</font><blockquote>Zitat:</font><hr />Cassandra schrieb:
Nautilus hat sich gegen eine Veröffentlichung ausgesprochen, ja. Aber hast Du Dir schon mal überlegt, daß er das deshalb getan haben könnte, weil er der Meinung ist, es unseren Script-Kiddies nicht noch leichter machen zu müssen???</font>[/QUOTE]Damit würde er es den Scriptkids sogar sehr erleichtern, Cassandra. Security-by-Obscurity kann nicht funktionieren. Durch eine Veröffentlichung wären viel mehr und breitere Gegenmaßnahmen möglich.
</font><blockquote>Zitat:</font><hr />Es war seitens Nautilus' nie die Rede davon, die Ergebnisse in einem "elitären Zirkel" zu veröffentlichen</font>[/QUOTE]Eine Satire meinerseits... [img]tongue.gif[/img]
</font><blockquote>Zitat:</font><hr />dann sollte ich mich vielleicht mal nach einem Cracker-Board umsehen- da gibt's wenigstens was zu lachen.</font>[/QUOTE]Na, da hätte ich direkt einen Tip für dich...

ciao

[ 06. September 2002, 00:55: Beitrag editiert von: Dr Prantl ]

@ Cobra:
Nur so nebenbei...ich hatte an eine andere Antwort gedacht, die allerdings ebenfalls schwer dcsf-lastig ist: *PLONK*

Ich fand das letzte Posting von Nautilus auch stilistisch gelungen. Nichtsdestotrotz ist er Antworten schuldig geblieben. Auch ein Scherz kann nach hinten losgehen und dieser hier war für meinen Geschmack der reinste Rohrkrepierer.
Ich setz mich hier mit dem einen oder anderen Posting auch in die Nesseln. Stört mich aber nicht weiter, da ich script-kiddie-technisch ein reines Gewissen habe und niemandem beweisen muss, dass ich es ehrlich meine und lautere Absichten habe.

@IRON: Nein, warum sollte ich ihn plonken, ich möchte doch noch eine Antwort haben.

Hallo Leute,

durch dieses Hin und Her und Gezanke verliert ihr doch nur euer eigentliches Ziel aus den Augen, dass bringt euch doch so nicht weiter.

Viele Grüsse
manman

[ 07. September 2002, 21:58: Beitrag editiert von: manman ]

@MM: Na gut, aber es sollte geklärt werden, wie verfahren werden soll.

Hallo zusammen, ich bin in Urlaub und kann mich deshalb momentan nicht gross um die Sache kümmern.

Mein ursprünglicher Vorschlag war bekanntlich gewesen, die Suchergebnisse zu veröffentlichen. Da hiergegen aber erhebliche Bedenken geäussert wurden, habe ich eingelenkt und in dem von Prantl kritisierten Posting geschrieben, dass nur wegen mir, d.h. zur Befriedigung meines persönlichen EGOs keine Veröffentlichung erfolgen muss. Ich bin im Prinzip also bereit, meine eigenen Ergebnisse im Geheimen an Bitmaster zu senden. Voraussetzung hierfür wäre aber - wie ich ebenfalls geschrieben habe -, dass ein durchdachter Alternativ-Vorschlag gemacht wird, der die restlichen Vorteile (bis auf den Motivationseffekt) gewährleistet, die mit einer Veröffentlichung verbunden sind. Ein solcher Vorschlag ist nicht erfolgt. Daher bin ich nach wie vor für Veröffentlichen.

Allerdings scheint es mir so, als würde die ganze Diskussion bislang im luftleeren Raum geführt. Bevor wir über das genaue Prozedere etc. nachdenken, müssten erst einmal ein paar Leute ihre generelle Bereitschaft zum mühsamen und zeitaufwendigen Mitsuchen erklären. Es haben zwar einige hier im Thread gepostet. Mitsuchen wollte aber noch keiner.

Raman meint insoweit, dass diese Arbeit eh nur bekloppte Freaks auf sich nehmen. Vielleicht hat er Recht.

Nautilus

Bei so etwas bin ich immer mit dabei. Und habe auch schon zwei Teilerfolge verbuchen können. Obwohl es ein schwieriges Unterfangen ist, ist es aber auch sehr spannend !

Hi Bitmaster,
...Teilerfolge inwiefern denn konkret?

Grüße,
wiwi

</font><blockquote>Zitat:</font><hr />Original erstellt von Nautilus:

Raman meint insoweit, dass diese Arbeit eh nur bekloppte Freaks auf sich nehmen. Vielleicht hat er Recht.
Nautilus</font>[/QUOTE]Um mich hier mal als "halb-bekloppter Freak" zu outen. Wenn mir soetwas ueber den Weg laeuft _und_ das entsprechende Antivirenprogramm dort einen Virus(Fehlalarm) meldet, schicke ich sowas zu den entsprechenden Herstellern.

Bis jetzt waren Kasperky( max 2Tage) am schnellsten mit dem hinzufuegen, bei Norton geht es (intern) fast genauso schnell, bloss bis die das an die Kunden verteilen dauert es laenger.

Mit Mcafee/Nai habe ich in der Beziehung keine guten Erfahrungen gemacht. Aber das mag ja auch mir so gehen. SO haeufig kommt soetwas auch nicht vor.

MfG Ralf

@ Wiwi

http://www.rokopsecurity.de/forum/ms...2f3c595919df98

Ach so!

