Trojaner-Board - Frage: Sammelthread zu geheimen Packer/Crypter-Kombinationen sinnvoll?

Trojaner-Board (https://www.trojaner-board.de/)

- Antiviren-, Firewall- und andere Schutzprogramme (https://www.trojaner-board.de/antiviren-firewall-andere-schutzprogramme/)

- - Frage: Sammelthread zu geheimen Packer/Crypter-Kombinationen sinnvoll? (https://www.trojaner-board.de/610-frage-sammelthread-geheimen-packer-crypter-kombinationen-sinnvoll.html)

In einigen Themen wurde kürzlich wieder darauf hingewiesen (insbesondere von den Kollegen des Ratboards), wie einfach es doch ist, mit einem Packer und/oder Crypter selbst gute AV Scanner wie McAfee oder KAV zu täuschen.

Da dies der Wirklichkeit entspricht, frage ich mich, ob es Sinn machen würde, hier möglichst viele der noch unbekannten Packer und Crypter zu posten. Ich selbst könnte insoweit Folgendes beitragen:

1. Einige unbekannte Packer und Crypter.
2. Eine Anleitung wie man solche Packer und Crypter findet (gedacht für weniger erfahrene User, die sich durch harte! Arbeit nützlich machen und damit der AV Szene helfen wollen).

Das Ganze macht aber nur Sinn, wenn wir zuversichtlich sein können, dass jeder neu gepostete Packer bzw. Crypter auch umgehend! vom jeweiligen AV Hersteller in die Unpacking Engine eingebaut wird. Ansonsten würde dieser Thread ja nur der Gegenseite nützen.

Haben wir so gute Kontakte zu den AV Herstellern, dass die von mir angedachte Verfahrensweise Sinn macht?

Gruss Nautilus

ich finde das thema zwar interessant und bin auch gegen security by obscurity, aber wenn wir hier anfangen funktionierende crypter/packer kombis zu posten, sind wir sofort top-thread auf dem ratboard.

ich bin mir nicht sicher, ob man das hier machen sollte.

.cruz

@Cruz Ich bin mir auch nicht sicher, ob das wirklich so schlau ist. Und falls doch, müsste man den Thread evt. auf solche AV Hersteller (z.B.: KAV) beschränken, bei denen eine schnelle Reaktion erwartet werden kann.

Bei Herstellern ohne vernünftige Unpacking-Engine erübrigt sich die Suche ja ohnehin...da fast jeder Packer nicht erkannt wird ;)

Nautilus

KAV, McAfee - das wars ;o).

Ich halte es übrigens für durchaus sinnvoll :o).

wie stehts denn eigentlich mit der ants-unpacking engine? =)

.cruz

Auf die Gefahr hin, dass Seltsam mich korrigiert:

Ants 2 hat keine und auf Ants 3 müssen wir wohl noch einige Zeit warten.

Nautilus

ants 2 hat keine, ants 3 kann fast alles ;o).

ich fänd son beitrag auch gut *fg* dann bräucht ich den dreck nich selber suchen um die unpacking engine auszubauen....ob das in der öffentlichkeit was bringt weiß ich nich. aber kannst mir gerne emails mit packern schicken ;)

Da ich sowohl zu Kaspersky als auch zu McAfee beste Connections habe, würde ich mich gern bereiterklären, diese an sie weiterzuleiten. Das Beste ist immer ein mit dem jeweiligen Packer/Crypter gepackter Server mit dem entsprechenden Hinweis an diese beiden Firmen senden. Der Erfolg stellt sich meist recht schnell ein. Übrigens geht die KAV Ekennung langsam in Richtung 1000 verschiedene Packer/Crypter. (Varianten natürlich mit eingeschlossen)
Also her mit den Files ;) : virus@rokop-security.de

Wie Bitmaster schon geschrieben an Rokop-Security schicken, da dort bereits ein Verteiler mit persönlichen Kontakten zu AV Firmen besteht. Somit bekommen die richtigen Leute direkt die Packer zugestellt.

Eine Veröffentlichung der Packer hier (oder in einem anderen Forum) würde nichts nützen, da man die AV Firmen so oder so anschreiben muss. Außerdem ist nicht jede AV Firma in der Lage innerhalb kürzester Zeit Updates zur Erkennung diese Packer bereit zustellen. IMHO scheint Kaspersky die einzige Firma zu sein, die so flexibel ist.

Und warum sollte man hier einen Top-Threat für Scriptkiddies machen? Davon haben wir (leider) schon genug in diesem Forum.

wizard

Hmm...so wie es mir bislang scheint, wird aus dem Projekt wohl mangels Bereitschaft zum Mitmachen eh nichts werden. Zwar wollen alle AV Coder gerne unbekannte Packer und Crypter (vermutlichst möglichst auf Exklusivbasis ;)zugesandt bekommen, für die mühsame Suche hat sich aber noch niemand gemeldet.

Mein Vorschlag, die Ergebnisse hier zu posten, hatte insbesondere drei Gründe.

1.
Wir werden wohl niemand finden, der sich die Mühe macht, nach solchen Packern und Cryptern zu fahnden, wenn er nicht anschliessend den "Gummipunkt" dafür abkassieren und den Packer hier öffentlichkeitswirksam posten darf.

2.
Das Posten eines Packers dient auch zur Kontrolle der AV Hersteller. Denn diese werden sonst möglicherweise einfach nur eine neue Signatur für den gepackten Trojaner erstellen, statt sich der viel mühsameren Aufgabe zu unterziehen, ihre Unpacking Engine zu erweitern.

3.
Die Suche nach den Packern sollte wohl organisiert werden, d.h. es sollte nicht jeder die gleichen bekannten Downloadseiten für Packer/Crypter abklappern bzw. mittels Suchmaschine nach ihnen fahnden. Stattdessen sollte die Arbeit (beispielsweise nach Anfangsbuchstaben oder Sourcen etc.) aufgeteilt werden, um eine möglichst effektive Suche zu gewährleisten.

Mal sehen, was aus dem Thread wird ;) Schaue spätestens nach meinem Urlaub noch mal rein.

Nautilus

[ 04. September 2002, 21:36: Beitrag editiert von: Nautilus ]

<blockquote>Zitat:<hr />Original erstellt von Nautilus:
Mal sehen, was aus dem Thread wird ;) Schaue spätestens nach meinem Urlaub noch mal rein.[/QUOTE]Vermutlich nichts. Denn Dein Ziel AV Software zu verbessern wirst Du nicht erreichen. Dafür machst Du mit Deiner Idee nur Scriptkiddies glücklich.

