FuD Viren NUR bei Scan nicht erkennbar?

Criunk · 15.01.2014, 15:21

Hallo, wollte mal nachfragen ob FuD Viren bei Scans der Exe Datei z.b. nicht detected werden können.

Habe mal gehört dass FuD Viren trotzdem sobald sie aktiviert werden (sich eingenistet haben) vom AV durch die Heuristik erkennt werden da schließlich Prozesse durchlaufen werden die unüblich sind. Sprich er müsste sich früher oder später enttarnt werden. Nur die Exe ist eben unsichtbar für AVs?

cosinus · 15.01.2014, 15:40

Zitat:

z.b. nicht detected werden können.

Was verstehst du unter FUD, du weißt wofür das steht?

Zitat:

vom AV durch die Heuristik erkennt werden da schließlich Prozesse durchlaufen werden die unüblich sind. Sprich er müsste sich früher oder später enttarnt werden. Nur die Exe ist eben unsichtbar für AVs?

Was der Scanner nicht sieht kann er nicht scannen

Rootkits werden idR mit speziellen Rootkitscannern wie zB GMER oder MBAR erkannt.

Auf was genau willst du hinaus?`

Criunk · 15.01.2014, 15:46

Joa, Kumpel meinte eben zu mir nen FuD kannst du trotzdem erkennen sobald er sich aktiviert hat. Nehmen wir mal an ich hätte einen RAT auf dem Rechner, nun meinte mein Freund mein AV (Bitdefender) würde merken wenn der Virus versucht rumzuspinnen und mir eine Warnung zeigen.

cosinus · 15.01.2014, 15:51

Zitat:

nun meinte mein Freund mein AV (Bitdefender) würde merken wenn der Virus versucht rumzuspinnen und mir eine Warnung zeigen.

Das ist pauschal falsch, auch Bitdefender kann nicht alles erkennen. Es gibt keine 100% sichere Methode, die beste Chance Rootkits zu erkennen hat man mit speziellen Anti-Rootkit-Tools.

Wenn das RAT bzw. der Schädling es geschafft hat trotz aktivem AV das System zu befallen, dann wird die Chance nicht höher, den nun aktiven Schädling zu entdecken.

Eric Lee · 15.01.2014, 16:21

Zitat:

Zitat von Criunk

Joa, Kumpel meinte eben zu mir nen FuD kannst du trotzdem erkennen sobald er sich aktiviert hat. Nehmen wir mal an ich hätte einen RAT auf dem Rechner, nun meinte mein Freund mein AV (Bitdefender) würde merken wenn der Virus versucht rumzuspinnen und mir eine Warnung zeigen.

Das ist Unfug. FUD wird bei diesen einschlägigen Programmen meist dadurch erzeugt, dass sie durch bestimmte Packer so 'komprimiert' oder 'verschlüsselt' werden, dass sie für manche Antiviren Scan Engines z.B. wie random noise aussehen. Solche gepackten Schädlinge zeichnen sich aber immer durch eine Entropie aus, die durch die Decke geht und jedes halbwegs vernünftige Analyseprogramm, welches entweder Packing Header oder Entropie mit in die Bilanz, nimmt wird dir dort immer eine entsprechende Warnung zu ausgeben, auch wenn das Ding nicht läuft, denn im Arbeitsspeicher gibt es diese Entropie nicht mehr, dort liegt es entpackt vor.

Das sieht dann beispielhaft so aus:

Code:

ATTFilter

Hash[boese.exe] = 0bfe83d28d7e6569fac1f6ec1f1a73e108be720d[*] File <boese.exe>
- Offset    : 0
- Entropy   : 7.82792 (97.8489%)
- Redundancy: 2.15105%
- A. Mean   : 1824
- StdDev    : 1612.58

Entropie nahe 100% = zwei mal überlegen was die Datei da wohl drin hat...
Ich hörte davon es gäbe Heuristik Module, die können solche Überlegungen auch anstellen

Kaspersky hat zum Beispiel mal jede UPX gepackte EXE als schädlich eingestuft, aber ich glaube von dem Trip sind sie wieder runter und dort gibt es jetzt nur noch Warnungen ohne Autoclean.

Dazu kommt wie cosinus schon sagte, dass du technisch gesehen sowieso verloren hast, wenn das Teil einmal im Arbeitsspeicher läuft, denn man kann dort nicht mehr nachvollziehen ob es schon etwas angestellt hat bevor das AV Programm zuschlug oder eben nicht (außer man schließt danach die entsprechende Systemanalyse an, die dann aber nicht auf das AV Programm zurückgreift..).

cosinus · 15.01.2014, 16:26

Mit Laufzweitkomprimierung hatten OnAccess-Scanner doch schon immer ihre Probleme oder nicht...

Zumal solche "überraschend" komprimierten Dateien doch eh meist aus solchen Quellen stammen, dass ein halbwegs mitdenkender diese nichtmal mit der Kneifzange anfassen würde

hungriger · 15.01.2014, 23:25

Bei FUD sind die Schädlinge, je nach Crypter/Verschlüsselungsprogramm vollständig während dem Scannen und der Laufzeit nicht erkennbar. Das ist auch keine Sache von irgendwelchen Profis sondern auch "Hobby-Hacker" benutzen solche Crypter.
Die ersten Virenscanner schlagen meist nach ein paar Tagen an,manche sogar erst nach Wochen.

Eric Lee · 16.01.2014, 20:14

Zitat:

Zitat von cosinus

Mit Laufzweitkomprimierung hatten OnAccess-Scanner doch schon immer ihre Probleme oder nicht...

In der Tat. Ich glaube Wikipedia hat(te?) einen ganz eigenen Eintrag dazu. Das ist quasi schon kultig.

Zitat:

Zitat von cosinus

Zumal solche "überraschend" komprimierten Dateien doch eh meist aus solchen Quellen stammen, dass ein halbwegs mitdenkender diese nichtmal mit der Kneifzange anfassen würde

Man sollte meinen ja, aber dann tun es wohl doch nur die wenigsten (leider).

Selbst wenn man als Nutzer überhaupt keine Ahnung von der Materie hat und das AV Programm dann eine Warnung z.B. bezüglich so einem Packer wie "y0da crypt" ausspuckt, dann wäre es keine große Hürde danach online zu suchen, aber erfahrungsgemäß tun dies die wenigsten. Selbst wenn man mit den Infos der Suchmaschine dann auch nichts anfangen könnte, sollten einem die Treffer, die auf irgendwelche Hacking-Foren verlinken arg zu denken geben

15.01.2014, 16:26	#6
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	FuD Viren NUR bei Scan nicht erkennbar? Mit Laufzweitkomprimierung hatten OnAccess-Scanner doch schon immer ihre Probleme oder nicht... Zumal solche "überraschend" komprimierten Dateien doch eh meist aus solchen Quellen stammen, dass ein halbwegs mitdenkender diese nichtmal mit der Kneifzange anfassen würde __________________ --> FuD Viren NUR bei Scan nicht erkennbar?

FuD Viren NUR bei Scan nicht erkennbar?

Überwachung, Datenschutz und Spam: FuD Viren NUR bei Scan nicht erkennbar?