home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #26 / NN_1992_26.iso / spool / comp / virus / 4270 < prev    next >
Encoding:
Internet Message Format  |  1992-11-13  |  2.2 KB
  1. Path: sparky!uunet!ornl!utkcs2!darwin.sura.net!zaphod.mps.ohio-state.edu!magnus.acs.ohio-state.edu!usenet.ins.cwru.edu!cert!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: tck@bend.ucsd.edu (Kevin Marcus)
  3. Newsgroups: comp.virus
  4. Subject: Re: SCAN 95b doesn't find MtE in EXE files (PC)
  5. Message-ID: <0014.9211121928.AA09892@barnabas.cert.org>
  6. Date: 11 Nov 92 00:50:53 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 42
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. frisk@complex.is (Fridrik Skulason) writes:
  12. >Stefano_Turci@f0.n462.z9.virnet.bad.se (Stefano Turci) writes:
  13. >
  14. >>Well, I converted the files from COM to EXE, and made some scanning
  15. >>tests with the mentioned programs.
  16. >
  17. >>The results were a bit strange, in fact:
  18. >
  19. >>    F-prot 2.05
  20. >>    Scan 97
  21. >>    VirX 2.4
  22. >
  23. >>missed *ALL* the converted files, while
  24. >
  25. >Not surprising - what you did was simply to add a new layer of
  26. >encryption to the files.  Of course, the virus could be distributed in
  27. >this form, and would probably replicate, but all the second (and
  28. >later) generation copies would be detected normally.
  29. >
  30. >I am not at all surprised that my scanner, as well as the others
  31. >missed the virus - actually, no matter how you had encrypted it, it
  32. >probably would be missed.
  33. >
  34. >>converted files are still able to propagate the virus, so I think the
  35. >>authors of the "missing-in- action" programs should improve their a-v
  36. >>packages. 8-)
  37. >
  38. >In my case the reson I miss this particular sample is simple.  I scan
  39. >inside LZEXE-compressed files, but only for signatures - that is, I
  40. >uncompress the virus in memory, and run my scanning engine over it.
  41. >If I uncompressed to disk, and stripped off the COM/EXE conversion, I
  42. >would detect it, but it would slow the scanner down considerably.
  43. >
  44. >I don't consider it a serious problem - basically it is equivalent to
  45. >distributing an old virus, with a new encryption wrapper...the
  46. >original sample will not be found, but all the second generation
  47. >copies will.
  48.  
  49. Frisk, that is a very serious problem.  It's quite analogous to the
  50. reason why 100% detection of MtE based .COM infectors is necessary.
  51. It can continuously reinstate infection of a computer (or network),
  52. and if the virus does damage slowly, it can be disastrous.
  53.