Bezüglich Deiner Idee solltest Du folgendes überdenken:[*]AV Firmen haben ein generelles Interesse einen Packer zu adden. Das ist leider nicht bei jeder Firma der Fall[*]So gut wie kein AV Programm (KAV mal ausgenommen) bietet die Möglichkeit eines schnellen Updates von Packern an. Wenn die Scanengine bezüglich Packer modifiziert werden muss dann kann dies Monate dauern bis diese veröffentlicht wird. Also hast Du hier wochenlang eine 1A Quelle für Scriptkiddies geschaffen.[*]Packer und Crypter sind alles andere als leicht zu für AV Programme zu entpacken. Da ist zum Teil eherblicher Reverse Engineering Aufwand nötig. Das kann Monate dauern.

wizard

Hmm...grundsätzlich lege ich keinen besonderen Wert auf das Veröffentlichen. Bitte deshalb um einen Gegenvorschlag, der

1. potentielle Mitsucher ausreichend motiviert (bis jetzt hat sich ja noch kein einziger gemeldet!);

2. sicherstellt, dass nicht nur KAV und McAfee von der Suche profitieren;

3. eine Kontrolle der Reaktionen der AV Hersteller ermöglicht (d.h., werden die neuen Crypter tatsächlich zeitnah eingebaut?).

Gruss Nautilus

[ 05. September 2002, 07:51: Beitrag editiert von: Nautilus ]

<blockquote>Zitat:<hr />Original erstellt von Nautilus:
Hmm...grundsätzlich lege ich keinen besonderen Wert auf das Veröffentlichen. Bitte deshalb um einen Gegenvorschlag, der

1. potentielle Mitsucher ausreichend motiviert (bis jetzt hat sich ja noch kein einziger gemeldet!);[/QUOTE]Das hat meiner Meinung nach nicht etwas mit motivieren zu tun. Leute die "Freakig" genug sind, sich ihre Zeit mit soetwas zu vertreiben, werden nicht erst motiviert werden muessen und die anderen werden sich das wohl nicht antun.

<blockquote>Zitat:<hr />2. sicherstellt, dass nicht nur KAV und McAfee von der Suche profitieren;[/QUOTE]Da hat sich Bitmaster ja schon angeboten. Er wird wohl fuer die gerechte Verteilung sorgen. :)

<blockquote>Zitat:<hr />3. eine Kontrolle der Reaktionen der AV Hersteller ermöglicht (d.h., werden die neuen Crypter tatsächlich zeitnah eingebaut?).[/QUOTE]Das laesst sich wohl kaum bewerten. So ziemlich alle AV-Firmen haben (akuten?) Personalnotstand, zumindest Frisk und Kaspersky(die wollen wohl noch 2 fuer soetwas einstellen). Die meisten haben nicht die Zeit sowas in angemessener Zeit einzubauen, sofern nicht etwas hoeher auf deren Prioritaetsliste steht.

MfG Raman

<blockquote>Zitat:<hr />Thus spake Nautilus:
grundsätzlich lege ich keinen besonderen Wert auf das Veröffentlichen.[/QUOTE]Sowas stößt mir sauer auf. Trotzdem möchtest du, daß...
<blockquote>Zitat:<hr />potentielle Mitsucher ausreichend motiviert [/QUOTE]...werden? Für wen oder was sollen unbekannte Packer oder Crypter zusammengetragen werden, wenn sie doch nicht veröffentlicht werden sollen? Du plädierst für eine Veröffentlichung im elitären Zirkel? Damit deine Scriptkiddy-Freunde weiterhin alle Möglichkeiten haben, Packer und Crypter zu verwenden, und der gemeine Nutzer keine Chance hat, solche Packer/Crypter zu erkennen? [img]graemlins/pfui.gif[/img]

<blockquote>Zitat:<hr />Thus spake wizard:
Wenn die Scanengine bezüglich Packer modifiziert werden muss dann kann dies Monate dauern bis diese veröffentlicht wird. Also hast Du hier wochenlang eine 1A Quelle für Scriptkiddies geschaffen.[/QUOTE]Verstehe ich dich richtig: du argumentierst hier pro Security-by-Obscurity? :eek: :confused:

Das Problem daß ich dabei sehe ist eher folgendes:

Bsp.1: Ich finde einen Packer den KAV nicht kennt. Also nehme ich einen aktuellen Backdoorserver, packe ihn damit und versende das Teil mit Angabe des Packers an meinen AV-Verteiler. KAV und McAfee reagieren meist sofort, die anderen meist gar nicht weil sie a. keine Unpackengine haben und b. das Teil nicht offiziell ITW ist.

Bsp.2: Ich nehme selbigen Packer, packe damit einen Server, verschicke ihn über den AV Verteiler und behaupte ich hätte das Teil ITW angetroffen. KAV und McAfee reagieren wieder schnell, die anderen erstellen eine extra Signatur und das Ding ist vom Tisch.

Tatsache ist, das sich kein SK vor Norton u.Ä. fürchtet sondern nur vor beiden genannten Programmen "Ehrfurcht" besitzen. Irgendwann wird der Abstand zwischen ihnen und ihren Mitbewerbern aber so groß sein, daß sie reagieren müssen und eine Unpackengine einbauen. Hoffe ich zumindest.

Oh Prantl, Du treulose Niedertracht! Wie kannst Du unsere gemeinsame Mission nur so verraten?

Hatten wir nicht vereinbart, uns in einer Vielzahl von Securityforen als Sicherheitsexperten auszugeben, um auf diese Weise die AV Szene zu unterwandern? Wollten wir nicht die geheimsten Geheimnisse der AVler erkundschaften und anschliessend an unseren elitären Kreis der RAT-Liebhaber e.V. weitergeben? Wollten wir nicht sogar die Ants 3 Unpacking Engine stehlen und in den Gladiatorscanner einen polymorphen Bootsektor-Virus einbauen?

Und plötzlich hintergehst Du mich ohne erkennbaren Grund und bezeichnest unsere gemeinsamen Skriptkiddy-Freunde nur noch als die "meinigen"? Hatten wir nicht den Schwur des ewigen Vertrauens abgelegt und feierlich versprochen, uns niemals gegenseitig einen Dolch in unsere schwarzen Herzen zu stossen? Waren wir uns nicht ausserdem einig, nie wieder schon am Vormittag zu saufen und anschliessend Sinnlospostings in diesem Forum abzusetzen? Wollten wir es nicht vermeiden, dass uns von uns selbst so schlecht wird, dass wir uns letzlich gegenseitig - unter Verwendung der entsprechenden Symbolik - ins Gesicht kotzen müssen?

