < prev    next >
Encoding:
Internet Message Format  |  1992-09-03  |  6.2 KB
  1. Path: sparky!uunet!cs.utexas.edu!sun-barr!rutgers!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: "a_rubin@dsg4.dse.beckman.com"@BIIVAX.DP.BECKMAN.COM
  3. Newsgroups: comp.virus
  4. Subject: Re: What is the best anti-virus program???
  5. Message-ID: <0017.9209031748.AA14082@barnabas.cert.org>
  6. Date: 31 Aug 92 19:51:37 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 107
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. bleys@infopls.chi.il.us (Bleys Ahrens) writes:
  12.  
  13. >All Anti-Virus programs are not created equal.
  14.  
  15. >Most anti-virus packages on the market today  (Norton, Central Point,
  16. >Untouchable, MacAffee) rely on pattern scanning as their primary method
  17. >of detecting a virus.  In other words, they have a database of some sort
  18. >containing hundreds of strings or attributes that known viruses produce
  19. >when they infect a computer.  This has worked relatively well in the
  20. >past, but unfortunately it is rapidly becoming unpractical.  When new
  21. >viruses and strains are identified, the appropriate patterns must be
  22. >added to the databases of pattern scanning programs.  This may be done
  23. >with updates to the program on disk, via download or manually typing
  24. >strings into the database.
  25.  
  26. >The problem is that an average of three new viruses are being created
  27. >everyday.  Add to this, the number of new mutating viruses which change
  28. >their appearance and method of operation as they spread and it quickly
  29. >becomes impossible to keep up with the spread of viruses.  As more and
  30. >more users become interconnected though networks like the Internet,
  31. >Compuserve, Fidonet, etc. it becomes increasing easy to move a virus
  32. >from one side of the world to the other.  
  33.  
  34. >Another relatively new and dangerous sort of virus is the stealth
  35. >viruses.  These viruses intercept calls from anti-virus programs as they
  36. >scan memory and disks.  Boot sector stealth viruses generally make a copy
  37. >of the uninfected original areas and direct scanning programs to the
  38. >location of the copy, which appears to be normal.  Stealth file viruses
  39. >on the other hand are often able to remove themselves from a file as it
  40. >is being scanned, so that the file appears clean.  After the scan is
  41. >complete, the virus in memory then moves its code back into the infected
  42. >files.  
  43.  
  44. >Other recent threats to computer security include the publishing of a book
  45. >that tells how to write viruses and includes source code. (I would
  46. >prefer not to publicize it and intentionally left out the title.) 
  47. >Another new threat is the recent posting on various BBSes of a some 
  48. >programs that help people write mutating viruses.
  49.  
  50. >In fairness to the makers of various anti-virus software manufacturers,
  51. >it must be pointed out that most programs on the market include methods
  52. >other than pattern scanning.  Most also include TSR's which monitor for
  53. >suspicious disk and memory reads and writes.  Some also include various
  54. >CRC checking methods which run some sort of algorithm on each file to
  55. >create a checksum which is then compared each time the file is executed.
  56. >A simple checksum works relatively well if you are absolutely sure that
  57. >your files aren't already infected.  The problem is that some viruses
  58. >are smart enough to change the checksum values stored on the disk.  
  59.  
  60. >So what is the optimal solution...  Well, I have been evaluating several
  61. >programs lately (Norton Anti-Virus, Central Point Anti-Virus, Fifth
  62. >Generation Untouchable, Certus Novi, Intel LanProtect, Brightworks
  63. >Development Sitelock and MacAffee Scan) and the one that seems have the
  64. >best potential to deal with the possibility of stealth and mutating
  65. >viruses is the relative newcomer, Novi from Certus.  
  66.  
  67. >This product does do some pattern scanning, but that is not the basic
  68. >paradigm used by this product.  As I understand from my research, all
  69. >executable files have essentially the same type of header records.  This
  70. >contains the basic information about the program and points to the
  71. >beginning of the code to run.  What a virus will do is attach to the end
  72. >of the file and change the initial pointer to the start of the virus
  73. >code.  At the end of the virus code is a pointer to the start of the
  74. >program code.  Thus, the user runs the program, the virus executes and
  75. >most likely places itself into memory and then executes the program.  
  76.  
  77. >Novi works by checking the critical areas of the file (or disk boot records
  78. >for a boot sector scan) to see that everthing is the way it should be.  If
  79. >pointers appear invalid or out of place, the product alerts the user to
  80. >a problem and then depending on the user response, can attempt to remove
  81. >the improper pointers and code.  By not relying on pattern scanning, the
  82. >program will working with existing viruses as well as new mutations or
  83. >strains.  I am still testing with it and others, but my opinion is that
  84. >this program offers the best protection into the future, without the
  85. >need of updates.
  86.  
  87. >(This program has also rated very, very well in a variety of recent
  88. >magazine article and evaluations.  It's file integrity checking is very
  89. >fast and is compatible with the major LAN OSes and with Windows.)
  90.  
  91. >I suspect this article will provoke quite a few responses, and I hope
  92. >that some of the above anti-virus manufacturers with be available for
  93. >comments.  I'm sure the folks from Certus can tell you a great deal more
  94. >about their product and would be more than happy to send you some
  95. >literature.  (I'm not here to sell products for them, so I would prefer
  96. >not to answer a zillion questions about exactly how the product works.)
  97.  
  98. >Bleys Ahrens
  99.  
  100. >Disclaimer:  I am not affiliated in any way with any of the above
  101. >mentioned products and/or companies.  I am an IS professional with a 
  102. >large international corporation.  While the above evaluations occured 
  103. >on company time, the opinions and views are strictly my own.  
  104.  
  105. >Comments generally welcomed.  Direct flames to /dev/nul...
  106.  
  107. >--
  108. >bleys@infopls.chi.il.us (Bleys Ahrens)
  109. >Infoplus BBS, +1 708 537 0247, v32bis. Home of Infoplus.
  110.  
  111. Comments, anyone?
  112. - --
  113. Arthur L. Rubin: a_rubin@dsg4.dse.beckman.com (work) Beckman Instruments/Brea
  114. 216-5888@mcimail.com 70707.453@compuserve.com arthur@pnet01.cts.com (personal)
  115. My opinions are my own, and do not represent those of my employer.
  116. My interaction with our news system is unstable; if you want to be sure I see a
  117.  post, mail it.
  118.