home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #27 / NN_1992_27.iso / spool / comp / virus / 4354 < prev    next >
Encoding:
Internet Message Format  |  1992-11-19  |  4.9 KB
  1. Path: sparky!uunet!ornl!rsg1.er.usgs.gov!darwin.sura.net!zaphod.mps.ohio-state.edu!ub!dsinc!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: mcafee@netcom.com (McAfee Associates)
  3. Newsgroups: comp.virus
  4. Subject: Re: SCAN 95b doesn't find MtE in EXE files (PC)
  5. Message-ID: <0003.9211191448.AA21875@barnabas.cert.org>
  6. Date: 17 Nov 92 07:32:33 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 110
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. Hello Vesselin,
  12.  
  13. you write
  14. [a ">>" means I write]
  15.  
  16. [...part about SCAN 97 missing representative samples from each set
  17. of your MtE-based viruses deleted for brevity...]
  18.  
  19. >                           Unless, of course, you mean my previous
  20. >message, in which I stated that SCAN 95b does NOT detect the MtE-based
  21. >viruses in ANY infected EXE files AT ALL, which is also true.
  22.  
  23. Correct.  SCAN 95-B was released before we had any samples of
  24. MtE-based viruses which infected .EXE files.  Detection was added in
  25. V97 (the V96 release was skipped due to a Trojan horse).
  26.  
  27. >Regardless which of my messages you meant, they are both true and I
  28. >have facts that prove both of them. If you consider my message about
  29. >those facts to be alarmist, you are free to think so. Try to explain
  30.  
  31. Okay.
  32.  
  33. >it to your users. But please, don't object the facts. The facts are
  34.  
  35. I have been :-).  I don't believe I was objecting to your results.
  36.  
  37. >that SCAN is still unable to detect reliably ANY of the MtE-based
  38. >viruses. It was my duty to warn its users about this.
  39.  
  40. [... my comments about MtE-based virus spread deleted...]
  41.  
  42. >I am not arguing about how widespread the MtE-based viruses are. They
  43. >are not. What I am arguing about is that SCAN 97 is not able to detect
  44. >reliably ANY of them. For a known virus, there is no such thing as
  45. >99.8% detection. You either can detect it, or you cannot. Try
  46.  
  47. Are you sure?  I can see two opposing schools of thought forming here:
  48. One of "all or nothing" detection (the binary operation school of
  49. thought), and one of "percentages" of detecting (the analog school of
  50. thought)?  Without getting too far off track, here, I believe that
  51. there will be more "percentage" reports in the future, especially as
  52. more complex forms of viral code emerge.
  53.  
  54. >explaining your users that they should not be alarmed, because SCAN
  55. >misses "only" about one infected file in every 50. Besides, 319 missed
  56. >samples of 15,994 is 98% (not 99.8%), i.e. one missed sample in every
  57.                       ^^^^^^^^^^^^^^^
  58. My mistake.  Sorry about that.
  59.  
  60. >50.
  61.  
  62. [...my suggestion for wording of reports deleted...]
  63.  
  64. >OK, I'll use this wording the next time. But I will not miss to say
  65. >that "SCAN version xx missed X out of Y samples of the Z virus, which
  66. >means that this version of SCAN is NOT able to detect the Z virus
  67. >reliably. I've notified McAfee Associates of the problem and they will
  68. >(hopefully) fix it shortly."
  69.  
  70. <GRIN>  Beautiful.
  71.  
  72. >> >an article posted somewhere (maybe even here), which described how
  73. >> >McAfee Associates sponsored a particular set of anti-virus product
  74. >> >evaluations and insisted that only old versions of the scanners of
  75. >> >their main competitors were tested.
  76. >
  77. >> McAfee Associates has sponsored (that is, paid for) anti-virus product
  78. >> testing by a number of independent organizations, using then-available
  79. >> versions of competitors' anti-viral programs.  To do otherwise would be
  80. >> worthless.
  81. >
  82. >More exactly, the article said that McAfee insisted that OLD versions
  83.  
  84. The article (I wish I knew which one) could have have said that.  It
  85. does not mean that it is true, though.
  86.  
  87. >of the competitive scanners were used in those tests and that he was
  88. >quoted saying that he wants his competitors to show worse results in
  89. >such tests. To do otherwise might be worthless from the economical
  90.  
  91. I think its fairly easy to guess that John McAfee would like his programs 
  92. to do better then anyone else's in a test.  I'm sure that is hardly
  93. unique, though.
  94.  
  95. >point of view, but it would be honest from the human point of view...
  96.  
  97. [...deleted...]
  98. >I hope so. This is one of the reasons for posting my message. Just
  99. >have in mind that the bugs in security-related software (like
  100. >anti-virus programs) are more dangerous. I'll do my best to continue
  101. >reporting them.
  102.  
  103. If possible, would you mind sending me a copy of any such reports?  (Only
  104. on McAfee Associates software, that is).  Thank you.
  105.  
  106. Regards,
  107.  
  108. Aryeh Goretsky
  109. Technical Support
  110.  
  111. PS:  SCAN V99 should be available about the time you read this.  I'd
  112.      be very interested in hearing how it does--the MtE-based virus
  113.      detector was rewritten.  AG
  114. - -- 
  115. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
  116. McAfee Associates, Inc.  | Voice (408) 988-3832 | INTERNET:
  117. 3350 Scott Blvd, Bldg 14 | FAX   (408) 970-9727 | mcafee@netcom.COM
  118. Santa Clara, California  | BBS   (408) 988-4004 | CompuServe ID: 76702,1714
  119. 95054-3107  USA          | USR HST Courier DS   | or GO MCAFEE
  120. Support for SENTRY/SCAN/NETSCAN/VSHIELD/CLEAN/WSCAN/NETSHIELD/TARGET/CONFIG MGR
  121.