home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / pc / virus / polymorf.vir < prev    next >
Encoding:
Internet Message Format  |  2003-06-11  |  2.7 KB
  1. From: Otto.Stolz.RZOTTO@DKNKURZ1
  2. Newsgroups: comp.virus
  3. Subject: Re: Polymorphic viruses
  4.  
  5. In my copy of VIRUS-L, roughly three paragraphs of my proposed FAQ entry
  6. are missing. I fear that other VIRUS-L subscribers may have received
  7. garbeled copies, as welle; hence, I re-submit said entry:
  8.  
  9. [Moderator's note: The moderator apologizes for inadvertantly wiping
  10. out the three paragraphs.  The FAQ entry in my file is complete.]
  11.  
  12. Q: What is special about polymorphic viruses?  Why are they called
  13.    "polymorphic"?
  14.  
  15. A: In order to eradicate a virus infection, all instances of this
  16.    particular virus in various places (program files, boot records, etc.)
  17.    have to be found and identified. A program to acomplish this task is
  18.    called a Virus Scanner.
  19.  
  20.    A polymorphic virus tries to escape virus scanners by producing varied
  21.    (yet fully operational) copies of itself.
  22.  
  23.    One method to evade signature-driven virus scanners is self-encryption
  24.    with a variable key; however these viruses (e.g. Cascade) are not
  25.    termed "polymorphic", as their decryption code is always the same and
  26.    hence can be used as a virus signature even by the simplest, signature
  27.    driven virus scanners.
  28.  
  29.    One method for a polymorphic virus is choosing amongst a variety of
  30.    different encryption schemes requiring different decryption routines:
  31.    only one of these routines would be plainly visible in any instance of
  32.    the virus (e.g. the Whale virus does it this way, if I am not mis-
  33.    taken). A signature-driven virus scanner would have to exploit several
  34.    signatures (one for each possible encryption method) to reliably
  35.    identify a virus of this kind.
  36.  
  37.    A more sophisticated polymorphic virus (e.g. V2P6) will vary the
  38.    sequence of instructions in its copies, by interspersing it with
  39.    "noise" instructions (e.g. a No Operation instruction, or an
  40.    instruction to load a currently unused register with an arbitrary
  41.    value), by interchanging mutually independent instructions, or even
  42.    by using various instruction sequences with identical net effects
  43.    (e.g. Subtract A from A, and Move 0 to A, have the same net effect).
  44.    A simple-minded, signature-based virus scanner would not be able to
  45.    reliably identify this sort of viruses; rather, a sophisticated
  46.    "scanning engine" has to be constructed after a thorough research into
  47.    the particular virus.
  48.  
  49.    The advent of polymorphic viruses has rendered virus-scanning an ever
  50.    more difficult and expensive endeveaour; adding more and more search
  51.    strings to simple scanners will not adequately deal with these
  52.    viruses.
  53.  
  54. (End of proposed FAQ entry)
  55.  
  56. --- Fred-Uf 1.8(L)[BETA]
  57.  * Origin: Megabyte BBS, UUCP, Fidonet, IMEx, total messaging (1:340/201.0)
  58. SEEN-BY: 340/201 1000 688/13
  59.