home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #26 / NN_1992_26.iso / spool / comp / virus / 4186 < prev    next >
Encoding:
Internet Message Format  |  1992-11-09  |  2.4 KB
  1. Path: sparky!uunet!ukma!darwin.sura.net!jvnc.net!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  3. Newsgroups: comp.virus
  4. Subject: Re: Comment on the MtE wars (PC)
  5. Message-ID: <0003.9211091912.AA05064@barnabas.cert.org>
  6. Date: 2 Nov 92 13:59:51 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 42
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. hobbit@ftp.com (*Hobbit*) writes:
  12.  
  13. > Obviously none of you are willing to publicly discuss the exact hows
  14. > and whys of anyone's MtE-detection algorithm, for the usual reasons.
  15.  
  16. Yes, this is usually considered a trade secret.
  17.  
  18. > So the entire discussion is so far based on percentage hit rate, which
  19.  
  20. Correction: the discussion is not based on the percentage hit rate.
  21. There is no such thing as percentage hit rate when you are speaking
  22. about a known virus. Your scanner either is able to detect it
  23. reliably, or it isn't. My tests are trying to show which scanners are
  24. NOT able to detect the known MtE-based viruses reliably (because I
  25. cannot prove that I scanner DOES reliable detection - I can only try
  26. to find out an example that proves that a scanner is NOT able to do
  27. reliable detection).
  28.  
  29. > for me has significantly less meaning in terms of explaining WHY
  30. > product A sucks and product B is so much better.  Is this just me, or
  31.  
  32. Simple. :-) Reliable detection of the MtE-based viruses is -extremely-
  33. difficult. Therefore, only anti-virus companies with very capable R&D
  34. departments are able to solve the puzzle. (Note: this is not a flame
  35. to anyone; for instance I don't know how reliable detection can be
  36. achieved.) The current tests clearly show that very few AV companies
  37. have indeed solved the puzzle.
  38.  
  39. BTW, it was demonstrated to me that no scanner can be made to detect
  40. reliably unknown unencrypted MtE-based viruses. Sorry, but I cannot
  41. discuss the details in public. The important thing is that the virus
  42. could do some tricks to prevent this. None of the currently known
  43. MtE-based viruses does this trick, so this fact should have any
  44. impact on the current MtE detection by the scanners.
  45.  
  46. Regards,
  47. Vesselin
  48. - -- 
  49. Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
  50. Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
  51. < PGP 2.0 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
  52. e-mail: bontchev@fbihh.informatik.uni-hamburg.de    D-2000 Hamburg 54, Germany
  53.