home *** CD-ROM | disk | FTP | other *** search
/ HaCKeRz KrOnIcKLeZ 3 / HaCKeRz_KrOnIcKLeZ.iso / virus / virusprogramming / polymrp2.txt < prev    next >
Text File  |  1996-04-16  |  4KB  |  71 lines
  1.     At last, how to protect yourself from polymorphic viruses
  2.  
  3.  My past two columns concerning the threat presented by polymorphic
  4. viruses triggered an informative conversation with the industry's
  5. chief virus researcher, John McAfee. During that conversation I
  6. learned that things are even worse than I'd supposed.
  7.  It turns out that the " Dark Avenger" bulletin board system, which
  8. disseminates virus code, has recently published the complete source
  9. code for the Dark Avenger Mutation engine. The mutation engine is
  10. nothing less than a first-class code kernel that can be tacked on
  11. to any existing or future virus to turn it into a nearly impossible
  12. to detect self-encrypting polymorphic virus.
  13.  My examination of a sample virus encrypted by the Mutation Engine
  14. provided by McAfee revealed alarming capabilities. Not only do Dark
  15. Avenger Mutation Engine viruses employ all of the capabilities I
  16. outlined in last week's theoretical polymorphic virus column, but
  17. they also use a sophisticated reversible encryption algorithm
  18. generator.
  19.  The Mutation Engine uses a metalanguage-driven algorithm generator
  20. that allows it to create an infinite variety of completely original
  21. encryption algorithms. The resulting unique algorithms are then
  22. salted with superflous instructions, resulting in decryption
  23. algorithms varying from 5 to 200 bytes long.
  24.  Because McAfee has already received many otherwise known viruses
  25. that are now encapsulated with the Mutation Engine's polymorphic
  26. encryption, it's clear that viruses of this new breed are now
  27. traveling among us.
  28.  It is clear that the game is forever changed; the sophistication
  29. of the Mutating Engine is amazing and staggering. Simple pattern-
  30. matching virus scanners will still reliably detect the several
  31. thousand well-known viruses; however these scanners are completely
  32. incapable of detecting any of the growing number of viruses now
  33. being cloaked by the Dark Avenger Mutation Engine.
  34.  So what can we ultimately do to twart current and future software
  35. viruses? After brainstorming through the problem with some of our
  36. industry's brightest developers and systems architects, I've
  37. reached several conclusions:
  38.  First, scanning for known viruses within executable program code
  39. is fundamentally a dead end. It's the only solution we have for the
  40. moment, but the detectors can only find the viruses they are aware
  41. of, and new developments such as the Mutation Engine render even
  42. these measures obsolete.
  43.  Second, detecting the reproductive proclivities of viruses on the
  44. prowl is prone to frequent false alarms and ultimately complete
  45. avoidance. With time the viruses will simply circumvent the
  46. detectors, at which time the detectors will only misfire for self-
  47. modifying benign programs.
  48.  Third, the Achilles' heel of our current DOS-based PC is its
  49. entirely unprotected nature. As long as executable programs( such
  50. as benign and helpful system utilities) are able to freely and
  51. directly access and alter the operating system and its file system,
  52. our machines will be vulnerable to deliberate viral attack.
  53.  So here's my recommendation.
  54.  Only a next-generation protected mode operating system can enforce
  55. the levels of security required to provide complete viral immunity.
  56. By marking files and code overlays as "read and execute only" and
  57. by prohibiting the sorts of direct file system tampering performed
  58. by our current crop of system utilities, such operating systems
  59. will be able to provide their client programs with complete viral
  60. immunity.
  61.  The final Achilles' heel of a protected-mode operating system is
  62. the system boot process, before and during which it is still
  63. potentially vulnerable. By changing the system ROM-BIOS' boot
  64. priorty to favor hard disc booting over floppy, thios last viral
  65. path can be closed and blocked as well.
  66.  
  67.   note; Steve Gibson is the developer and publisher of SpinRite and
  68. president of Gibson Research Corp., based in Irvine, Calif. Send
  69. comments to InfoWorld via MCImail (259-2147) or fax them to (415)
  70. 358-1269
  71.