Ich bin jedenfalls so geschockt und verletzt über Deinen überraschenden Verrat der VX Szene, dass ich mich jetzt erstmal in einen mehrwöchigen Erholungsurlaub zurückziehen muss.

Nautilus

[ 05. September 2002, 22:58: Beitrag editiert von: Nautilus ]

Na darauf gibts eigentlich nur eine Antwort...

Häh?!?

Vielleicht wisst ihr (Prantl & Iron) ja etwas, was ich nicht weiß, aber:

Erst beschuldigt DocPrantl Nautilus, dass er der SK-Szene angehört ("...deine Scriptkiddy- Freunde..."), daraufhin verteidigt sich Nautilus auf ironisch-witzige Weise, um dann von Prantl aufs übelste beleidigt zu werden!? :eek:

Was soll das??? [img]graemlins/schrei.gif[/img]

Das ist jetzt wirklich bizzar. Das Posting von Nautilus war gutgeschrieben, erkennbar satirisch, und durchaus witzig.

Den Antworten darauf fehlt jede Relation.

Sie sind außerdem einfalls- und humorlos sondergleichen. Und wer jemanden als Scriptkiddie bezeichnet, und gleich danach ein FOAD von sich gibt, nun, der sollte sich mal an die eigene Nase fassen.

Ich will hier keine dcsf-Verhältnisse. Ihr schafft sie aber, langsam, aber sicher. Wozu?

Cobra

PS: Auch wenn ihr jetzt meinethalben per Insiderwissen Nautilus diskreditieren könntet: umso schlimmer. Eure Antworten bleiben einfallslos, und Humor schaut ihr mal besser im Duden nach. IRON: Du konntest das mal besser, und Du weißt, daß ich das weiß.

<blockquote>Zitat:<hr />Original erstellt von Dr Prantl:
Damit würde er es den Scriptkids sogar sehr erleichtern, Cassandra. Security-by-Obscurity kann nicht funktionieren. Durch eine Veröffentlichung wären viel mehr und breitere Gegenmaßnahmen möglich.[/QUOTE]Das weiß ich auch, aber weiß Nautilus das???
BTW: Security by obscurity ist ein schwieriges Thema bei einem so bunt gemischten Haufen wie uns. Da könnte man es eh nicht jedem recht machen.
Ich finde es nur reichlich unfair, jemandem wegen einer solchen Aussage so anzugreifen, wenn man die Beweggründe des anderen nicht kennt! Muß doch nicht sein, oder?

<blockquote>Zitat:<hr />Eine Satire meinerseits... [img]tongue.gif[/img] [/QUOTE]Kam leider nicht so 'rüber :( .

<blockquote>Zitat:<hr />Na, da hätte ich direkt einen Tip für dich... ;) [/QUOTE]Danke, amüsiere mich schon wieder [img]tongue.gif[/img] ;)

Cassandra

Die Antwort auf meine Frage bleibt ihr beide gleichermaßen schuldig. Exakt das, was ihr auf der Gegenseite permanent als Alibi für Eure mißratenen Postings mißbraucht.

Ich kann übrigens auf rhetorische Ausschmückungen wie "nichts für ungut" oder "nur nebenbei" gerne verzichten.

Cool down. It's not about life and death.

Cobra

@Cobra: Meinst du deine Frage, wozu 'wir' dcsf-Verhältnisse schaffen wollen?

<blockquote>Zitat:<hr />Original erstellt von Dr Prantl:
Diese ungezwungene und familiäre Atmosphäre ist leider vor kurzem zerstört worden; durch eine Sache, mit der ich nie gerechnet hätte, und was ich auch sehr bedauere. :( [/QUOTE]na, das interessiert mich dann doch sehr(auch als admin), was soll das sein?

und was mich auch in diesem zusammenhang interessiert: kann das dann ein grund sein, die atmospähre weiter zu verschlechtern?

.cruz

<blockquote>Zitat:<hr />Cobra schrieb:
Das Posting von Nautilus war gutgeschrieben, erkennbar satirisch, und durchaus witzig. [/QUOTE]Nichts für ungut, Cobra, aber hier ist nicht de.talk.jokes, und es beantwortet auch nicht meine o.g. Fragen. Eine gescheite Antwort, ob er Security-by-Obscurity betreiben möchte, wäre mir lieber gewesen. Damit wäre eine Basis für eine konstruktive Diskussion geschaffen worden.

Btw, die "dcsf-Verhältnisse" gibt es nicht einmal mehr in dcsf selber. ;) (Das sage ich als dcsf-Nur-Beobachter.)

Noch schlimmer, als deine Vermutung, 'wir' würden per Insider-Wissen Nautilus diskreditieren wollen, ist die durch ihn geschürte Vermutung, ich würde zur "Szene" dazugehören. ;)

ciao

Vorallem ist Euch da wohl so ein bißchen der Hintergrund verrutscht [img]graemlins/schrei.gif[/img] !

@DrPrantl: Nautilus hat sich gegen eine Veröffentlichung ausgesprochen, ja. Aber hast Du Dir schon mal überlegt, daß er das deshalb getan haben könnte, weil er der Meinung ist, es unseren Script-Kiddies nicht noch leichter machen zu müssen???

Es war seitens Nautilus' nie die Rede davon, die Ergebnisse in einem "elitären Zirkel" zu veröffentlichen- es sei denn, Du meinst damit die AV-Firmen. Davon WAR nämlich die Rede [img]graemlins/schrei.gif[/img] !

Cassandra [img]graemlins/koch.gif[/img]

PS: WÄRE Nautilus ein Script-Kiddie, dann sollte ich mich vielleicht mal nach einem Cracker-Board umsehen- da gibt's wenigstens was zu lachen.

<blockquote>Zitat:<hr />Original erstellt von Dr Prantl:
Nichts für ungut, Cobra, aber hier ist nicht de.talk.jokes, und es beantwortet auch nicht meine o.g. Fragen.
[/QUOTE]Du kennst das TB? Seit Urzeiten wechseln hier sachliche und witzige Posts einander ab. Auch das machte einst diese ungezwungene und familiäre Atmosphäre aus.
<blockquote>Zitat:<hr />
Eine gescheite Antwort, ob er Security-by-Obscurity betreiben möchte, wäre mir lieber gewesen. Damit wäre eine Basis für eine konstruktive Diskussion geschaffen worden.
[/QUOTE]Konstruktiv, so wie "Damit deine Scriptkiddy-Freunde weiterhin alle Möglichkeiten haben, Packer und Crypter zu verwenden, und der gemeine Nutzer keine Chance hat, solche Packer/Crypter zu erkennen?".