Ich stelle mal folgende Vorgehensweise für die Suche zur Diskussion:

1. Was suchen?

Es gilt nach Packern bzw. Cryptern für .exe Dateien zu suchen. In der Regel sind nur solche Packer interessant, die Windows PE executables packen. Packer für DOS executables oder COM files sind weniger nützlich. Es ist nicht nach selbstextrahierenden Archiven, sondern nach Laufzeitkompressoren zu suchen. Somit scheiden WinZIP, WinRAR, WinACE etc. und auch die herkömmlichen Joiner und Binder für Trojaner aus.

In Einzelfällen mag es vorkommen, dass ein Packer oder Crypter keine Freeware ist, sondern Geld kostet. In einem solchen Fall wird NICHT empfohlen, den Packer zu Testzwecken mit einem Crack oder Key von astalavista.box.sk freizuschalten, da dies illegal wäre. Stattdessen kann man sich an mich (oder evt. Bitmaster?) wenden. Dort werden Sie geholfen.

2. Wo suchen?

http://protools.cjb.net/

http://exetools.chat.ru/encrypt.html (manchmal down)

http://de.geocities.com/gsm_hhc/packers.htm

http://mup.anticrack.de/Gallery.html (nur Übersicht)

EDITED: Noch eine weitere Adresse, die ich schon wieder vergessen hatte (mit freundlicher Unterstützung des Ratboards

****************
"Packer....usw

hi leute, hab da eine seite mit packern usw. gefunden.
reichlich viel um allein zu testen.......
giand

http://sac.mirror.stop.hu/pack/
__________________
Nur zusammen sind wir Stark

15.09.2002, 11:26

*Kopfschüttel*

Danke, mal sehen welche davon in naher Zukunft detected sind!

Es kann einfach nicht wahr sein, wenn du solche Tips schon hast, dann behalte sie wenigstens für dich und klopp sowas nicht in die Datenbank eines Boards auf dem viele User mitlesen... Was denkst du wie schnell manche solcher Sachen hinterher detected sein können !

Wäre nett, wenn du die URL einfach löschen würdest!
__________________
JayseeTK"
***********

Ausserdem per Suchmaschine nach den Begriffen "packer" oder "pack", "crypter" oder "crypt", "cruncher", "scrambler", "PE","exe" fahnden.

3. Wer sucht wo?

Es wäre wohl am effektivsten, wenn nicht jeder überall suchen würde, sondern die Suche beispielsweise nach Anfangsbuchstaben der Packer/Crypter aufgeteilt wird. Beispiel: XYZ testet nur Packer mit den Anfangsbuchstaben A bis D. Zusätzlich steht es jedem natürlich frei, solche Packer/Crypter zu testen, die sich nur auf "abgelegenen" Internetseiten finden lassen.

4. Packer/Crypter für welches AV Programm suchen?

Es wurde bislang noch nicht entschieden, ob nur KAV (weil von diesem Hersteller eine schnelle Reaktion erwartet werden kann) oder noch andere AV Programme beteiligt werden sollen.

Diese Frage ist aber wichtig, da es in der Regel keinen Packer gibt, der für alle AV Programme gleichermassen "geheim" ist. Beispielsweise mag der eine oder andere Packer/Crypter KAV täuschen und wird dennoch von McAfee erkannt. Beim nächsten Packer/Crypter ist es dann umgekehrt.

Im Prinzip fände ich es schade, wenn nur KAV (+ Derivate) und nicht das ebenfalls vielversprechende McAfee beteiligt würden.

5. Wie testen?

Um zu testen, ob ein Packer oder Crypter vom AV Programm noch nicht erkannt wird, muss das jeweilige AV Programm mit den aktuellen Signaturen und der aktuellen Scanengine (wichtig!) installiert werden. Der Realtime-Monitor sollte abgeschaltet und stattdessen der on demand Scanner eingesetzt werden.

Ich empfehle, den Test mit mindestens zwei Trojanern durchzuführen. Als primäres Testobjekt schlage ich Optix Lite 0.4 vor, da dieser unter allen Betriebssystemen laufen sollten und einfach zu packen ist. Als sekundäres Testobjekt schlage ich vor, einen älteren und möglichst kleinen Trojaner zu verwenden (etwa MiniCommand). Kleine Trojaner lassen sich leichter packen bzw. crypten. Anders ausgedrückt: Nur weil sich Subseven nicht erfolgreich packen lässt, heisst dies noch längst nicht, dass der Packer wirklich vom AV Programm erkannt wird und weiteres Testen sinnlos ist. Es sollte auch deshalb nicht nur mit Optix Lite getestet werden, da dieser Trojaner sehr bekannt ist und nicht ausgeschlossen werden kann, dass viele AV Hersteller einfach neue Signaturen für einige gepackte Optix Server erstellt haben (anstatt den Packer ordnungsgemäss in die Unpacking Engine einzubauen)!

Wer Schwierigkeiten hat, ein Testobjekt zu finden, sollte einmal bei der Security Seite [EDITED] vorbeischauen.

Der eigentliche Test erfolgt in zwei Schritten. Zunächst wird der ungepackte, ungecryptete Server mit dem Scanner gescannt, um sicherzustellen, dass er erkannt wird. Anschliessend wird der Server gepackt und gecrypted (wobei auch mehrere Packer und/oder Crypter kombiniert werden können). Wenn der Server nun nicht mehr erkannt wird, gilt es den Server in einem zweiten Schritt auf dem eigenen Computer zu starten (also sich selbst zu infizieren), um festzustellen, ob der Server überhaupt noch läuft. Ein unerkannter, aber "toter" Server zählt somit nicht als Erfolg.

