home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #3 / NN_1993_3.iso / spool / comp / virus / 5008 < prev    next >
Encoding:
Internet Message Format  |  1993-01-28  |  1.1 KB
  1. Path: sparky!uunet!ukma!cs.widener.edu!dsinc!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: chess@watson.ibm.com (David M. Chess)
  3. Newsgroups: comp.virus
  4. Subject: How do MtE utilizing viruses detect themselves? (PC)
  5. Message-ID: <0012.9301281842.AA17847@barnabas.cert.org>
  6. Date: 18 Jan 93 21:07:19 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 14
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. >From:    Malte_Eppert@f535.n240.z2.fidonet.bad.se (Malte Eppert)
  12. >
  13. >Can anybody tell me how MtE utilizing viruses detect themselves in an
  14. >infected file? Or do they reinfect the file each time they attack it,
  15. >like old Jerusalem?  Can't an algorithmic scanner use the method used
  16. >by MtE itself to detect it?
  17.  
  18. The MtE itself is just a garbler-generator, and so doesn't contain any
  19. self-id code of any kind.  Viruses that use the MtE just use some sort
  20. of simple test that will have lots of false positives ("Is there an M
  21. in the first four bytes of this file" or "Is the seconds field on this
  22. file 14?" or whatever).  This is fine for the virus (since it's OK if
  23. it fails to infect 1% of files), but unusable for anti-virus programs
  24. (since a 1% false positive rate would be unacceptable).  DC
  25.