*Vor* seinem Post! Komm schon, Doc, ich weiß, daß Du kritikfähig bist... ;)

<blockquote>Zitat:<hr />
Noch schlimmer, als deine Vermutung, 'wir' würden per Insider-Wissen Nautilus diskreditieren wollen, ist die durch ihn geschürte Vermutung, ich würde zur "Szene" dazugehören. ;)
[/QUOTE]man Satire

Cobra

[ 06. September 2002, 00:28: Beitrag editiert von: Cobra ]

<blockquote>Zitat:<hr />Cobra schrieb:
Du kennst das TB? Seit Urzeiten wechseln hier sachliche und witzige Posts einander ab. Auch das machte einst diese ungezwungene und familiäre Atmosphäre aus.[/QUOTE]Diese ungezwungene und familiäre Atmosphäre ist leider vor kurzem zerstört worden; durch eine Sache, mit der ich nie gerechnet hätte, und was ich auch sehr bedauere. :(

Btw, auch wenn seine Antwort eine Satire war (was mir de facto nicht entgangen ist [img]smile.gif[/img] ), würde ich mich ehrlich nicht wundern, wenn er jetzt ein paar Wochen nichts mehr schreibt. Vielleicht läßt sich aber doch noch ein vernünftiger Abschluß finden. [img]smile.gif[/img]

[ 06. September 2002, 00:51: Beitrag editiert von: Dr Prantl ]

<blockquote>Zitat:<hr />Cassandra schrieb:
Nautilus hat sich gegen eine Veröffentlichung ausgesprochen, ja. Aber hast Du Dir schon mal überlegt, daß er das deshalb getan haben könnte, weil er der Meinung ist, es unseren Script-Kiddies nicht noch leichter machen zu müssen???[/QUOTE]Damit würde er es den Scriptkids sogar sehr erleichtern, Cassandra. Security-by-Obscurity kann nicht funktionieren. Durch eine Veröffentlichung wären viel mehr und breitere Gegenmaßnahmen möglich.
<blockquote>Zitat:<hr />Es war seitens Nautilus' nie die Rede davon, die Ergebnisse in einem "elitären Zirkel" zu veröffentlichen[/QUOTE]Eine Satire meinerseits... [img]tongue.gif[/img]
<blockquote>Zitat:<hr />dann sollte ich mich vielleicht mal nach einem Cracker-Board umsehen- da gibt's wenigstens was zu lachen.[/QUOTE]Na, da hätte ich direkt einen Tip für dich... ;)

ciao

[ 06. September 2002, 00:55: Beitrag editiert von: Dr Prantl ]

@ Cobra:
Nur so nebenbei...ich hatte an eine andere Antwort gedacht, die allerdings ebenfalls schwer dcsf-lastig ist: *PLONK*

Ich fand das letzte Posting von Nautilus auch stilistisch gelungen. Nichtsdestotrotz ist er Antworten schuldig geblieben. Auch ein Scherz kann nach hinten losgehen und dieser hier war für meinen Geschmack der reinste Rohrkrepierer.
Ich setz mich hier mit dem einen oder anderen Posting auch in die Nesseln. Stört mich aber nicht weiter, da ich script-kiddie-technisch ein reines Gewissen habe und niemandem beweisen muss, dass ich es ehrlich meine und lautere Absichten habe.

@IRON: Nein, warum sollte ich ihn plonken, ich möchte doch noch eine Antwort haben. ;)

Hallo Leute,

durch dieses Hin und Her und Gezanke verliert ihr doch nur euer eigentliches Ziel aus den Augen, dass bringt euch doch so nicht weiter.

Viele Grüsse
manman

[ 07. September 2002, 21:58: Beitrag editiert von: manman ]

@MM: Na gut, aber es sollte geklärt werden, wie verfahren werden soll.

Hallo zusammen, ich bin in Urlaub und kann mich deshalb momentan nicht gross um die Sache kümmern.

Mein ursprünglicher Vorschlag war bekanntlich gewesen, die Suchergebnisse zu veröffentlichen. Da hiergegen aber erhebliche Bedenken geäussert wurden, habe ich eingelenkt und in dem von Prantl kritisierten Posting geschrieben, dass nur wegen mir, d.h. zur Befriedigung meines persönlichen EGOs keine Veröffentlichung erfolgen muss. Ich bin im Prinzip also bereit, meine eigenen Ergebnisse im Geheimen an Bitmaster zu senden. Voraussetzung hierfür wäre aber - wie ich ebenfalls geschrieben habe -, dass ein durchdachter Alternativ-Vorschlag gemacht wird, der die restlichen Vorteile (bis auf den Motivationseffekt) gewährleistet, die mit einer Veröffentlichung verbunden sind. Ein solcher Vorschlag ist nicht erfolgt. Daher bin ich nach wie vor für Veröffentlichen.

Allerdings scheint es mir so, als würde die ganze Diskussion bislang im luftleeren Raum geführt. Bevor wir über das genaue Prozedere etc. nachdenken, müssten erst einmal ein paar Leute ihre generelle Bereitschaft zum mühsamen und zeitaufwendigen Mitsuchen erklären. Es haben zwar einige hier im Thread gepostet. Mitsuchen wollte aber noch keiner.

Raman meint insoweit, dass diese Arbeit eh nur bekloppte Freaks auf sich nehmen. Vielleicht hat er Recht.

Nautilus

Bei so etwas bin ich immer mit dabei. Und habe auch schon zwei Teilerfolge verbuchen können. Obwohl es ein schwieriges Unterfangen ist, ist es aber auch sehr spannend !

Hi Bitmaster,
...Teilerfolge inwiefern denn konkret?

Grüße,
wiwi

<blockquote>Zitat:<hr />Original erstellt von Nautilus:

Raman meint insoweit, dass diese Arbeit eh nur bekloppte Freaks auf sich nehmen. Vielleicht hat er Recht.
Nautilus[/QUOTE]Um mich hier mal als "halb-bekloppter Freak" zu outen. Wenn mir soetwas ueber den Weg laeuft _und_ das entsprechende Antivirenprogramm dort einen Virus(Fehlalarm) meldet, schicke ich sowas zu den entsprechenden Herstellern.

Bis jetzt waren Kasperky( max 2Tage) am schnellsten mit dem hinzufuegen, bei Norton geht es (intern) fast genauso schnell, bloss bis die das an die Kunden verteilen dauert es laenger.

