Anubis und ThreatExpert is ne gute Idee....nutze ich auch, wenn mal wieder was von seltsamen Quellen stammt...^^

Bei Anubis kann man auch gut sehen, welche Sachen (DLLs) er da lädt...und kann daraus schon bischen rückschlüsse ziehen und welche Sachen da urplötzlich auf den PC kommen würden!

Ähm...was ist Polymorph??? Selbstverändernder Code, oder?

Ja, ja...die Dinger werden immer komplexer...

Es gibt auch noch ne Seite...malwaredomainlist...da kann man sich dann mal angucken, was passiert, wenn man auf Infizierte Websites geht und was passiert, wenn man sich da was eingefangen hat...aber immer nur über VM testen...meistens sind ZLOB Backdoors, aber manchmal sind da auch paar seltene Trojaner dabei...manche funktionieren auch nicht...

Polymorph ist, wenn sich der Code von Infektion zu Infektion verändert

Ich hab da grade mal wieder nen Test mit einem Creation Kit gemacht und muss sagen das die Dinger sehr potent sind...

Es wird ein drld.delphi.gen erstellt...dieser befällt dann, je nachdem, was man einstellt, alle exe Files und kopiert seinen eigenen Code in jede Datei auf dem rechner (auch in der /WinXP).

Mit dem Kit lassen sich dann auch die Schutzfunktionen von Windows deaktivieren, wie die Firewall und der AV Schutz...desweiteren wird immer beim starten einer infizierten exe eine frei wählbare Fehlermeldung ausgegeben.

Ich hab da nur mal einen test gemacht und das VM XP wurde nicht mehr benutzbar! Hab dann versucht mit Combofix zu arbeiten, aber der Delphi hat sich direkt in die entpackten Files von Combofix gesetzt und Combofix wurde damit unbrauchbar!

Es wurden keine Tools mehr geöffnet...IE weg, regedit und Taskmanager weg!

In den F8 Abgesicherten Modus kam man auch nicht mehr rein, weil er beim Laden gestoppt hat!

Avira Rescue CD konnte die Infizierten Files nurnoch umbenennen, was bei Windows Files fatal ist und ein Booten unmöglich macht!

Also das Teil ist eines der Sorte "Buzus", oder "Sality"...Fileinfector Trojaner!

BIOTEC