Nach dem Test kann man den Server normalerweise wieder mit Hilfe des dazugehörigen Clienten deinstallieren. Zur Sicherheit sollte man die Installation des Servers mit RegMon + Filemon, Cleansweep, der Ashampoo Uninstaller Suite, einer Sandbox a la Tiny Trojan Trap oder ähnlichen Tools überwachen. Wer mit der Installation und sicheren Deinstallation von Trojanern auf dem eigenen Rechner nicht vertraut ist, sollte am Test sicherheitshalber NICHT teilnehmen!

6. Wie Ergebnisse melden?

Die Einzelheiten gilt es noch zu diskutieren. (Veröffentlichung: Ja oder Nein?). Wichtig ist es in jedem Fall, die genaue Version des verwendeten Betriebssystems, die verwendeten Packer/Crypter, die verwendeten AV Signaturen u. Engine sowie die genaue Version des verwendeten Trojaners anzugeben. Ein Sample .zip-File, in dem sich der ungepackte Trojanerserver, der erfolgreich gepackte Trojanerserver sowie der Packer/Crypter befindet, sollte zur Kontrolle an mindestens zwei Personen (beispielsweise Bitmaster, Cruz, Uwe Berger von www.bluemerlin-security.de oder mich) gesandt werden. Diese Personen werden den "Fund" dann verifizieren und unabhängig von einer eventuell in diesem Forum oder einem anderen Forum stattfindenden Veröffentlichung des Fundes dafür sorgen, dass der vom Fund betroffene AV Hersteller umgehend informiert wird.

Die Mitteilung eines Fundes an mindestens zwei unabhängige Personen empfiehlt sich IMHO auch deshalb, um bereits dem Anschein entgegenzuwirken, dass dieses Projekt nur den Partikularinteressen einer einzelnen Security-Site oder Person dient oder zugunsten einiger weniger AV Hersteller erfolgt.

***
Unabhängig von der Frage, ob der konkrete Name des Packers/Crypters veröffentlicht wird, sollte zumindest der Nickname des Finders und die Zahl seiner Funde in diesem Forum veröffentlicht werden. Ich halte dies für angebracht, da die Suchenden einen ganz erheblichen Arbeits- und Zeitaufwand investieren, um den AV Herstellern weiterzuhelfen. Ein bisschen Anerkennung ist da angebracht.
***

Nautilus8xx@lycos.co.uk (jetzt erstmal wieder für ca. 14 Tage AWOL)

P.S.: Um die Suche zu vereinfachen, folgt hier noch eine Lite der .exe Tools, die KAV angeblich

bereits erkennt. Die Liste wurde von JoJo auf dem Ratboard gepostet.

