home *** CD-ROM | disk | FTP | other *** search
/ HaCKeRz Kr0nlcKLeZ 1 / HaCKeRz Kr0nlcKLeZ.iso / virus / virusprogramming / polymrph.txt < prev    next >
Encoding:
Text File  |  1996-04-16  |  4.0 KB  |  72 lines
  1.    Polymorphic viruses escape detection but get our attention
  2.  
  3.   Last week, we faced the implications of the next-generation
  4. ultrastealth viruses that are now reproducing themselves among us. 
  5. Because a few of these viruses have already been found to be
  6. employing this new scanner-beating self-modifying technology and
  7. because their is nothing particularly difficult about writing such
  8. a polymorphic virus, I feel there is more good than harm in a
  9. public discussion of this nasty new breed.
  10.  (I know that many readers are wondering what happened to my
  11. promised solution to the spread of these viruses; it will come next
  12. week after I illustrate the danger of these new germs.)
  13.  viruses can be detested by recognizing either their dynamic
  14. actions or their static presence. Dynamic-action recognition
  15. provides the potential benefit of stopping unknown viruses.
  16. Nevertheless, today's smarter viruses can circumvent such
  17. interception easily. If the virus wishes to have a higher level of
  18. software access to the system, several techniques are known for
  19. getting underneath DOS and BIOS interception, so resident blockers
  20. are all but useless.
  21.  Static-presence recognition scans the entire system for the
  22. "fingerprints" of known viruses. Today's deliberately elusive
  23. polymorphic viruses can evade this detection entirely.
  24.  The simple idea behind the polymorphic virus is that the bulk of
  25. the virus can be scrambled by a random number. Every IBM-compatible
  26. PC has a counter/timer chip that can be used as the source for a
  27. completely nondeterministic 16-bit random number. When the virus
  28. clones itself into a new environment, it can use the instantaneous
  29. value of the counter/timer as a scrambling starting point. By
  30. algorithmically altering every byte of itself based upon this
  31. initial number, the newly propagated virus will be immune to
  32. fingerprint detection.
  33.  There's one flaw in this approach: The small kernel of code used
  34. to unscramble the body of the virus must be left in an unscrambled
  35. state so the computer can execute it and unscramble the balance of
  36. the virus. This means the unscrambling portion could still be
  37. fingerprinted and identified.
  38.  This problem could be easily solved: By deliberately interlacing
  39. irrelevant "do nothing" instructions among those that perform the
  40. unscrambling work, every stored instance of the unscrambling kernel
  41. could be completely different from all the others. As the virus
  42. copies itself to a new destination, it randomly draws from a
  43. repertory of superfluous instructions, peppering them liberally
  44. throughout the new copy of itself.
  45.  As you can see, these techniques can be teamed up with activity
  46. interception avoidance to create a new breed of viruses that would
  47. be virtually impossible to detect.
  48.  It is quite annoying that we must expend our resources in the
  49. prevention of this software terrorism. But there may be some value
  50. in experiencing this terrorism now. Most viruses have been the work
  51. of amateurs and are far from devastating.
  52.  Being told on Friday the 13th that your computer is "stoned" is
  53. annoying as hell, and having to type "Happy Birthday to Joshi"
  54. early in January makes you wonder who's in charge. But it sure
  55. beats being informed that your company's customer list and the
  56. archived source code for your next unreleased product have just
  57. been transmitted by modem to your competition. When your network's
  58. database and modem servers receive remote procedure calls (RPCs)
  59. from remote workstations, are you sure they should answer that
  60. call?
  61.  We need to begin tightening up our systems and taking security
  62. very seriously. Personal computing is not just a diversion from the
  63. tedium of sharpening pencils; it is a serious endeavor that is
  64. extremely prone to organized and deliberate attack. If a bored,
  65. pimply faced highschool kid is capable of penetrating your
  66. corporation's security with his annoying but benign virus, you had
  67. better hope he never wants to hurt you.
  68.  
  69.  Steve Gibson is the developer and publisher of SpinRite and
  70. president of Gibson Research Corp., based in Irvine California.
  71.        From April 20,1992 issue of InfoWorld\ 
  72.