home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #26 / NN_1992_26.iso / spool / comp / virus / 4188 < prev    next >
Encoding:
Internet Message Format  |  1992-11-09  |  2.3 KB
  1. Path: sparky!uunet!ukma!darwin.sura.net!jvnc.net!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  3. Newsgroups: comp.virus
  4. Subject: Re: MtE ?? (PC)
  5. Message-ID: <0005.9211091912.AA05064@barnabas.cert.org>
  6. Date: 2 Nov 92 14:34:43 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 42
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. hps@sdf.lonestar.org (Holt Sorenson) writes:
  12.  
  13. > MtE is the Mutation Encryption Engine developed by Dark Avenger. It
  14. > changes filesizes, checksum, and other info that would make it
  15. > possible to detect a virus in a file at runtime so that the virus can
  16. > continue to hide on your computer. The latest version is .91b, unless
  17. > DA has released a newer one.  You can get it from your favorite AV
  18. > researcher that trusts you or off a virus bbs. I won't give you any
  19. > such info (bbs's or copies of the software.) If you don't know
  20. > assembly, it wouldn't help you much anyway.
  21.  
  22. Couldn't people get their facts right before posting? Anyway, here is
  23. the correction:
  24.  
  25. 1) Dark Avenger has indeed been involved heavily in the development
  26. of the MtE, but according to some sources, this is not -entirely- his
  27. product.
  28.  
  29. 2) All the MtE does by itself is to take a piece of code, encrypt it
  30. using a random key, generate a random decryptor, prepend the decryptor
  31. to the code, and return a pointer to the area of memory that contains
  32. the decryptor and the encrypted code. Nothing more. Not a virus per
  33. se. Everything else has to be supplied by the virus writer. The
  34. changes of the file sizes, checksums, and other info that you are
  35. mentioning come from the virus, not from the MtE. It is perfectly
  36. possible to write a stealth MtE-based virus, that will hide these
  37. changes.
  38.  
  39. 3) The latest available version of MtE is 0.90-beta. What has been
  40. distributed as 0.91 and what many people blindly believe to be 0.91 is
  41. just a bugfix in the random number generator (not in the MtE).
  42.  
  43. 4) No self-respecting anti-virus researcher will distribute the MtE
  44. package to anybody except other anti-virus researchers.
  45.  
  46. Regards,
  47. Vesselin
  48. - -- 
  49. Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
  50. Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
  51. < PGP 2.0 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
  52. e-mail: bontchev@fbihh.informatik.uni-hamburg.de    D-2000 Hamburg 54, Germany
  53.