Ace-IS
AIN#AIN21
AIN#AIN21hacked
AIN#AIN222
AIN#AIN223
Aluwain
Aluwain#Aluwain_relocation
Apack#Apack066com
Apack#Apack066exe1
Apack#Apack066exe2
Apack#Apack082exe
Apack#Apack090com
Apack#Apack090com_M
Apack#Apack090com_X
Apack#Apack090exe
Apack#Apack096com_big
Apack#Apack096com_small
Apack#Apack098com_small
Apack#Apack098exe_t
Apack#ApackUnknownexe
ARF
ARF
ARF#ARF23exe
ARF#ARF24exe
ASPack
ASPack#ASPack101
ASPack#ASPack102
ASPack#ASPack103
ASPack#ASPack104
ASPack#ASPack105
ASPack#ASPack105unknown
ASPack#ASPack106
ASPack#ASPack107
ASPack#ASPack107b
ASPack#ASPack108
ASPack#ASPack108
ASPack#ASPack1081
ASPack#ASPack1081_2
ASPack#ASPack1082
ASPack#ASPack1083
ASPack#ASPack1084
ASPack#ASPack1084_ASProtect
ASPack#ASPack2000
ASPack#ASPack2001
ASPack#ASPack21
ASPack#ASPack211
ASPack#ASPack211d
ASPack#ASPack211e
ASPack#ASPack211patch
ASPack#ASPack212
Astrum
AVL
AVPACK
AVPACK#
AVPACK#AVPACK-ecom
AVPACK#AVPACK-eexe
Bat2Exec#Bat2Exec 1.2/1.5
Bat2Exec#Bat2Exec 1.2/1.5 0
Bat2Exec#Bat2Exec 1.x
Bat2Exec#Bat2Exec 3.80
Bat2Exec#Bat2Exec 3.80
BitArts
BitArts#
BitArts.Cruncher
BitArts.Cruncher#
BitArts.Fusion
BitArts.Fusion#
BJFnt
BJFnt#
BJFnt#
Boot BIN Image
Cexe
Cheaters
Cheaters#
CodeCrypt
CodeCrypt#CodeCrypt013
CodeCrypt#CodeCrypt014
CodeCrypt#CodeCrypt015
CodeCrypt#CodeCrypt016
CodeCrypt#CodeCrypt0163
CodeSafe#CodeSafe1_10
CodeSafe#CodeSafe20
CodeSafe#CodeSafe20_1
CodeSafe#CodeSafe30
CodeSafe#CodeSafe30_1
CodeSafe#CodeSafe31
Com100
Com2Com
Com2Exe
Com2NE
Com2Txt.Comt
Com2Txt.Dandler
Com2Txt.DarkStalker
Com2Txt.HPA
Com2Txt.Jibz
Com2Txt.Jibz#
Com2Txt.Netrun
Com2Txt.Nide
Com2Txt.Tseng
Com2Txt.XP
Com2Txt.XW
Com2Txt.Yaaa
Com2Txt.Zombie
COMPACK
COMPACK#COMPACK44com
COMPACK#COMPACK45com
COMPACK#COMPACK45exe
COMPACK#COMPACK51com
COMPACK#COMPACK51exe
ComPatch
ComPatch#ComPatchAnsiOFF
ComPatch#ComPatchBios
ComPatch#ComPatchBiosOFF
ComPatch#ComPatchEncrypt
ComPatch#ComPatchEncryptANSI
ComPatch#ComPatchEncryptANSIOFF
ComPatch#ComPatchEncryptBIOS
ComPatch#ComPatchEncryptBIOSOFF
ComPatch#ComPatchEncryptOFF
ComPatch#ComPatchOFF
CPAV
CPAV#CPAV1
CPAV#CPAV2
Crunch
Crypt
Crypt#1
Crypt#2
Crypt#3
Crypt#4
Crypt#5
Crypt#6
Crypt#7
Crypt#Crypt_ACAD
Crypt.4V
Crypt.a
Crypt.ABK
Crypt.Alex
Crypt.Aliscrp
Crypt.AST
Crypt.BinLock
Crypt.BTS
Crypt.CC
Crypt.CC286
Crypt.C-Crypt
Crypt.CNTX
Crypt.ComC
Crypt.ComCrypt
Crypt.ComLock
Crypt.ComLock#
Crypt.ComProt
Crypt.ComProt#
Crypt.Cop
Crypt.Crk
Crypt.Cruncher
Crypt.Cryptcom
Crypt.CryptExe
Crypt.CryptExe.Rel
Crypt.DarkStalker
Crypt.DCC
Crypt.Deep
Crypt.Deeper
Crypt.Deeper#DeeperExe
Crypt.Dismember
Crypt.Dismember#
Crypt.Dismember#
Crypt.Dismember#2.0
Crypt.Dismember#Dismember10
Crypt.Dismember#Dismember117com
Crypt.Dismember#Dismember117exe
Crypt.Dismember#Dismember117exe_patched
Crypt.Dismember#Dismember12com
Crypt.Dismember#Dismember12exe
Crypt.Ds-crp
Crypt.Elicz
Crypt.EM-Phaser
Crypt.Evil
Crypt.Exom
Crypt.Exom#Exom Exe
Crypt.Exom#Exom002Com
Crypt.Exom#Exom002Exe
Crypt.Exom#Exom003
Crypt.Expander
Crypt.FAE
Crypt.FD
Crypt.Fdc
Crypt.Frank
Crypt.Franzy
Crypt.Gaston
Crypt.Hac
Crypt.HDK
Crypt.Hijaq
Crypt.IBBM
Crypt.InBuilder
Crypt.Inertia
Crypt.Jmt
Crypt.Jmt#
Crypt.jPC
Crypt.Khrome
Crypt.LCC
Crypt.LCC#LCC112big
Crypt.LCC#LCC112big-S
Crypt.LCC#LCC112small-S
Crypt.LCC#LCC12
Crypt.LCC#LCC12-H
Crypt.LCC#LCC12-S
Crypt.LockProg
Crypt.Mavericks
Crypt.McLock
Crypt.Mcrypt
Crypt.MegaShield
Crypt.MG
Crypt.Microxor
Crypt.Microxor#
Crypt.Misha
Crypt.MSCC
Crypt.NH
Crypt.Pcorsair.a
Crypt.Pcorsair.b
Crypt.PPP
Crypt.PSQ
Crypt.Quarantine
Crypt.Quarantine#
Crypt.R-Crypt
Crypt.R-Crypt#R-Crypt092
Crypt.REC.Small
Crypt.REC.Small#REC.Small1051
