home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #27 / NN_1992_27.iso / spool / comp / virus / 4343 < prev    next >
Encoding:
Internet Message Format  |  1992-11-17  |  2.6 KB
  1. Path: sparky!uunet!ukma!cs.widener.edu!dsinc!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  3. Newsgroups: comp.virus
  4. Subject: Re: Comment on the MtE wars (PC)
  5. Message-ID: <0013.9211171913.AA17490@barnabas.cert.org>
  6. Date: 16 Nov 92 13:28:04 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 48
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. tck@fold.ucsd.edu (Kevin Marcus) writes:
  12.  
  13. > One, as someone kindly pointed out at one time, I forgot where I saw
  14. > it, but the MtE can only generate certain code.  It can't generate a
  15. > variety of instructions, and any program which begins with these
  16. > instructions cannot possibly be infected.
  17.  
  18. This is essentially what Frans Veldman says in the documentation of
  19. TbScan, but it has to be understood correctly; not followed blindly.
  20. First of all the problem for detecting reliably all MtE-based viruses
  21. (or at least all replicants of the known MtE-based viruses) consists
  22. of two separate and equally difficult problems:
  23.  
  24. 1) Detect all files that contain the MtE-based virus as infected.
  25.  
  26. 2) Do NOT detect any file that DOESN'T contain any MtE-based virus as
  27. infected. In other words - avoid the false positives.
  28.  
  29. It is possible to do some statistical analysis to see what
  30. instructions are usually present in the MtE-generated decryptor, but
  31. you are running the risk to miss some infected samples. It is also
  32. possible to raise an alert any time you see one of the possible
  33. instructions in the decryptor that actually to the encryption - they
  34. are not that many and the variety of addressing modes uses is also not
  35. that great. But then, you are running the risk to cause a lot of false
  36. positives... The really smart trick is to combine both ideas in a
  37. sensible way and to detect all viruses without any false positives.
  38. Currently very few scanners have achieved this.
  39.  
  40. > Two, the MtE always has certain markers.  For example, the end of the
  41. > decrypting algorythm always ends with JNZ.
  42.  
  43. Yes, and it seems that all MtE detecting programs are using this. But
  44. it is pretty slim as a clue; you need much more to achieve reliably
  45. MtE detection...
  46.  
  47. > If you have a disasssembler, or even debug, you can spend a few hours
  48. > and figure out how to take care of a variety of infections.
  49.  
  50. And you'll end up with yet another unreliable MtE detector... :-)
  51.  
  52. Regards,
  53. Vesselin
  54. - -- 
  55. Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
  56. Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
  57. < PGP 2.0 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
  58. e-mail: bontchev@fbihh.informatik.uni-hamburg.de    D-2000 Hamburg 54, Germany
  59.