Mit Mcafee/Nai habe ich in der Beziehung keine guten Erfahrungen gemacht. Aber das mag ja auch mir so gehen. SO haeufig kommt soetwas auch nicht vor.

MfG Ralf

Ich stelle mal folgende Vorgehensweise für die Suche zur Diskussion:

1. Was suchen?

Es gilt nach Packern bzw. Cryptern für .exe Dateien zu suchen. In der Regel sind nur solche Packer interessant, die Windows PE executables packen. Packer für DOS executables oder COM files sind weniger nützlich. Es ist nicht nach selbstextrahierenden Archiven, sondern nach Laufzeitkompressoren zu suchen. Somit scheiden WinZIP, WinRAR, WinACE etc. und auch die herkömmlichen Joiner und Binder für Trojaner aus.

In Einzelfällen mag es vorkommen, dass ein Packer oder Crypter keine Freeware ist, sondern Geld kostet. In einem solchen Fall wird NICHT empfohlen, den Packer zu Testzwecken mit einem Crack oder Key von astalavista.box.sk freizuschalten, da dies illegal wäre. Stattdessen kann man sich an mich (oder evt. Bitmaster?) wenden. Dort werden Sie geholfen.

2. Wo suchen?

http://protools.cjb.net/

http://exetools.chat.ru/encrypt.html (manchmal down)

http://de.geocities.com/gsm_hhc/packers.htm

http://mup.anticrack.de/Gallery.html (nur Übersicht)

EDITED: Noch eine weitere Adresse, die ich schon wieder vergessen hatte (mit freundlicher Unterstützung des Ratboards ;)

****************
"Packer....usw

hi leute, hab da eine seite mit packern usw. gefunden.
reichlich viel um allein zu testen.......
giand

http://sac.mirror.stop.hu/pack/
__________________
Nur zusammen sind wir Stark

15.09.2002, 11:26

*Kopfschüttel*

Danke, mal sehen welche davon in naher Zukunft detected sind!

Es kann einfach nicht wahr sein, wenn du solche Tips schon hast, dann behalte sie wenigstens für dich und klopp sowas nicht in die Datenbank eines Boards auf dem viele User mitlesen... Was denkst du wie schnell manche solcher Sachen hinterher detected sein können !

Wäre nett, wenn du die URL einfach löschen würdest!
__________________
JayseeTK"
***********

Ausserdem per Suchmaschine nach den Begriffen "packer" oder "pack", "crypter" oder "crypt", "cruncher", "scrambler", "PE","exe" fahnden.

3. Wer sucht wo?

Es wäre wohl am effektivsten, wenn nicht jeder überall suchen würde, sondern die Suche beispielsweise nach Anfangsbuchstaben der Packer/Crypter aufgeteilt wird. Beispiel: XYZ testet nur Packer mit den Anfangsbuchstaben A bis D. Zusätzlich steht es jedem natürlich frei, solche Packer/Crypter zu testen, die sich nur auf "abgelegenen" Internetseiten finden lassen.

4. Packer/Crypter für welches AV Programm suchen?

Es wurde bislang noch nicht entschieden, ob nur KAV (weil von diesem Hersteller eine schnelle Reaktion erwartet werden kann) oder noch andere AV Programme beteiligt werden sollen.

Diese Frage ist aber wichtig, da es in der Regel keinen Packer gibt, der für alle AV Programme gleichermassen "geheim" ist. Beispielsweise mag der eine oder andere Packer/Crypter KAV täuschen und wird dennoch von McAfee erkannt. Beim nächsten Packer/Crypter ist es dann umgekehrt.

Im Prinzip fände ich es schade, wenn nur KAV (+ Derivate) und nicht das ebenfalls vielversprechende McAfee beteiligt würden.

5. Wie testen?

Um zu testen, ob ein Packer oder Crypter vom AV Programm noch nicht erkannt wird, muss das jeweilige AV Programm mit den aktuellen Signaturen und der aktuellen Scanengine (wichtig!) installiert werden. Der Realtime-Monitor sollte abgeschaltet und stattdessen der on demand Scanner eingesetzt werden.

Ich empfehle, den Test mit mindestens zwei Trojanern durchzuführen. Als primäres Testobjekt schlage ich Optix Lite 0.4 vor, da dieser unter allen Betriebssystemen laufen sollten und einfach zu packen ist. Als sekundäres Testobjekt schlage ich vor, einen älteren und möglichst kleinen Trojaner zu verwenden (etwa MiniCommand). Kleine Trojaner lassen sich leichter packen bzw. crypten. Anders ausgedrückt: Nur weil sich Subseven nicht erfolgreich packen lässt, heisst dies noch längst nicht, dass der Packer wirklich vom AV Programm erkannt wird und weiteres Testen sinnlos ist. Es sollte auch deshalb nicht nur mit Optix Lite getestet werden, da dieser Trojaner sehr bekannt ist und nicht ausgeschlossen werden kann, dass viele AV Hersteller einfach neue Signaturen für einige gepackte Optix Server erstellt haben (anstatt den Packer ordnungsgemäss in die Unpacking Engine einzubauen)!

Wer Schwierigkeiten hat, ein Testobjekt zu finden, sollte einmal bei der Security Seite [EDITED] vorbeischauen.

Der eigentliche Test erfolgt in zwei Schritten. Zunächst wird der ungepackte, ungecryptete Server mit dem Scanner gescannt, um sicherzustellen, dass er erkannt wird. Anschliessend wird der Server gepackt und gecrypted (wobei auch mehrere Packer und/oder Crypter kombiniert werden können). Wenn der Server nun nicht mehr erkannt wird, gilt es den Server in einem zweiten Schritt auf dem eigenen Computer zu starten (also sich selbst zu infizieren), um festzustellen, ob der Server überhaupt noch läuft. Ein unerkannter, aber "toter" Server zählt somit nicht als Erfolg.

Nach dem Test kann man den Server normalerweise wieder mit Hilfe des dazugehörigen Clienten deinstallieren. Zur Sicherheit sollte man die Installation des Servers mit RegMon + Filemon, Cleansweep, der Ashampoo Uninstaller Suite, einer Sandbox a la Tiny Trojan Trap oder ähnlichen Tools überwachen. Wer mit der Installation und sicheren Deinstallation von Trojanern auf dem eigenen Rechner nicht vertraut ist, sollte am Test sicherheitshalber NICHT teilnehmen!