Crypt.REC.Small#REC.Small105c
Crypt.REC.Small.AV
Crypt.REC.Small.AV#AV100
Crypt.REC.Small.AV#AV105
Crypt.Renegade
Crypt.RL
Crypt.RTD
Crypt.Ryptor
Crypt.SCC
Crypt.Sccrambler
Crypt.Scrypt
Crypt.SecureLock
Crypt.SecureLock#SecureLock035
Crypt.Shadow
Crypt.TCEC
Crypt.TCEC#TCEC360c
Crypt.TCEC#TCEC360cWin
Crypt.TCEC#TCEC360x1
Crypt.THC
Crypt.TinySMT
Crypt.TinyXor
Crypt.TPC
Crypt.Tseng
Crypt.Tseng#Tseng2
Crypt.Tseng#Tseng3
Crypt.Unique
Crypt.Unique#
Crypt.USCC
Crypt.VAG
Crypt.Wicked
Crypt.Wumpus
Crypt.X3
Crypt.Xcomor
Crypt.XorCopy
CryptCOM
CryptCOM.b
CryptGeneric
DBPE
DebugScript
Diet
Diet#100e
Diet#110
Diet#110e
Diet#144
Diet#144e
Diet#145e
Dr
Dropper.b
Dropper.c
Dropper.d
Edit
Edit#
Elite#
Elite#
Elite#
Embedded.Boot
EncrCom
Epack
Exe2Com
Exe2Com#A.EX
Exe2Com#Exe2Com1
Exe2Com#Exe2Com2
Exe2Com#Exe2Com4
Exe2Com.Cbredi
Exe2Com.Cbredi#Cbredi102b
Exe2Com.EXC
Exe2Com.FCK
Exe2Com.MegaSoft
Exe2Com.ScrE2B
Exe2Com.SDW
Exe2Com.tECC
Exe2Com.Tseng
Exe2Com.Tseng#Exe2Com_IGOR.EX
Exe2Com.Tseng#Exe2Com_unknown
Exe2NE
Exe32Pack
Exe32Pack#Exe32Pack137
ExeLock
ExePack
ExePack#
ExePack#
ExePack#
ExePack#
Expert
Ezip
Faila
FileShield
F-XLOCK
F-XLOCK#
Gleam
HackStop#HackCom118
HackStop#HackExe118
HackStop#HackExe119
HackStop#HackExe119/217
HackStop#HackExe119/Reg
HackStop#HackExe119/Reg2
HackStop#HackExeReg118
HackStop#HackStop_0921_com
HackStop#HackStop_099_exe
HackStop#HackStop_099b_exe_reg
HackStop#HackStop_1.20s_exe
HackStop#HackStop_100_com
HackStop#HackStop_100_com_reg
HackStop#HackStop_100_exe
HackStop#HackStop_100_exe
HackStop#HackStop_100b1_exe_reg
HackStop#HackStop_101c_com_reg
HackStop#HackStop_110b_111_exe_reg
HackStop#HackStop_110p1_exe
HackStop#HackStop_112_exe
HackStop#HackStop_112s_com
HackStop#HackStop_112s_exe_reg
HackStop#HackStop_114ûs_com
HackStop#HackStop_114ûs_exe
HackStop#HackStop_117_com
HackStop#HackStop_117_exe
HackStop#HackStop_118_exe
HackStop#HackStopCom119
HackStop#HackStopCom120
HDD Image
Html2Rtf
HybrisUUE
ICE
IntroLoader
Jam#
Jam#
Krypton
Krypton#Krypton03
LameCrypt
LGLZ#LGLZ_COM
LGLZ#LGLZ_EXE
LzCom
LzExe
LzExe#
LzExe#
MAV
MegaCrypt
MIME.Broken
MS TypeLib
Mscan-vac
Mscan-vac#
Neolite#NeoLite10
Neolite#NeoLite101
Neolite#NeoLite101h
Neolite#NeoLite101r
Neolite#NeoLite101rh
Neolite#NeoLite104
Neolite#NeoLite104h
Neolite#NeoLite104r
Neolite#NeoLite104rh
Neolite#NeoLite10h
Neolite#NeoLite10r
Neolite#NeoLite10rh
Neolite#NeoLite20
Neolite#NeoLite20h
Neolite#NeoLite20r
Neolite#NeoLite20r1
Neolite#NeoLite20r2
Neolite#NeoLite20rh
Neolite#NeoLite2xr
Neolite#NeoLite2xrh
NFO
NoodleCrypt
ObjectModule
OptLink#OptLinkNE
Package
PackLite
PackLite#
PackWin
PackWin#
PaquetBuilder
PCPEC
PCShrink
PE_Patch
PE_Patch
PE_Patch#PE_Patch_abcede
PE_Patch#PE_Patch_BIN.DLL
PE_Patch#PE_Patch_CRACKEDE.EX
PE_Patch#PE_Patch_NOP's
PE_Patch#PE_Patch_Q265258.EXE
PE_Patch#PE_Patch_SERVER21.EX
PE_Patch#PE_Patch_TELock092
PE_Patch#PE_Patch_TIB104.TM1
PE_Patch#PE_Patch_UPX
PE_Patch#PE_Patch_UPX_Protector_1
PE_Patch#PE_Patch_UPX_Protector_2
PE_Patch#PE_Patch2
PE_Patch#PE_Patch3
PE_Patch#PE_Patch3
PE_Patch#PE_Patch4
PE_Patch_MOV_EAX_PUSH_RET
PEBundle
PEBundle#PEBundle0.0x
PEBundle#PEBundle0.12
PEBundle#PEBundle1b2
PEBundle#PEBundle1b3_101_102
PEBundle#PEBundle2011
PEBundle#PEBundle2011_
PEBundle#PEBundle20b1
PEBundle#PEBundle20b2
PEBundle#PEBundle20b4
PEBundle#PEBundle20b6
PEBundle#PEBundle210
PEBundle#PEBundle220
PECompact#
PECompact#PECompact_092
PECompact#PECompact_093
PECompact#PECompact_094
PECompact#PECompact_096
PECompact#PECompact_0971
PECompact#PECompact_0972
PECompact#PECompact_09751
PECompact#PECompact_09761
PECompact#PECompact_09762
PECompact#PECompact_0977
