Hallo,

Mail an forge ist unterwegs. Habe ein Modell mit einem EICAR erstellt.

@JoJo : schicke doch "Deinen" Crypter auch an forge...

Gruß
Hendrik

Der ist schon bereits bei den Av Leuten bestimmt schon bekannt.

@JoJo : wenn Dein Crypter schon bekannt wäre, würde er ja dur KAV durchleuchtet...

Besser zweimal gemeldet als einmal zuwenig [img]smile.gif[/img]

Hendrik

Hier ein Test, wie gut AV Programme mit gecrypteter Malware zurecht kommt.

MfG JFK

</font><blockquote>Zitat:</font><hr />Original erstellt von JFK:
wie gut AV Programme mit gecrypteter Malware zurecht kommt.</font>[/QUOTE]Was mich daran interessieren wuerde, ist ob die Programme die PAcker entpacken koennen, oder ob sie nur Signaturen des Gepackten Trojaner beinhalten. Nur um zu sehen, ob die Entpackroutine was taugt oder gar keine da ist.

Nach unseren Erfahrungen bei den "Scheinsicherheit"-Tests (die übrigens gut mit dem Rokop-Test übereinstimmen [img]smile.gif[/img] ) kann man ganz gut aus der schieren Anzahl der erkannten Malware darauf schließen, ob ein Scanner eine vernünftige Unpack-Engine besitzt oder nicht. D.h. mit Signaturen gepackter/gecrypteter Malware kann man in solchen Tests nicht sehr viel erreichen.
Demnach haben Bitdefender, Dr.Web, KAV, McAfee und RAV (sowie die Scanner mit einer dieser Engines) eine "brauchbare" Unpack-Engine.

Die anderen AVs können zwar z.T. auch ein paar (alte) Packer entpacken, aber von einer Unpack-Engine kann man da kaum sprechen...

[ 26. Januar 2003, 22:31: Beitrag editiert von: forge77 ]

Hi, das sehe ich auch so. Nur durch die Auswahl einer erhöhten Anzahl verschiedener Packer und Testsamples, trennt sich die Spreu vom Weizen. Hersteller die lediglich Signaturen von gepackter Malware erstellen werden so schnell entlarvt.

@forge : hast Du schon was von KAV gehört betr. meines "high-tech" Packers?

Das wird ja immernoch nicht erkannt... [img]graemlins/sleepy.gif[/img]

Hendrik

SLUDGE!

ich hab hier wieder ein problem @nautilus,ein altbekanntes.
ich gehe auf die eigenschaften einer beliebigen datei (mind. 8 mb),der rechner rattert ,und es dauert so einige minuten bis ich die datei eigenschaften einsehen kann,im hintergrund braut sich was zusammen...ein kl TSR das sich als UXP ausgibt,komprimiert zuerst meine datei (zum schein),kopiert aber alle pfadangaben zu dieser in einen ordner den ich weder im dosenmodus noch im W32 finde...irgendwie hats tatsächlich jemand geschafft meine büchse auszubooten...und ich habe eh keinen nerv mehr das system neu zu installieren.unter w95 war das ja kein problem,alles platt machen neuinstallieren und schon hatte man ein wenig farbe auf dem schirm (bluescreen) werde den rechner jetzt auf den speicher verfrachten,ich brauch erstmal urlaub.

g

thgt