home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #27 / NN_1992_27.iso / spool / comp / virus / 4345 < prev    next >
Encoding:
Internet Message Format  |  1992-11-17  |  2.1 KB
  1. Path: sparky!uunet!charon.amdahl.com!pacbell.com!sgiblab!zaphod.mps.ohio-state.edu!sol.ctr.columbia.edu!caen!umeecs!hela.iti.org!cs.widener.edu!dsinc!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: medici@dorm.rutgers.edu (Mark Medici)
  3. Newsgroups: comp.virus
  4. Subject: Re: SCAN 95b doesn't find MtE in EXE files (PC)
  5. Message-ID: <0018.9211171913.AA17490@barnabas.cert.org>
  6. Date: 17 Nov 92 01:47:17 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 34
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. frisk@complex.is (Fridrik Skulason) writes:
  12.  
  13. [in reference to various virus scanners missing MtE in .COM's converted
  14.  to .EXE's via COM2EXE...]
  15.  
  16. | Not surprising - what you did was simply to add a new layer of
  17. | encryption to the files.  Of course, the virus could be distributed in
  18. | this form, and would probably replicate, but all the second (and
  19. | later) generation copies would be detected normally.
  20.  
  21. [...]
  22.  
  23. | I don't consider it a serious problem - basically it is equivalent to
  24. | distributing an old virus, with a new encryption wrapper...the
  25. | original sample will not be found, but all the second generation
  26. | copies will.
  27.  
  28. I'm not sure that I agree with that.  While it's good that the second
  29. generation infections will be detected, (and, presumably, eradicated),
  30. if the original vector for the virus remains undiscovered, further
  31. infections will inevitably occur.  If nothing else, this would be a
  32. continual time waster, as sysadmin's go around cleaning-up detected
  33. instances of the virus and trying to find the source of the problem,
  34. which could be right on their own PC.
  35.  
  36. Of course, if a person didn't take the time to check the .COM for
  37. virus before converting to .EXE (or compressing with PKLITE/LZE/etc),
  38. s/he is asking for trouble anyway.  But that doesn't exclude a baddy
  39. from doing this on purpose to make the virus harder to detect.
  40. - -- 
  41. _________________________________________________________________________
  42. RUCS     | Mark A. Medici, Systems Programmer III, User Services Division
  43. User     | Rutgers University Computing Services, New Brunswick, NJ 08903
  44. Services | [medici@gandalf.rutgers.edu]                    [908-932-2412]
  45.