home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #26 / NN_1992_26.iso / spool / comp / virus / 4197 < prev    next >
Encoding:
Internet Message Format  |  1992-11-09  |  2.0 KB
  1. Path: sparky!uunet!ukma!darwin.sura.net!jvnc.net!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: mcafee@netcom.com (McAfee Associates)
  3. Newsgroups: comp.virus
  4. Subject: Re: SCAN 95b doesn't find MtE in EXE files (PC)
  5. Message-ID: <0011.9211091912.AA05064@barnabas.cert.org>
  6. Date: 3 Nov 92 00:41:41 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 32
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev) writes:
  12.  
  13. [...description of MtE virus samples deleted for brevity...]
  14. >Just some more information. Of the above missed samples, 141 (of 142)
  15. >Questos were unencrypted and 143 (out of 145) correctly infected
  16. >Groove EXE files. The fact that they are unencrypted, means that they
  17. >can be easily detected, if SCAN contained a signature, picked from the
  18. >body of the MtE (not from the body of the particular virus). This is
  19. >so obvious, that I cannot figure out why SCAN is not doing it
  20. >already... Let's hope that it will be included in the next version.
  21. [...rest of message deleted...]
  22.  
  23. If VIRUSCAN did not pick up unencrypted copies of a virus, that means
  24. that we do not have a copy of the virus.  Readers may wish to note
  25. that sometimes the MtE produces an "unencrypted" virus, that is, one
  26. where no MtE encryption is performed.  In this case, no MtE virus
  27. would be found, and VIRUSCAN (SCAN) would have to look for the actual
  28. virus code.  If we do not have a copy of that particular MtE-based
  29. virus, then unencrypted copies will not be found until we receive a
  30. copy and analyse it.
  31.  
  32. Regards,
  33.  
  34. Aryeh Goretsky
  35. Technical Support
  36. - -- 
  37. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
  38. McAfee Associates, Inc.  | Voice (408) 988-3832 | INTERNET:
  39. 3350 Scott Blvd, Bldg 14 | FAX   (408) 970-9727 | mcafee@netcom.COM
  40. Santa Clara, California  | BBS   (408) 988-4004 | CompuServe ID: 76702,1714
  41. 95054-3107  USA          | USR HST Courier DS   | or GO MCAFEE
  42. Support for SENTRY/SCAN/NETSCAN/VSHIELD/CLEAN/WSCAN/NETSHIELD/TARGET/CONFIG MGR
  43.