home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #3 / NN_1993_3.iso / spool / comp / virus / 4975 < prev    next >
Encoding:
Internet Message Format  |  1993-01-23  |  1.9 KB
  1. Path: sparky!uunet!cs.utexas.edu!zaphod.mps.ohio-state.edu!cis.ohio-state.edu!news.sei.cmu.edu!cert!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  3. Newsgroups: comp.virus
  4. Subject: Re: New way of opeing files??? (PC)
  5. Message-ID: <0020.9301221631.AA12947@barnabas.cert.org>
  6. Date: 15 Jan 93 05:50:16 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 32
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. antkow@sis.uucp (Chris Antkow) writes:
  12.  
  13. >  Apparently, there is a new way of opening files which some AV
  14. > Utilities don't catch. I've heard that the NuKE group is starting to
  15. > use function AX,6C00h/INT 21h to open files...
  16.  
  17. First, the method is not new - it was introduced in DOS 4.0. Second,
  18. it is not backwards compatible - if a virus uses it, it will not run
  19. under DOS 3.30 and below. Third, there are already viruses using this
  20. function (or intercepting it) - since quite a lot of time... :-)
  21. Fourth, the knowledge of the members of the NuKE group about the
  22. internals of DOS is not very impressive, if one takes a look at the
  23. incredibly boring and silly viruses they continue to produce...
  24.  
  25. > Can anyone confirm the
  26. > use of this function and are there any AV programs that trap this
  27. > function?
  28.  
  29. I don't know, but why bother? First, even if a monitoring program
  30. traps this function, it can be easily bypassed, using one of the many
  31. tunneling techniques. Second, with this function it is possible only
  32. to open or create (i.e., destroy) a file. If the virus wants to infect
  33. it, it has to Write to it, and most monitoring programs I am aware of,
  34. do trap the write operation...
  35.  
  36. Regards,
  37. Vesselin
  38. - -- 
  39. Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
  40. Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
  41. < PGP 2.1 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
  42. e-mail: bontchev@fbihh.informatik.uni-hamburg.de    D-2000 Hamburg 54, Germany
  43.