home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #3 / NN_1993_3.iso / spool / comp / virus / 4958 < prev    next >
Encoding:
Internet Message Format  |  1993-01-23  |  1.4 KB
  1. Path: sparky!uunet!cs.utexas.edu!zaphod.mps.ohio-state.edu!pacific.mps.ohio-state.edu!cis.ohio-state.edu!news.sei.cmu.edu!cert!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  3. Newsgroups: comp.virus
  4. Subject: Re: How to measure polymorphi
  5. Message-ID: <0003.9301221631.AA12947@barnabas.cert.org>
  6. Date: 14 Jan 93 10:46:30 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 23
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. bill.lambdin%acc1bbs@ssr.com (Bill Lambdin) writes:
  12.  
  13. > How about releasing a polymorphic virus on a test machine with several 
  14. > thousand bait files that are identical. 2-5 thousand bait files should be 
  15. > enough.
  16.  
  17. > infect these bait files, then use a program that would generate CRC's of 
  18. > all of the infected files then delete the duplicates.
  19. >  
  20. > If the MtE generates fewer dupes than the others, call it the most 
  21. > polymorphic
  22.  
  23. Not good enough... A virus that puts a single word (two bytes) of
  24. random garbage in the decryptor will be flagged as more polymorphic
  25. than MtE by your scheme...
  26.  
  27. Regards,
  28. Vesselin
  29. - -- 
  30. Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
  31. Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
  32. < PGP 2.1 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
  33. e-mail: bontchev@fbihh.informatik.uni-hamburg.de    D-2000 Hamburg 54, Germany
  34.