home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #20 / NN_1992_20.iso / spool / comp / virus / 3799 < prev    next >
Encoding:
Internet Message Format  |  1992-09-11  |  2.6 KB
  1. Path: sparky!uunet!europa.asd.contel.com!darwin.sura.net!spool.mu.edu!caen!uakari.primate.wisc.edu!ames!pacbell.com!iggy.GW.Vitalink.COM!cs.widener.edu!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  3. Newsgroups: comp.virus
  4. Subject: Re: Auto-detecting Virus (PC)
  5. Message-ID: <0017.9209111901.AA28207@barnabas.cert.org>
  6. Date: 11 Sep 92 08:42:52 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 47
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. Alexander_Ofek@p8.f101.n9721.z9.virnet.bad.se (Alexander Ofek) writes:
  12.  
  13. > Your approach will fail to detect a stealth virus like 1963 or dir2.
  14. > To be on the safe side you will have to read the directory using absolute rea
  15. d
  16. > (int 13h) and follow the FAT chains yourself.
  17.  
  18. Which will fail to detect advance stealth viruses like Int13, which
  19. are stealthy at sector access level. Using INT 13h to read the file
  20. will not detect Dir_II either, since this virus subverts the block
  21. device driver requests...
  22.  
  23. > Of course it might be useful to 
  24. > check whether the interrupt vectot of int 13h still points to the BIOS area.
  25.  
  26. Unfortunately, since DOS 3.20 the interrupt vector for INT 13h never
  27. points to the BIOS area (except at boot time), since DOS intercepts it
  28. itself...
  29.  
  30. There are other possible anti-stealth techniques that could be used,
  31. like scanning the ROM space for the hard disk controller program and
  32. calling it directly, but neither of these tricks is reliable and/or
  33. compatible with all kinds of systems... Just as an example, consider a
  34. disk, compressed with Stacker... How are you going to access the files
  35. on it "at a low level"?
  36.  
  37. The -only- secure technique against the stealth viruses is to use the
  38. "magic object" - to cold boot from a write-protected non-infected
  39. system diskette. Unfortunately, this method of operation is considered
  40. too inconvenient by most users. Furthermore, it can be used only for
  41. off-line integrity checkers, and what the original poster proposed was
  42. an integrity module, contained in the executable file. In this case,
  43. there's no way to stop the stealth viruses from fooling the integrity
  44. module.
  45.  
  46. > Use any CRC check with an UNUSUAL (i.e. rarely used) polinomial. 
  47.  
  48. More exactly, use a CRC with a -different- polynomial on each
  49. particular installation (be it a computer or a program).
  50.  
  51. Regards,
  52. Vesselin
  53. - -- 
  54. Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
  55. Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
  56. ** PGP public key available on request. **   Vogt-Koelln-Strasse 30, rm. 107 C
  57. e-mail: bontchev@fbihh.informatik.uni-hamburg.de    D-2000 Hamburg 54, Germany
  58.