home *** CD-ROM | disk | FTP | other *** search
/ HaCKeRz KrOnIcKLeZ 3 / HaCKeRz_KrOnIcKLeZ.iso / chibacity / anote.3 < prev    next >
Text File  |  1996-04-22  |  5KB  |  101 lines
  1.     Continuing with recent report off the Internet on the Mutating Engine:
  2.     Part 3/4
  3.                  *************************************
  4.                                  22 Jun 92
  5.  
  6.                             Mutation Engine Report
  7.             Copyright (c) 1992 by  VDS Advanced Research Group
  8.                            All Rights Reserved
  9.  
  10.       For over 90% of the mutations, MtE generates a convoluted
  11. 16-bit XOR-type encryption; however, in many cases it uses indirect
  12. ways to apply the XOR mask to a memory value. For example, it
  13. computes the mask, and then gets the value to be decrypted into a
  14. register, applies the mask and put the result back into that memory
  15. location. Besides, memory access is done using many different
  16. instructions such as MOV and XCHG. There are also many redundant
  17. instructions peppered freely throughout the decryptor.
  18.       In some cases (5.5%), MtE generates a decryptor with a null
  19. effect. The decryptor does not actually decrypt anything, and the
  20. virus code is in plaintext. The frequency of such cases seems to
  21. depend on the random number generator. It is funny to note that
  22. some popular scanners misidentify such extreme cases where the
  23. virus is not even encrypted. To handle these mutations, it is
  24. sufficient to extract a signature from the MtE itself. It is also
  25. possible to extract one from known MtE-based viruses and identify
  26. the virus directly. At any rate, a scan string from MtE itself
  27. should be used in case a future virus creates a plaintext variant.
  28.       We must also mention that even these plaintext mutations
  29. contained a fully working copy of MtE. They successfully propagated
  30. and generated encrypted mutations in future generations. MtE
  31. appears to generate correct code in all cases. The deviation
  32. between new generations started using plaintext parents and new
  33. generations started using encrypted parents was negligible.
  34.  
  35.                        III. Mutation Types and Detection Algorithms
  36.  
  37.       MtE generates 4 "types" of mutations. They are as follows:
  38.  
  39.       1.  Double-reference (detectable using Method-1) ( ~ 91.0% )
  40.       2.  SUB-NEG (detectable using Method-2)   ( ~  2.0% )
  41.       3.  Single-reference (detectable using Method-3) ( ~  1.5% )
  42.       4.  Plaintext or no-reference  ( ~  5.5% )
  43.  
  44.       By implementing three algorithms and one scan string for the
  45. plain mutations, it is possible to recognize MtE-based viruses
  46. while keeping false positives to an acceptable level. We have one
  47. such program that achieved 100% hit rate during our tests. Some
  48. others also claim 100% hit rate; and we have tested them as well.
  49.       A more detailed analysis of mutation types is not made public
  50. due to possible misuse of such information.
  51.  
  52.                   IV.   Live Tests and Results
  53.  
  54.       Test #1     Base Virus Name: Dedicated
  55.  
  56.                              SCAN 91     F-PROT 2.04       CatchMTE 1.0
  57.  
  58.       by Name (1)             67                69          60
  59.       as MtE  (2)             933               931         940
  60.       misidentified           -0                -0          N/A
  61.       missed                  -0                -0          -0
  62.       Hit Rate                100%              100%        100%
  63.  
  64. (1)  SCAN91 --> [Mut],  F-PROT 2.04 --> Dedicated, CatchMTE --> Dedicated
  65. (2)  SCAN91 --> [DAME], F-PROT 2.04 --> MtE,       CatchMTE --> MtE-based
  66.  
  67.       Test #2     Base Virus Name: Pogue
  68.  
  69.                              SCAN 91     F-PROT 2.04       CatchMTE 1.0
  70.  
  71.       by Name (1)             0           0                 56
  72.       as MtE  (2)             935         936               944
  73.       misidentified (3)       -65         -61               N/A
  74.       missed                  -0          -3                -0
  75.       Hit Rate                93.5%       93.6%             100%
  76.  
  77. (1)  SCAN91 --> N/A,  F-PROT 2.04 --> N/A,    CatchMTE --> Pogue
  78. (2)  SCAN91 --> [DAME], F-PROT 2.04 --> MtE,  CatchMTE --> MtE-based
  79. (3)  SCAN91 --> [7S], F-PROT 2.04 --> Gotcha, CatchMTE --> N/A
  80.  
  81.                       A.    Comments on Test Results
  82.  
  83.       It seems that both F-PROT 2.04 and SCAN 91 misidentify some
  84. Pogue mutations that are in plaintext. F-PROT "quickscan" missed
  85. ALL mutations. You are advised to use SECURE scan mode of this
  86. product. The extra speed comes with 0% hit rate on MtE-based
  87. viruses!
  88.       F-PROT 2.04 missed three encrypted Pogue mutations. We
  89. examined these samples and found them to be of Type-3, and
  90. detectable using Method-3. The samples worked as expected. One of
  91. those three that were missed was called "suspicious" and guessed to
  92. be a variant of the Gotcha virus. We can only speculate that F-PROT
  93. lacks Method-3 detection algorithm and uses a heuristic in such
  94. cases. Surprisingly, Virx 2.3 missed one of these same mutations.
  95. Due to annoying user interface, we were unable to include Virx 2.3
  96. in our full test suite.
  97.       It should be noted that misidentification of 6% of Pogue
  98. mutations is a little alarming. All these misidentified mutations
  99. were found to be working and capable of generating new mutations.
  100.  
  101.