home *** CD-ROM | disk | FTP | other *** search
/ HaCKeRz Kr0nlcKLeZ 1 / HaCKeRz Kr0nlcKLeZ.iso / chibacity / det_tpe.arj / DET_TPE.DOC next >
Encoding:
Text File  |  1993-03-05  |  3.5 KB  |  60 lines
  1.     T R I D E N T   P O L Y M O R P H I C   E N G I N E   D E T E C T O R       
  2.                                                                                 
  3.                  D E M O N S T R A T I O N   V E R S I O N                      
  4.                                                                                 
  5.                   (C) 1993 by CSE Ltd. & Thunderbyte B.V.                       
  6.                                                                                 
  7.            Computer Security Engineers Ltd.   Thunderbyte B.V.                  
  8.            P.O. Box 45610                     P.O. Box 1380                     
  9.            2504 BA  The Hague                 6501 BJ  Nijmegen                 
  10.            The Netherlands                    The Netherlands                   
  11.            Phone: +31 70 3622269              Phone: +31 80 787881              
  12.            Fax  : +31 70 3652286              Fax  : +31 80 789186              
  13.                                                                                 
  14.  
  15.                                                                                 
  16.     T R I D E N T   P O L Y M O R P H I C   E N G I N E   D E T E C T O R       
  17.                                                                                 
  18.                  D E M O N S T R A T I O N   V E R S I O N
  19.                                                                                 
  20.                   (C) 1993 by CSE Ltd. & Thunderbyte B.V.                       
  21.  
  22.  
  23.    In 1992, a virus-author using the name Dark Avenger released a highly
  24. mutating polymorphic module called the Mutation Engine (MtE). Anti-virus
  25. developers all spent months to develope an accurate solution for this
  26. problem as vira using the MtE are able to have several million 'faces'.
  27. Even after one year since the MtE was first used, several notorious
  28. anti-virus programs are still not able to detect the MtE-based vira
  29. reliable.
  30.  
  31.    In January 1993, a new mutation engine called Trident Polymorphic
  32. Engine (TPE) was written and released by somebody calling himself
  33. 'Masud Khafir of the TridenT virus research group'. The TPE is based on
  34. the MtE, but solved several bugs which are present in the MtE. Furthermore
  35. the TPE has the ability to use almost every instruction within its
  36. decryption routine thus making it more difficult to detect it. There are
  37. no holes inside the generated decryption-routines like MtE generated
  38. decryption-routines which makes it less difficult to detect.
  39.  
  40.    Despite the difficulty of detecting TPE-based vira, Frans Veldman of
  41. Thunderbyte B.V. and Righard Zwienenberg of Computer Security Engineers Ltd,
  42. have developed an algorithm which does detect the TPE-based vira. The next
  43. version of Thunderbyte B.V.'s scanner TBSCAN and CSE's scanner PCVP-SCAN
  44. will include the algorithm which do detect these vira.
  45.  
  46.    Since users always want to test scanners and its algorithms, this
  47. special demonstration program has been created. The algorithm used within
  48. this program is almost equal to the one used in both the scanners, but
  49. has been limited to only detect the samples which are generated by the
  50. TPE-GEN.COM file which is distributed within every released TPE-archive
  51. version.
  52.  
  53.    Information about the products mentioned above may be obtained from
  54. the above mail and telephone numbers. The authors of the algorithm can
  55. be reached at these numbers as well.
  56.  
  57. Frans Veldman                March 5, 1993              Righard Zwienenberg
  58.  
  59.  
  60.