6. Wie Ergebnisse melden?

Die Einzelheiten gilt es noch zu diskutieren. (Veröffentlichung: Ja oder Nein?). Wichtig ist es in jedem Fall, die genaue Version des verwendeten Betriebssystems, die verwendeten Packer/Crypter, die verwendeten AV Signaturen u. Engine sowie die genaue Version des verwendeten Trojaners anzugeben. Ein Sample .zip-File, in dem sich der ungepackte Trojanerserver, der erfolgreich gepackte Trojanerserver sowie der Packer/Crypter befindet, sollte zur Kontrolle an mindestens zwei Personen (beispielsweise Bitmaster, Cruz, Uwe Berger von www.bluemerlin-security.de oder mich) gesandt werden. Diese Personen werden den "Fund" dann verifizieren und unabhängig von einer eventuell in diesem Forum oder einem anderen Forum stattfindenden Veröffentlichung des Fundes dafür sorgen, dass der vom Fund betroffene AV Hersteller umgehend informiert wird.

Die Mitteilung eines Fundes an mindestens zwei unabhängige Personen empfiehlt sich IMHO auch deshalb, um bereits dem Anschein entgegenzuwirken, dass dieses Projekt nur den Partikularinteressen einer einzelnen Security-Site oder Person dient oder zugunsten einiger weniger AV Hersteller erfolgt.

***
Unabhängig von der Frage, ob der konkrete Name des Packers/Crypters veröffentlicht wird, sollte zumindest der Nickname des Finders und die Zahl seiner Funde in diesem Forum veröffentlicht werden. Ich halte dies für angebracht, da die Suchenden einen ganz erheblichen Arbeits- und Zeitaufwand investieren, um den AV Herstellern weiterzuhelfen. Ein bisschen Anerkennung ist da angebracht.
***

Nautilus8xx@lycos.co.uk (jetzt erstmal wieder für ca. 14 Tage AWOL)

P.S.: Um die Suche zu vereinfachen, folgt hier noch eine Lite der .exe Tools, die KAV angeblich

bereits erkennt. Die Liste wurde von JoJo auf dem Ratboard gepostet.

