home *** CD-ROM | disk | FTP | other *** search
/ HaCKeRz Kr0nlcKLeZ 1 / HaCKeRz Kr0nlcKLeZ.iso / chibacity / anote.1 < prev    next >
Encoding:
Text File  |  1996-04-22  |  3.3 KB  |  79 lines
  1.  
  2.     Attached is a recent report off the Internet on the Mutating Engine:
  3.     Part 1/4
  4.                  *************************************
  5.  
  6.  
  7.    -----------------------------------------------------------------------
  8.                                  22 Jun 92
  9.  
  10.                             Mutation Engine Report
  11.  
  12.  
  13.             Copyright (c) 1992 by  VDS Advanced Research Group
  14.                            All Rights Reserved
  15.  
  16.                              P.O. Box 9393
  17.                           Baltimore, MD 21228
  18.                             (410) 247-7117
  19.  
  20.                               prepared by
  21.  
  22.                              Tarkan Yetiser
  23.  
  24.  
  25.       This report is provided to satisfy the curiosity of the
  26.       public. We were approached by some third parties to perform an
  27.       analysis on MtE. We would like to share the results of our
  28.       analysis with everyone. If you find an error or inaccuracy in
  29.       this report, please feel free to contact us. All constructive
  30.       criticism is welcome.
  31.  
  32.  
  33.                                TABLE of CONTENTS
  34.  
  35. I.  Mutation Engine and Viruses. . . . . . . . . . . . . . . . . . . 1
  36.  
  37. II.   How to Catch Viruses and MtE-based Viruses . . . . . . . . . . 2
  38.  
  39. III.  Mutation Types and Detection Algorithms. . . . . . . . . . . . 3
  40.  
  41. IV.   Live Tests and Results . . . . . . . . . . . . . . . . . . . . 5
  42.            A. Comments on Test Results . . . . . . . . . . . . . . . 5
  43.  
  44. V.    A Simple Message . . . . . . . . . . . . . . . . . . . . . . . 6
  45.  
  46.  
  47.                   I. Mutation Engine and Viruses
  48.  
  49.       We have analyzed the so-called MtE (Mutation Engine by a "Dark
  50. Avenger" from Bulgaria), and sample viruses based on it; namely,
  51. Pogue and Dedicated. We have also conducted tests to examine what
  52. kind of a potential this miscreant has, and collected empirical
  53. data on how popular scanners deal with the MtE. We have also implemented a
  54. little program (CatchMTE) that can recognize MtE-based code using an
  55. algorithmic technique. The program in executable form is available free of
  56. charge as a service to the public. Due to possible misuse, the source code
  57. and a more detailed (at the opcode and bit-mask level) analysis with
  58. decryptor samples and algorithms necessary to detect MtE will be made
  59. available in a limited fashion. Under no circumstances, actual virus
  60. samples will be provided; except the missed samples can be sent to known
  61. anti-viral product developers who wish to enhance their programs.
  62.  
  63.       For those who are not familiar with the MtE, some preliminary
  64. info will be presented first:
  65.  
  66.       MtE is NOT a virus per se, but an object module that can be
  67. linked into a virus to give it polymorphic capabilities. MtE
  68. expects to be called as a routine that can encrypt a certain
  69. portion of code and can generate a suitable decryption routine. It
  70. uses a random number generator to vary each mutation so that it
  71. will not be possible to recognize the new variant by using simple
  72. scanning techniques. The random number generator is not part of the
  73. MtE object module. A sample pseudo-random number generator is
  74. included with the archive Dark Avenger distributes. A virus writer
  75. could also supply his own random number generator.
  76.  
  77. TO BE CONTINUED ....
  78.  
  79.