home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #31 / NN_1992_31.iso / spool / comp / virus / 4782 < prev    next >
Encoding:
Internet Message Format  |  1992-12-22  |  1.5 KB
  1. Path: sparky!uunet!gatech!darwin.sura.net!jvnc.net!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: MC1980@mclink.it (Luca Parisi)
  3. Newsgroups: comp.virus
  4. Subject: Another Kind Of Droppers (PC)
  5. Message-ID: <0002.9212221358.AA03720@barnabas.cert.org>
  6. Date: 19 Dec 92 22:15:35 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 24
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. Not much time ago, a posting by Stefano Turci (Stefano_Turci@
  12. f108.n391.z9.virnet.bad.se) prompted discussion about the fact that
  13. converting a file from .COM to .EXE caused scanners not to recognize
  14. some virus infections any more.
  15.  
  16. I don't have much to object to the views expressed by the scanners
  17. themselves (well, actually their authors :-) but I faced the same
  18. problem while dealing with the "leftovers" of my previous posting.
  19.  
  20. That is, files infected with virus 855 (Nov. 17th) and subsequently
  21. immunized with CPAV 1.2 are not recognized as such by F-Prot 2.06,
  22. Scan 97 or VirX 2.4 (I know they are not entirely up-to-date, but all
  23. three recognize the 'vanilla' infection on the same files).
  24.  
  25. I don't think this is more than an "academic" problem unless the
  26. current DOS version of CPAV still offers immunization, and a bit more
  27. if the rumored MSDOS 6.0-bundled one does (the most recent plain DOS
  28. CPAV I have is 1.2, and WinCPAV doesn't). More generally, I'd say that
  29. the integrity check should be a built-in function, otherwise it can
  30. only build false security.  But somebody here must have said that
  31. before and better than me...
  32.  
  33. Luca Parisi 
  34. <MC1980@mclink.it>
  35.