home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #26 / NN_1992_26.iso / spool / comp / virus / 4217 < prev    next >
Encoding:
Internet Message Format  |  1992-11-10  |  2.9 KB
  1. Path: sparky!uunet!ukma!darwin.sura.net!jvnc.net!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  3. Newsgroups: comp.virus
  4. Subject: Re: SCAN 95b doesn't find MtE in EXE files (PC)
  5. Message-ID: <0013.9211101922.AA06969@barnabas.cert.org>
  6. Date: 4 Nov 92 11:27:52 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 65
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. Stefano_Turci@f0.n462.z9.virnet.bad.se (Stefano Turci) writes:
  12.  
  13. > I hope you'll be able to read this message, I never wrote in this area
  14. > before.
  15.  
  16. You did fine; I was able to read your message. A very interesting one,
  17. BTW!
  18.  
  19. > Do you know LZEXE ?
  20.  
  21. [stuff deleted]
  22.  
  23. > Well, I converted the files from COM to EXE, and made some scanning
  24. > tests with the mentioned programs.
  25.  
  26. Ha, yes, indeed, that's interesting. It's similar to using PKLite or
  27. LZEXE, or one of the dozen other compressors to hide the initial
  28. infected file. Of course, all replicants will be detected correctly,
  29. but if the dropper (because what you did is to create droppers) will
  30. remain undetected and continue to spread the infection...
  31.  
  32. >     Gobbler 2.99 beta 5
  33. >     TbScan 4.3
  34.  
  35. > got each infected file.
  36.  
  37. I find this hard to believe... Did you try Gobbler with unencrypted
  38. replicants of CryptLab? Did you try TbScan with unencrypted replicants
  39. of Fear? Those scanners are usually missing these viruses...
  40.  
  41. > I have personally tried to infect a COM file starting from a .EXE
  42. > converted file and the infection was made correctly, that is the
  43. > converted files are still able to propagate the virus, so I think the
  44. > authors of the "missing-in- action" programs should improve their a-v
  45. > packages. 8-)
  46.  
  47. I agree with you. There is no reason why scanners that claim to be
  48. able to scan inside PKLited and LZEXEd files (and SCAN, F-Prot, and
  49. VirX do claim to be able to do so; F-Prot even scans inside files
  50. compressed with other compressors) should be unable to scan inside COM
  51. files converted to EXE format...
  52.  
  53. > Well, I'm trying to write my own Mte detector.
  54.  
  55. If you do, we'll be glad to test it here.
  56.  
  57. > I run it on a high number of files infected with two Mte-based viruses
  58. > ( Dedicated and Pogue) and it is able to detect all of the infected
  59. > files, but how could I say if it will work for *EVERY* mutation and
  60. > for *EVERY* Mte-based virus ?
  61.  
  62. > I think it's impossible.
  63.  
  64. You are right, it's impossible. That's why, our tests can only prove
  65. that a scanner is NOT able to detect the MtE-based viruses reliably.
  66. Otherwise we can only say that we have been unable to find an MtE
  67. replicant that the scanner does not detect.
  68.  
  69. Regards,
  70. Vesselin
  71. - -- 
  72. Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
  73. Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
  74. < PGP 2.0 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
  75. e-mail: bontchev@fbihh.informatik.uni-hamburg.de    D-2000 Hamburg 54, Germany
  76.