home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #31 / NN_1992_31.iso / spool / comp / virus / 4779 < prev    next >
Encoding:
Internet Message Format  |  1992-12-22  |  3.0 KB
  1. Path: sparky!uunet!gatech!darwin.sura.net!jvnc.net!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  3. Newsgroups: comp.virus
  4. Subject: Re: Virus Simulator MtE Available (PC)
  5. Message-ID: <0007.9212221358.AA03720@barnabas.cert.org>
  6. Date: 21 Dec 92 12:45:03 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 56
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. as194@cleveland.Freenet.Edu (Doren Rosenthal) writes:
  12.  
  13. >               Virus Simulator MtE Supplement Available
  14.  
  15. [stuff deleted]
  16.  
  17. >      Virus  Simulator  (introduced earlier) and this  new  Virus 
  18. >      Simulator  MtE Supplement are not intended to  replace  the 
  19. >      comprehensive   collection   of  real  virus   samples   as 
  20. >      maintained  by Rosenthal Engineering and  other  anti-virus 
  21. >      product   developers  for  testing.  Virus  Simulator   MtE 
  22. >      Supplement  produces safe and controlled dummy  test  files 
  23. >      that  enable users to verify that they have  installed  and 
  24. >      are  using  their MtE virus detecting  programs  correctly, 
  25. >      additionally  affording  an  opportunity  for  a   practice 
  26. >      training drill under safe and controlled conditions. 
  27.  
  28. I've had some very strong objections against your virus simulator in
  29. the past. I have not seen yet your MtE simulator, but I have the
  30. following questions about it:
  31.  
  32. 1) Does is simulate perfectly the behavior of the MtE? I.e., are the
  33. dummy files generated by it the same as if generated by the MtE? If
  34. not, then it is not good as a simulator, because the simulation is not
  35. perfect enough.
  36.  
  37. 2) If the answer of the above question is "yes", then it means that it
  38. uses the MtE itself to encrypt the dummy files - because using
  39. anything else would mean imperfect simulation. If it uses the MtE, do
  40. you include the MtE itself in the generated dummies?
  41.  
  42. 3) If the answer of the above question is "no", then the simulation is
  43. again not good enough, since the only way a scanner could detect the
  44. unencrypted replicants of an MtE-based virus is to scan for a scan
  45. signature of the unencrypted body of MtE. If the answer of the above
  46. question is "yes", then it is pretty easy to extract the MtE from the
  47. unencrypted dummies... Therefore, you are distributing malicious
  48. software...
  49.  
  50. Conclusion: regardless how you answer to the above questions, either
  51. the simulator is useless, or you are distributing malicious
  52. software... Hmm, I was able to draw this conclusion even without
  53. having to look at the simulator... Pretty good, isn't it?... :-)
  54.  
  55. Leaving the ethical problems aside, do you try all kinds of flags
  56. (i.e., the contents of the AX register before calling the MtE)?
  57. Because, if you don't, you'll be able to generate only a small subset
  58. of the code that can be generated with the MtE...
  59.  
  60. Regards,
  61. Vesselin
  62. - -- 
  63. Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
  64. Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
  65. < PGP 2.1 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
  66. e-mail: bontchev@fbihh.informatik.uni-hamburg.de    D-2000 Hamburg 54, Germany
  67.