home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #3 / NN_1993_3.iso / spool / comp / virus / 4970 < prev    next >
Encoding:
Internet Message Format  |  1993-01-23  |  2.4 KB
  1. Path: sparky!uunet!zaphod.mps.ohio-state.edu!cis.ohio-state.edu!news.sei.cmu.edu!cert!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  3. Newsgroups: comp.virus
  4. Subject: Re: How do MtE utilizing viruses detect themselves? (PC)
  5. Message-ID: <0015.9301221631.AA12947@barnabas.cert.org>
  6. Date: 14 Jan 93 10:36:56 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 43
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. Malte_Eppert@f535.n240.z2.fidonet.bad.se (Malte Eppert) writes:
  12.  
  13. > Can anybody tell me how MtE utilizing viruses detect themselves in an
  14. > infected file?
  15.  
  16. It depends - the different MtE-based viruses use different methods.
  17. The variants of Dedicated pad the infected files to the next multiple
  18. of 256 when infecting it and do not infect files with size that is an
  19. exact multiple of 256. Pogue puts an 'M' in the first byte of the
  20. infected COM files and uses this as an infection marker. And so on.
  21.  
  22. Because those viruses to not have an exact MtE-detection mechanism,
  23. this means that they might not infect some infectable files (they will
  24. think that those files are already infected). This is sometimes called
  25. "sparse infection".
  26.  
  27. > Or do they reinfect the file each time they attack it,
  28. > like old Jerusalem? 
  29.  
  30. No, they are not -that- stupid... :-)
  31.  
  32. > Can't an algorithmic scanner use the method used
  33. > by MtE itself to detect it?
  34.  
  35. Unfortunately - not. The virus author does not care if his virus does
  36. not infect some infectable files, while a producer of an anti-virus
  37. program cannot permit himself to erroneously flag a perfectly valid
  38. file as infected... The only thing that can be done is to use the
  39. infection marker of the virus as an heuristic to sieve out the files
  40. that are obviously not infected. For instance, if you need to detect
  41. only Pogue, you can check if the file is a COM file and its first byte
  42. contains the character 'M'. If it is not or it doesn't, then you know
  43. that it is not infected by Pogue and don't need to spend more time
  44. checking... Only if it looks like a Pogue-infected file, you'll have
  45. to apply your algorithmic detection...
  46.  
  47. Regards,
  48. Vesselin
  49. - -- 
  50. Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
  51. Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
  52. < PGP 2.1 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
  53. e-mail: bontchev@fbihh.informatik.uni-hamburg.de    D-2000 Hamburg 54, Germany
  54.