PECompact#PECompact_0978
PECompact#PECompact_09781
PECompact#PECompact_099
PECompact#PECompact_100
PECompact#PECompact_1101a
PECompact#PECompact_1101j
PECompact#PECompact_1102a
PECompact#PECompact_1102j
PECompact#PECompact_1103a
PECompact#PECompact_1103j
PECompact#PECompact_1104a
PECompact#PECompact_1104j
PECompact#PECompact_1105a
PECompact#PECompact_1105j
PECompact#PECompact_1106a
PECompact#PECompact_1106j
PECompact#PECompact_1107a
PECompact#PECompact_1107j
PECompact#PECompact_1108a
PECompact#PECompact_1108j
PECompact#PECompact_120a
PECompact#PECompact_120j
PECompact#PECompact_122a
PECompact#PECompact_122j
PECompact#PECompact_1232a
PECompact#PECompact_1232j
PECompact#PECompact_123a
PECompact#PECompact_123j
PECompact#PECompact_1242a
PECompact#PECompact_1242j
PECompact#PECompact_125a
PECompact#PECompact_125j
PECompact#PECompact_1263a
PECompact#PECompact_1263j
PECompact#PECompact_126a
PECompact#PECompact_126j
PECompact#PECompact_131a
PECompact#PECompact_133a
PECompact#PECompact_133aPatched
PECompact#PECompact_133j
PECompact#PECompact_134a
PECompact#PECompact_134j
PECompact#PECompact_1401j
PECompact#PECompact_1402a
PECompact#PECompact_1402j
PECompact#PECompact_1403j
PECompact#PECompact_1404j
PECompact#PECompact_1405a
PECompact#PECompact_1405j
PECompact#PECompact_1407a
PECompact#PECompact_1407j
PECompact#PECompact_146a
PECompact#PECompact_146j
PECompact#PECompact_147a
PECompact#PECompact_147j
PECompact#PECompact_155a
PECompact#PECompact_155j
PECompact#PECompact_156a
PECompact#PECompact_156j
PECompact#PECompact_160a
PECompact#PECompact_160j
PECompact#PECompact_166a
PECompact#PECompact_166j
PECompact#PECompact_167a
PECompact#PECompact_167j
PECompact#PECompact_167j_patched
PECompact#PECompact_168a
PECompact#PECompact_168j
PECompact#PECompact_174j
PECompact#PECompact_Uj
PECompact#PECompact_unknown2
PE-Crypt
PE-Crypt#
PE-Crypt#PE-Crypt1
PE-Crypt#PE-Crypt2
PE-Crypt#PE-Crypt3
PE-Crypt#PE-Crypt4
PE-Crypt#PE-Crypt4
PE-Crypt#PE-Crypt5
PE-Crypt#PE-Crypt5new
PE-Crypt#PE-Crypt6
PE-Crypt#PE-Crypt6new
PE-Crypt#PE-Crypt7
PE-Crypt.Data
PE-Crypt.Hetero
PE-Crypt.Lame
PE-Crypt.Lame#Lame12
PE-Crypt.WebMoney
PE-Crypt.WebMoney#WebMoney2CA00
PECrypt32.Kila
PE-Diminisher
PELock
PELock#PELock203
PELock#PELock204
PEMangle
PEncrypt
PENightmare
PENightmare#PENightmare2
PENinja
PE-Pack
PE-Pack#
PE-Pack#
PE-Pack#PE-Pack0992
PE-Pack#PE-Pack1.0
PEPack.Exepack#
PE-Protect
PE-Shield
PE-Shield#PE-Shield0.1d
PE-Shield#PE-Shield0.2
PE-Shield#PE-Shield0.25
PE-Shield#PE-Shield1
Petite
Petite#Petite112
Petite#Petite113
Petite#Petite113a
Petite#Petite114
Petite#Petite20
Petite#Petite20_1
Petite#Petite21
Petite#Petite21_1
Petite#Petite22_1_15/12/99
Petite#Petite22_1_2/12/99
Petite#Petite22_15/12/99
Petite#Petite22_2/12/99
Pex
PGMPAK
PGMPAK#
PGMPAK#
PGMPAK#
PkLite
PkLite#100
PkLite#100b
PkLite#100s
PkLite#103
PkLite#103b
PkLite#103eb
PkLite#103es
PkLite#103s
PkLite#105_112_113_114_120
PkLite#105b
PkLite#105s
PkLite#112_113b
PkLite#112_113eb
PkLite#112_113es
PkLite#112_113s
PkLite#114b
PkLite#114s
PkLite#115
PkLite#115b
PkLite#115eb
PkLite#115es
PkLite#115s
PkLite#116?
PkLite#150
PkLite#150b
PkLite#150s
PkLite#150sys
PkLite#PKLiteNE
PKLite32
Pksmart
PornoPack
Protect
Protect#Protect.1.0exe
Protect#Protect.2.0com
Protect#Protect.2.0exe
Protect#Protect.3.0com
Protect#Protect.3.0exe
Protect#Protect.4.0com
Protect#Protect.5.0com
Protect#Protect.5.0exe
Protect#Protect.5.5com
Protect#Protect.5.5exe
Protect#Protect.6.0com
Protect#Protect_6.0exe
Protect#Protect_6.0exev1
ProtEXE
ProtEXE#ProtEXEe
Rapid
RelPack
RelPack#
Rerp
Rjcrush
RLE
Rucc
Scramb
Scramb#
Scrambler
SCRNCH
