home *** CD-ROM | disk | FTP | other *** search
/ HaCKeRz Kr0nlcKLeZ 1 / HaCKeRz Kr0nlcKLeZ.iso / chibacity / det_ned.arj / DET_NED.DOC next >
Encoding:
Text File  |  1993-04-15  |  3.6 KB  |  80 lines
  1.  
  2.     N U K E   E N C R Y P T I O N   D E V I C E   D E T E C T O R
  3.  
  4.              D E M O N S T R A T I O N   V E R S I O N
  5.  
  6.                         (C) 1993 by CSE Ltd.
  7.  
  8.     Computer Security Engineers Ltd.     Computer Security Engineers Ltd.
  9.     Main Office                          Reserach & Developement
  10.     St. James House, New St. James Plc   P.O. Box 45610
  11.     St. Helier, Jersey JE4 8WH           2504 BA  The Hague
  12.     Canal Islands                        The Netherlands\n"
  13.     Phone: +44 534 500 400               Phone: +31 70 3622269
  14.     Fax  : +31 534 500 450               Fax  : +31 70 3652286
  15.  
  16.  
  17.  
  18.     N U K E   E N C R Y P T I O N   D E V I C E   D E T E C T O R
  19.  
  20.              D E M O N S T R A T I O N   V E R S I O N
  21.  
  22.                         (C) 1993 by CSE Ltd.
  23.  
  24.                                                                                 
  25.    In 1992, a virus-author using the name Dark Avenger released a highly
  26. mutating polymorphic module called the Mutation Engine (MtE). Anti-virus
  27. developers all spent months to develope an accurate solution for this
  28. problem as vira using the MtE are able to have several million 'faces'.
  29. Even after one year since the MtE was first used, several notorious
  30. anti-virus programs are still not able to detect the MtE-based vira
  31. reliable.
  32.  
  33.    In January 1993, a new mutation engine called Trident Polymorphic
  34. Engine (TPE) was written and released by somebody calling himself
  35. 'Masud Khafir of the TridenT virus research group'. The TPE is based on
  36. the MtE, but solved several bugs which are present in the MtE. Furthermore
  37. the TPE has the ability to use almost every instruction within its
  38. decryption routine thus making it more difficult to detect it. There are
  39. no holes inside the generated decryption-routines like MtE generated
  40. decryption-routines which makes it less difficult to detect.
  41.  
  42.  
  43.    In March 1993, the Research and Developemt Department of CSE receives
  44. another mutation engine called Nuke Encryption Device (NED) which is
  45. written by someone calling himself Nowhere Man. The source of NED, which
  46. also is received at CSE's R&D, show that the engine, version 0.90-beta,
  47. was written in October 1992. The engine has a length of 1355 bytes and
  48. covers, like TPE, some holes which were present in MtE. However, NED is
  49. not as sophisticated as TPE.
  50.  
  51.      "N.E.D. is easily be added to a virus.  Every infection with
  52.      that virus will henceforth be completely different from all
  53.      others, and all will be unscannable, thanks to the Cryptex(C)
  54.      polymorphic mutation algorithm."
  55.  
  56.    Despite the above quote from the source-listing, this detection-
  57. demonstration version proves that detection is possible. Though detecting
  58. NED-based vira is more difficult than MtE-based vira, it certainly is
  59. not as difficult as detecting TPE-based vira.
  60.  
  61.    The algorithm, which has been developed by Righard Zwienenberg of
  62. Computer Security Engineers Ltd, does detect the NED-based vira. The next
  63. version of PCVP-SCAN (Version 1.16) will include the algorithm which do
  64. detect these vira.
  65.  
  66.    Since users always want to test scanners and its algorithms, this
  67. special demonstration program has been created. The algorithm used within
  68. this program is almost equal to the one used in the scanner, but
  69. has been limited. It will detect all samples created by NED_DEMO.COM but
  70. might miss some NED-based vira. Needless to say that the scanner,
  71. PCVP-SCAN will detect these vira.
  72.  
  73.    Information about CSE and its products may be obtained from
  74. the above mail and telephone numbers. The author of the algorithm can
  75. be reached at these numbers as well.
  76.  
  77. April 15, 1993              Righard Zwienenberg
  78.  
  79.  
  80.