home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #26 / NN_1992_26.iso / spool / comp / virus / 4282 < prev    next >
Encoding:
Internet Message Format  |  1992-11-13  |  3.1 KB
  1. Path: sparky!uunet!ornl!utkcs2!darwin.sura.net!zaphod.mps.ohio-state.edu!magnus.acs.ohio-state.edu!usenet.ins.cwru.edu!cert!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  3. Newsgroups: comp.virus
  4. Subject: Re: SCAN 95b doesn't find MtE in EXE files (PC)
  5. Message-ID: <0011.9211121950.AA09997@barnabas.cert.org>
  6. Date: 11 Nov 92 22:22:31 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 52
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. cjkuo@ccmail.norton.com (Jimmy Kuo) writes:
  12.  
  13. > The argument for the second opinion says that if you detect the
  14. > infected form of the children, you will know if something is going on
  15. > in the computer.  Once something is known to be affecting the
  16. > computer, theories related to integrity checking can take over.  Files
  17. > such as those created above and certain files in reviewers'
  18. > collections cannot spread in that convoluted form and need not worry
  19. > endusers.  (A version of this argument applies to whether it is
  20. > necessary to detect absolutely 100% of MtE mutations, i.e.  integrity
  21. > checking takes over.)
  22.  
  23. I tend to disagree. First, according to the above argument, you can
  24. always use an integrity checker to detect the second-generation
  25. infections, so you don't need a scanner at all. In fact, one of the
  26. arguments why the integrity checkers cannot replace the scanners
  27. completely, is that when you notice the infection, you usually want to
  28. find and remove all sources of infection, including the file that
  29. brought the virus to your system. Also, scanners are useful for
  30. scanning the software -before- you run it (something that the
  31. integrity checkers cannot do), therefore, the user wants to be able to
  32. find the viruses at that stage, not after the virus has been released
  33. in the system.
  34.  
  35. Second, all the scanners mentioned by the original poster claim to be
  36. able to scan inside LZEXE compressed files. Therefore, if those claims
  37. are correct, they should be able to detect the virus.
  38.  
  39. Third, some scanner -were- able to detect the virus.
  40.  
  41. However, I agree with you, that in general the virus droppers (because
  42. what the original poster has done has been exactly to create a
  43. dropper) are not a serious problem.
  44.  
  45. > It should be the form that propagates that we worry about.  And though
  46. > you didn't note it, I'm sure all the files infected by your creations
  47. > were detected by all the packages above.  Thus end-users need not
  48. > worry about your peculiar forms of MtE files because you're not going
  49. > to put those files on anyone else's computer.  :-)
  50.  
  51. Problem is, it is perfectly possible to create an MtE-based virus,
  52. converted in the way described in the original message, which will
  53. propagate in THAT FORM. Recall that we already have several viruses
  54. that are propagating in LZEXE or PKLITEd form...
  55.  
  56. Regards,
  57. Vesselin
  58. - -- 
  59. Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
  60. Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
  61. < PGP 2.0 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
  62. e-mail: bontchev@fbihh.informatik.uni-hamburg.de    D-2000 Hamburg 54, Germany
  63.