SCRNCH#SCRNCH102b
SCRNCH#SCRNCH102s
SCRNCH#SRCNCH10b
SecuPack
Shrink
Shrinker#3.0exe
Shrinker#3.0pe
Shrinker#3.20pe
Shrinker#3.2exe
Shrinker#3.2pe
Shrinker#3.3exe
Shrinker#3.3pe
Shrinker#3.4?
Shrinker#3.4b1pe
Shrinker#3.4exe
Shrinker#3.4pe
Shrinker#3.5?
Shrinker#ShrinkerNE
Six-2-Four
Six-2-Four#Six-2-Four11
SLS
SMT-protect
SMT-protect#SMT-protect_fixed
Spec
SPS
SPS#SPSexe
SuperCede
Syspack
TeLock
TeLock#TeLock041b
TeLock#TeLock041c
TeLock#TeLock042
TeLock#TeLock051
TeLock#TeLock060
TeLock#TeLock061
TeLock#TeLock070
TeLock#TeLock071
TeLock#TeLock071b
TeLock#TeLock071c
TeLock#TeLock071d
TeLock#TeLock071e
TeLock#TeLock071f
TeLock#TeLock080
TeLock#TeLock085f
TeLock#TeLock090
TeLock#TeLock091?
TeLock#TeLock092?
TeLock#TeLock092a
TeLock#TeLock095
TeLock#TeLock096
TeLock#TeLock098
Tinyprog#Tinyprog1
Tinyprog#Tinyprog2
T-Pack
Trap
Trap#115com
Trap#115exe
Trap#116betacom
Trap#116betaexe
Trap#116com1
Trap#116com2
Trap#116exe
Trap#117com
Trap#117exe
Trap#118com
Trap#118exe
Trap#119com
Trap#119exe
Trap#120com1
Trap#120com2
Trap#120exe
TT
UCEXE
UCEXE#UCEXE_10
UCEXE#UCEXE_11
UCEXE#UCEXE_12
UCEXE#UCEXE_13
UCEXE#UCEXE_14
UCEXE#UCEXE_15
UCEXE#UCEXE_16
UCEXE#UCEXE_2
UCEXE#UCEXE_3
UCEXE#UCEXE_4
UCEXE#UCEXE_5
UCEXE#UCEXE_6
UCEXE#UCEXE_7
UCEXE#UCEXE_8
UCEXE#UCEXE_9
Univac
UPD
UPD#UPD_com
UPD#UPD_exe
UPX
UPX#0.76.1
UPX#0.76.1
UPX#0.76.1
UPX#0.76.1
UPX#0.76.1
UPX#0.76.1
UPX#0.76.2
UPX#0.76.2
UPX#0.76.2
UPX#051
UPX#061
UPX#061d
UPX#062
UPX#062d
UPX#070
UPX#070d
UPX#071_072
UPX#071_072d
UPX#072d
UPX#072nonencrypted
UPX#0761_0762
UPX#081_1
UPX#081_1_1
UPX#081_1_2
UPX#081_2
UPX#081_3
UPX#081_3_1
UPX#081_4
UPX#081_d1
UPX#083_3_1
UPX#084
UPX#090_1
UPX#090_2
UPX#090_3
UPX#090_4
UPX#090_5
UPX#090_6
UPX#090_dll
UPX#093_1
UPX#093_2
UPX#094_1
UPX#094_2
UPX#094_3
UPX#094_31
UPX#094_32
UPX#094_33
UPX#094_4
UPX#094_5
UPX#094_6
UPX#094_7
UPX#094_7_1
UPX#094_8
UPX#094jmptoUPX
UPX#099_1
UPX#099_1patch
UPX#099_2
UPX#101
UPX#101DLL
UPX#1031
UPX#1032
UPX#1033
UPX#1034
UPX#1035
UPX#103dll
UPX#105dll1
UPX#105dll2
UPX#120dll
UPX#AAA.EX
UPX#FACTORY.EX
UPX#GD.EX
UPX#GHOSTDOG.EX
UPX#ICQSPAMMER.EX
UPX#m2-1
UPX#m2-2
UPX#m2-2patched
UPX#m2-2patchedÄÎÊÓÌÅÍÒ.EX
UPX#m2-3
UPX#m2-4
UPX#m2-5
UPX#m2-6
UPX#m2-7
UPX#m2-8
UPX#m2-8patched
UPX#m2-9(1.01)
UPX#m2-9(1.01)2
UPX#m2-9(1.01)3
UPX#m2-9(1.01)3
UPX#m2-9(1.20)
UPX#m2-d
UPX#m2-e
UPX#m2-F(1.20)3
UPX#MESUT.EX
UPX#MP3PROCRYPTER.EX
UPX#SERVER.EX3
UPX#SYSCFG32.EX
UPX#TEST2.EX
UPX#UPX_051_Com
UPX#UPX_051_Exe
UPX#UPX_051_Exe2
UPX#UPX_051_Sys
UPX#UPX_061_Com
UPX#UPX_061_Exe
UPX#UPX_061_Sys
UPX#UPX_0761
UPX#UPX_0762
UPX#UPX_081
UPX#UPX_081e
UPX#UPX_081e1
UPX#UPX_081e2
UPX#UPX_081sys
UPX#UPX_081syse
UPX#UPX070lin
UPX#UPX0762lin
UPX#UPX0763lin
UPX#UPX081lin
UPX#UPX084lin
UPX#UPX090lin
UPX#UPX092lin
UPX#UPX0991lin
UPX#UPX099lin
UPX#UPX100lin
UPX#UPX103lin
UPX#UPX108lin
UPX#UPX111beta
UPX#UPX120lin
UPX#WIN.EX
UPX#WIN2000.EX
UPX#WK.EX
UPX#WORM.EX
Vacuum
VBSComment
VGCrypt
VGCrypt#075
VGCrypt#unknown
VSD
VSD#VSDexe
VSS
WinKript
WWPACK
WWPACK#300p
WWPACK#302p
WWPACK#302pu
WWPACK#303p
WWPACK#304p
WWPACK#304pu
WWPACK#305p
WWPACK#305pr
WWPACK#305prcorr
WWPACK#305pu
WWPack32
WWPack32#WWPack32_101
WWPack32#WWPack32_102
WWPack32#WWPack32_103_1
WWPack32#WWPack32_103_2
WWPack32#WWPack32_110
WWPack32#WWPack32_112
WWPack32#WWPack32_112_2
WWPack32#WWPack32_unknown
WWPack32#WWPack32_unknown2
WWPackMutator
XCR
XE
XE#XE140
XE#XE140sys
XE#XEbig
XPack#XPack_COM145
XPack#XPack_COM67L
XPack#XPack_COM67R
XPack#XPack_EXE145
XPack#XPack_EXE67L
XPack#XPack_EXE67R
XPack#XPack_SYS145
XPack#XPack_SYS67L
XPack#XPack_SYS67R
Yoda
Yoda#Yoda11
Yoda#Yoda12
Yoda#Yoda12?