Ace-IS
AIN#AIN21
AIN#AIN21hacked
AIN#AIN222
AIN#AIN223
Aluwain
Aluwain#Aluwain_relocation
Apack#Apack066com
Apack#Apack066exe1
Apack#Apack066exe2
Apack#Apack082exe
Apack#Apack090com
Apack#Apack090com_M
Apack#Apack090com_X
Apack#Apack090exe
Apack#Apack096com_big
Apack#Apack096com_small
Apack#Apack098com_small
Apack#Apack098exe_t
Apack#ApackUnknownexe
ARF
ARF
ARF#ARF23exe
ARF#ARF24exe
ASPack
ASPack#ASPack101
ASPack#ASPack102
ASPack#ASPack103
ASPack#ASPack104
ASPack#ASPack105
ASPack#ASPack105unknown
ASPack#ASPack106
ASPack#ASPack107
ASPack#ASPack107b
ASPack#ASPack108
ASPack#ASPack108
ASPack#ASPack1081
ASPack#ASPack1081_2
ASPack#ASPack1082
ASPack#ASPack1083
ASPack#ASPack1084
ASPack#ASPack1084_ASProtect
ASPack#ASPack2000
ASPack#ASPack2001
ASPack#ASPack21
ASPack#ASPack211
ASPack#ASPack211d
ASPack#ASPack211e
ASPack#ASPack211patch
ASPack#ASPack212
Astrum
AVL
AVPACK
AVPACK#
AVPACK#AVPACK-ecom
AVPACK#AVPACK-eexe
Bat2Exec#Bat2Exec 1.2/1.5
Bat2Exec#Bat2Exec 1.2/1.5 0
Bat2Exec#Bat2Exec 1.x
Bat2Exec#Bat2Exec 3.80
Bat2Exec#Bat2Exec 3.80
BitArts
BitArts#
BitArts.Cruncher
BitArts.Cruncher#
BitArts.Fusion
BitArts.Fusion#
BJFnt
BJFnt#
BJFnt#
Boot BIN Image
Cexe
Cheaters
Cheaters#
CodeCrypt
CodeCrypt#CodeCrypt013
CodeCrypt#CodeCrypt014
CodeCrypt#CodeCrypt015
CodeCrypt#CodeCrypt016
CodeCrypt#CodeCrypt0163
CodeSafe#CodeSafe1_10
CodeSafe#CodeSafe20
CodeSafe#CodeSafe20_1
CodeSafe#CodeSafe30
CodeSafe#CodeSafe30_1
CodeSafe#CodeSafe31
Com100
Com2Com
Com2Exe
Com2NE
Com2Txt.Comt
Com2Txt.Dandler
Com2Txt.DarkStalker
Com2Txt.HPA
Com2Txt.Jibz
Com2Txt.Jibz#
Com2Txt.Netrun
Com2Txt.Nide
Com2Txt.Tseng
Com2Txt.XP
Com2Txt.XW
Com2Txt.Yaaa
Com2Txt.Zombie
COMPACK
COMPACK#COMPACK44com
COMPACK#COMPACK45com
COMPACK#COMPACK45exe
COMPACK#COMPACK51com
COMPACK#COMPACK51exe
ComPatch
ComPatch#ComPatchAnsiOFF
ComPatch#ComPatchBios
ComPatch#ComPatchBiosOFF
ComPatch#ComPatchEncrypt
ComPatch#ComPatchEncryptANSI
ComPatch#ComPatchEncryptANSIOFF
ComPatch#ComPatchEncryptBIOS
ComPatch#ComPatchEncryptBIOSOFF
ComPatch#ComPatchEncryptOFF
ComPatch#ComPatchOFF
CPAV
CPAV#CPAV1
CPAV#CPAV2
Crunch
Crypt
Crypt#1
Crypt#2
Crypt#3
Crypt#4
Crypt#5
Crypt#6
Crypt#7
Crypt#Crypt_ACAD
Crypt.4V
Crypt.a
Crypt.ABK
Crypt.Alex
Crypt.Aliscrp
Crypt.AST
Crypt.BinLock
Crypt.BTS
Crypt.CC
Crypt.CC286
Crypt.C-Crypt
Crypt.CNTX
Crypt.ComC
Crypt.ComCrypt
Crypt.ComLock
Crypt.ComLock#
Crypt.ComProt
Crypt.ComProt#
Crypt.Cop
Crypt.Crk
Crypt.Cruncher
Crypt.Cryptcom
Crypt.CryptExe
Crypt.CryptExe.Rel
Crypt.DarkStalker
Crypt.DCC
Crypt.Deep
Crypt.Deeper
Crypt.Deeper#DeeperExe
Crypt.Dismember
Crypt.Dismember#
Crypt.Dismember#
Crypt.Dismember#2.0
Crypt.Dismember#Dismember10
Crypt.Dismember#Dismember117com
Crypt.Dismember#Dismember117exe
Crypt.Dismember#Dismember117exe_patched
Crypt.Dismember#Dismember12com
Crypt.Dismember#Dismember12exe
Crypt.Ds-crp
Crypt.Elicz
Crypt.EM-Phaser
Crypt.Evil
Crypt.Exom
Crypt.Exom#Exom Exe
Crypt.Exom#Exom002Com
Crypt.Exom#Exom002Exe
Crypt.Exom#Exom003
Crypt.Expander
Crypt.FAE
Crypt.FD
Crypt.Fdc
Crypt.Frank
Crypt.Franzy
Crypt.Gaston
Crypt.Hac
Crypt.HDK
Crypt.Hijaq
Crypt.IBBM
Crypt.InBuilder
Crypt.Inertia
Crypt.Jmt
Crypt.Jmt#
Crypt.jPC
Crypt.Khrome
Crypt.LCC
Crypt.LCC#LCC112big
Crypt.LCC#LCC112big-S
Crypt.LCC#LCC112small-S
Crypt.LCC#LCC12
Crypt.LCC#LCC12-H
Crypt.LCC#LCC12-S
Crypt.LockProg
Crypt.Mavericks
Crypt.McLock
Crypt.Mcrypt
Crypt.MegaShield
Crypt.MG
Crypt.Microxor
Crypt.Microxor#
Crypt.Misha
Crypt.MSCC
Crypt.NH
Crypt.Pcorsair.a
Crypt.Pcorsair.b
Crypt.PPP
Crypt.PSQ
Crypt.Quarantine
Crypt.Quarantine#
Crypt.R-Crypt
Crypt.R-Crypt#R-Crypt092
Crypt.REC.Small
Crypt.REC.Small#REC.Small1051
Crypt.REC.Small#REC.Small105c
Crypt.REC.Small.AV
Crypt.REC.Small.AV#AV100
Crypt.REC.Small.AV#AV105
Crypt.Renegade
Crypt.RL
Crypt.RTD
Crypt.Ryptor
Crypt.SCC
Crypt.Sccrambler
Crypt.Scrypt
Crypt.SecureLock
Crypt.SecureLock#SecureLock035
Crypt.Shadow
Crypt.TCEC
Crypt.TCEC#TCEC360c
Crypt.TCEC#TCEC360cWin
Crypt.TCEC#TCEC360x1
Crypt.THC
Crypt.TinySMT
Crypt.TinyXor
Crypt.TPC
Crypt.Tseng
Crypt.Tseng#Tseng2
Crypt.Tseng#Tseng3
Crypt.Unique
Crypt.Unique#
Crypt.USCC
Crypt.VAG
Crypt.Wicked
Crypt.Wumpus
Crypt.X3
Crypt.Xcomor
Crypt.XorCopy
CryptCOM
CryptCOM.b
CryptGeneric
DBPE
DebugScript
Diet
Diet#100e
Diet#110
Diet#110e
Diet#144
Diet#144e
Diet#145e
Dr
Dropper.b
Dropper.c
Dropper.d
Edit
Edit#
Elite#
Elite#
Elite#
Embedded.Boot
EncrCom
Epack
Exe2Com
Exe2Com#A.EX
Exe2Com#Exe2Com1
Exe2Com#Exe2Com2
Exe2Com#Exe2Com4
Exe2Com.Cbredi
Exe2Com.Cbredi#Cbredi102b
Exe2Com.EXC
Exe2Com.FCK
Exe2Com.MegaSoft
Exe2Com.ScrE2B
Exe2Com.SDW
Exe2Com.tECC
Exe2Com.Tseng
Exe2Com.Tseng#Exe2Com_IGOR.EX
Exe2Com.Tseng#Exe2Com_unknown
Exe2NE
Exe32Pack
Exe32Pack#Exe32Pack137
ExeLock
ExePack
ExePack#
ExePack#
ExePack#
ExePack#
Expert
Ezip
Faila
FileShield
F-XLOCK
F-XLOCK#
Gleam
HackStop#HackCom118
HackStop#HackExe118
HackStop#HackExe119
HackStop#HackExe119/217
HackStop#HackExe119/Reg
HackStop#HackExe119/Reg2
HackStop#HackExeReg118
HackStop#HackStop_0921_com
HackStop#HackStop_099_exe
HackStop#HackStop_099b_exe_reg
HackStop#HackStop_1.20s_exe
HackStop#HackStop_100_com
HackStop#HackStop_100_com_reg
HackStop#HackStop_100_exe
HackStop#HackStop_100_exe
HackStop#HackStop_100b1_exe_reg
HackStop#HackStop_101c_com_reg
