home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #26 / NN_1992_26.iso / spool / comp / virus / 4208 < prev    next >
Encoding:
Internet Message Format  |  1992-11-10  |  2.4 KB
  1. Path: sparky!uunet!ukma!darwin.sura.net!jvnc.net!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: cjkuo@ccmail.norton.com (Jimmy Kuo)
  3. Newsgroups: comp.virus
  4. Subject: Re: SCAN 95b doesn't find MtE in EXE files (PC)
  5. Message-ID: <0004.9211101922.AA06969@barnabas.cert.org>
  6. Date: 3 Nov 92 20:31:09 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 46
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. Stefano Turci writes:
  12. [after converting MtE infected COM files to EXEs and then LZEXE'd them]
  13. >The results were a bit strange, in fact:
  14. >    F-prot 2.05
  15. >    Scan 97
  16. >    VirX 2.4
  17. >missed *ALL* the converted files, while
  18. >    Gobbler 2.99 beta 5
  19. >    TbScan 4.3
  20. >got each infected file.
  21.  
  22. >The viruses in the files missed by F-prot, Scan and VirX in the .EXE
  23. >form were all found out by the same programs in the original .COM
  24. >version.
  25.  
  26. >I have personally tried to infect a COM file starting from a .EXE
  27. >converted file and the infection was made correctly, that is the
  28. >converted files are still able to propagate the virus, so I think the
  29. >authors of the "missing-in- action" programs should improve their a-v
  30. >packages. 8-)
  31.  
  32. These results are not surprising nor should they be alarming.  There's
  33. a ever going argument in the anti-virus field relating to the premise
  34. that anti-virus software must be able to detect every absolute
  35. infected file.  The opposing side argues that it is not necessary to
  36. detect such files as those above (or specific files found in some
  37. reviewers' collections) which do not create children of the same form.
  38.  
  39. The argument for the second opinion says that if you detect the
  40. infected form of the children, you will know if something is going on
  41. in the computer.  Once something is known to be affecting the
  42. computer, theories related to integrity checking can take over.  Files
  43. such as those created above and certain files in reviewers'
  44. collections cannot spread in that convoluted form and need not worry
  45. endusers.  (A version of this argument applies to whether it is
  46. necessary to detect absolutely 100% of MtE mutations, i.e.  integrity
  47. checking takes over.)
  48.  
  49. It should be the form that propagates that we worry about.  And though
  50. you didn't note it, I'm sure all the files infected by your creations
  51. were detected by all the packages above.  Thus end-users need not
  52. worry about your peculiar forms of MtE files because you're not going
  53. to put those files on anyone else's computer.  :-)
  54.  
  55. Jimmy Kuo                                       cjkuo@ccmail.norton.com
  56. Norton AntiVirus Research
  57.