[ 23. September 2002, 02:59: Beitrag editiert von: Nautilus ]

Hallo,

ich weiss jetzt nicht, ob ich unbedingt diese Diskussion anfangen sollte, denn ich weiss, ich kann das nicht ausdikutieren, aber meine Meinung doch dazu:

</font><blockquote>Zitat:</font><hr />Original erstellt von Nautilus:
Ich stelle mal folgende Vorgehensweise für die Suche zur Diskussion:

Wer Schwierigkeiten hat, ein Testobjekt zu finden, sollte einmal bei der Security Seite http://www. vorbeischauen.
</font>[/QUOTE]Das ist genau das, was ich befuerchtet habe. Okay Packer/Cryptoren den Av-Herstellen zuschicken, um ihnen die Moeglichkeit zu geben, sie in ihren Produkten einzubauen ist in Ordnung.

Aber jetzt jeden dazu auffordern, Trojaner damit zu Packen und auch noch zu testen ob es klappt....

und zu guter letzt auch noch eine Downloadquelle dafuer zu nennen finde ich, wie sag ich es am besten..., zweifelhaft.

Leute die soetwas wirklich machen wollen, brauchen keine Quelle zu Viren oder Packern, die finden die auch so.

Ich bin gespannt, wann die ersten Threads zum Thema unbekannter Trojaner, oder wie entferne ich gepackten Trojaner vom Rechner.

Irgendwann kam mal das Thema "Scriptkidys" hier im Thread auf...

MfG Raman

@Raman Ich habe den Link entfernt. Es handelte sich bei dem Link allerdings um eine Security-Seite. Die dort vorhandenen Trojaner werden von AV Programmen erkannt. Letztlich muss man ja ohnehin nur das Wort Trojaner bei Google eingeben, ein paar Links anklicken und schon hat man eine DL Möglichkeit gefunden. Es ist schwer, über Sicherheit zu sprechen, ohne gleichzeitig auch der Gegenseite gewisse Anhaltspunkte zu geben.

Ich kann mich jetzt nicht mehr um mein Posting kümmern. Bitte editiert es mit Hilfe von Cruz, falls es immer noch zu weit geht.

Gruss Nautilus

</font><blockquote>Zitat:</font><hr />Original erstellt von Nautilus:
@Raman Ich habe den Link entfernt. Es handelte sich bei dem Link allerdings um eine Security-Seite. Die dort vorhandenen Trojaner werden von AV Programmen erkannt.</font>[/QUOTE]Mit sicherheit nicht alle.

Letztlich muss man ja ohnehin nur das Wort Trojaner bei Google eingeben, ein paar Links anklicken und schon hat man eine DL Möglichkeit gefunden.

Wenn man scharf darauf ist.... Bloss manchmal denke ich, wenn jemand einen Virus haben will, soll die Person sich den selber besorgen. Und wenn schon jemand in einer Newsgroup oder Forum danach fragen muss und nicht selber auf die Idee mit der Suchmaschine kommt, hat auch keine Ahnung von Computer oder Viren.

Es ist schwer, über Sicherheit zu sprechen,

Ich glaube es ging hier um Packer/Cryptoren nicht um Trojaner/Sicherheit. Man kann auch andere Programme mit Packern packen. z.B. Notepad ist wesentlich ungefaehrlicher. [img]smile.gif[/img]

ohne gleichzeitig auch der Gegenseite gewisse Anhaltspunkte zu geben.

Das kommt IMHO auf die Umgebung an. Aber in den Nutzungsbedingungen steht ja auch :
---
Ziel ist es, den freien Austausch von Meinungen, Informationen und Ideen - insbesonders zu den Themen Computer und / oder Computersicherheit - anzuregen
---

Ich finde deinen Weg nur etwas "zweifelhaft"(mir faellt gerade kein passenderes Wort ein)

Ich kann mich jetzt nicht mehr um mein Posting kümmern. Bitte editiert es mit Hilfe von Cruz, falls es immer noch zu weit geht.

Alles was ich geschrieben habe ist meine Meinung, du oder die anderen duerfen denken was sie wollen. Ich fand es halt nur ein wenig "unpassend".

MfG Raman