HackStop#HackStop_110b_111_exe_reg
HackStop#HackStop_110p1_exe
HackStop#HackStop_112_exe
HackStop#HackStop_112s_com
HackStop#HackStop_112s_exe_reg
HackStop#HackStop_114ûs_com
HackStop#HackStop_114ûs_exe
HackStop#HackStop_117_com
HackStop#HackStop_117_exe
HackStop#HackStop_118_exe
HackStop#HackStopCom119
HackStop#HackStopCom120
HDD Image
Html2Rtf
HybrisUUE
ICE
IntroLoader
Jam#
Jam#
Krypton
Krypton#Krypton03
LameCrypt
LGLZ#LGLZ_COM
LGLZ#LGLZ_EXE
LzCom
LzExe
LzExe#
LzExe#
MAV
MegaCrypt
MIME.Broken
MS TypeLib
Mscan-vac
Mscan-vac#
Neolite#NeoLite10
Neolite#NeoLite101
Neolite#NeoLite101h
Neolite#NeoLite101r
Neolite#NeoLite101rh
Neolite#NeoLite104
Neolite#NeoLite104h
Neolite#NeoLite104r
Neolite#NeoLite104rh
Neolite#NeoLite10h
Neolite#NeoLite10r
Neolite#NeoLite10rh
Neolite#NeoLite20
Neolite#NeoLite20h
Neolite#NeoLite20r
Neolite#NeoLite20r1
Neolite#NeoLite20r2
Neolite#NeoLite20rh
Neolite#NeoLite2xr
Neolite#NeoLite2xrh
NFO
NoodleCrypt
ObjectModule
OptLink#OptLinkNE
Package
PackLite
PackLite#
PackWin
PackWin#
PaquetBuilder
PCPEC
PCShrink
PE_Patch
PE_Patch
PE_Patch#PE_Patch_abcede
PE_Patch#PE_Patch_BIN.DLL
PE_Patch#PE_Patch_CRACKEDE.EX
PE_Patch#PE_Patch_NOP's
PE_Patch#PE_Patch_Q265258.EXE
PE_Patch#PE_Patch_SERVER21.EX
PE_Patch#PE_Patch_TELock092
PE_Patch#PE_Patch_TIB104.TM1
PE_Patch#PE_Patch_UPX
PE_Patch#PE_Patch_UPX_Protector_1
PE_Patch#PE_Patch_UPX_Protector_2
PE_Patch#PE_Patch2
PE_Patch#PE_Patch3
PE_Patch#PE_Patch3
PE_Patch#PE_Patch4
PE_Patch_MOV_EAX_PUSH_RET
PEBundle
PEBundle#PEBundle0.0x
PEBundle#PEBundle0.12
PEBundle#PEBundle1b2
PEBundle#PEBundle1b3_101_102
PEBundle#PEBundle2011
PEBundle#PEBundle2011_
PEBundle#PEBundle20b1
PEBundle#PEBundle20b2
PEBundle#PEBundle20b4
PEBundle#PEBundle20b6
PEBundle#PEBundle210
PEBundle#PEBundle220
PECompact#
PECompact#PECompact_092
PECompact#PECompact_093
PECompact#PECompact_094
PECompact#PECompact_096
PECompact#PECompact_0971
PECompact#PECompact_0972
PECompact#PECompact_09751
PECompact#PECompact_09761
PECompact#PECompact_09762
PECompact#PECompact_0977
PECompact#PECompact_0978
PECompact#PECompact_09781
PECompact#PECompact_099
PECompact#PECompact_100
PECompact#PECompact_1101a
PECompact#PECompact_1101j
PECompact#PECompact_1102a
PECompact#PECompact_1102j
PECompact#PECompact_1103a
PECompact#PECompact_1103j
PECompact#PECompact_1104a
PECompact#PECompact_1104j
PECompact#PECompact_1105a
PECompact#PECompact_1105j
PECompact#PECompact_1106a
PECompact#PECompact_1106j
PECompact#PECompact_1107a
PECompact#PECompact_1107j
PECompact#PECompact_1108a
PECompact#PECompact_1108j
PECompact#PECompact_120a
PECompact#PECompact_120j
PECompact#PECompact_122a
PECompact#PECompact_122j
PECompact#PECompact_1232a
PECompact#PECompact_1232j
PECompact#PECompact_123a
PECompact#PECompact_123j
PECompact#PECompact_1242a
PECompact#PECompact_1242j
PECompact#PECompact_125a
PECompact#PECompact_125j
PECompact#PECompact_1263a
PECompact#PECompact_1263j
PECompact#PECompact_126a
PECompact#PECompact_126j
PECompact#PECompact_131a
PECompact#PECompact_133a
PECompact#PECompact_133aPatched
PECompact#PECompact_133j
PECompact#PECompact_134a
PECompact#PECompact_134j
PECompact#PECompact_1401j
PECompact#PECompact_1402a
PECompact#PECompact_1402j
PECompact#PECompact_1403j
PECompact#PECompact_1404j
PECompact#PECompact_1405a
PECompact#PECompact_1405j
PECompact#PECompact_1407a
PECompact#PECompact_1407j
PECompact#PECompact_146a
PECompact#PECompact_146j
PECompact#PECompact_147a
PECompact#PECompact_147j
PECompact#PECompact_155a
PECompact#PECompact_155j
PECompact#PECompact_156a
PECompact#PECompact_156j
PECompact#PECompact_160a
PECompact#PECompact_160j
PECompact#PECompact_166a
PECompact#PECompact_166j
PECompact#PECompact_167a
PECompact#PECompact_167j
PECompact#PECompact_167j_patched
PECompact#PECompact_168a
PECompact#PECompact_168j
PECompact#PECompact_174j
PECompact#PECompact_Uj
PECompact#PECompact_unknown2
PE-Crypt
PE-Crypt#
PE-Crypt#PE-Crypt1
PE-Crypt#PE-Crypt2
PE-Crypt#PE-Crypt3
PE-Crypt#PE-Crypt4
PE-Crypt#PE-Crypt4
PE-Crypt#PE-Crypt5
PE-Crypt#PE-Crypt5new
PE-Crypt#PE-Crypt6
PE-Crypt#PE-Crypt6new
PE-Crypt#PE-Crypt7
PE-Crypt.Data
PE-Crypt.Hetero
PE-Crypt.Lame
PE-Crypt.Lame#Lame12
PE-Crypt.WebMoney
PE-Crypt.WebMoney#WebMoney2CA00
PECrypt32.Kila
PE-Diminisher
PELock
PELock#PELock203
PELock#PELock204
PEMangle
PEncrypt
PENightmare
PENightmare#PENightmare2
PENinja
PE-Pack
PE-Pack#
PE-Pack#
PE-Pack#PE-Pack0992
PE-Pack#PE-Pack1.0
PEPack.Exepack#
PE-Protect
PE-Shield
PE-Shield#PE-Shield0.1d
PE-Shield#PE-Shield0.2
PE-Shield#PE-Shield0.25
PE-Shield#PE-Shield1
Petite
Petite#Petite112
Petite#Petite113
Petite#Petite113a
Petite#Petite114
Petite#Petite20
Petite#Petite20_1
Petite#Petite21
Petite#Petite21_1
Petite#Petite22_1_15/12/99
Petite#Petite22_1_2/12/99
Petite#Petite22_15/12/99
Petite#Petite22_2/12/99
Pex
PGMPAK
PGMPAK#
PGMPAK#
PGMPAK#
PkLite
PkLite#100
PkLite#100b
PkLite#100s
PkLite#103
PkLite#103b
PkLite#103eb
PkLite#103es
PkLite#103s
PkLite#105_112_113_114_120
PkLite#105b
PkLite#105s
PkLite#112_113b
PkLite#112_113eb
PkLite#112_113es
PkLite#112_113s
PkLite#114b
PkLite#114s
PkLite#115
PkLite#115b
PkLite#115eb
PkLite#115es
PkLite#115s
PkLite#116?
PkLite#150
PkLite#150b
PkLite#150s
PkLite#150sys
PkLite#PKLiteNE
PKLite32
Pksmart
PornoPack
Protect
Protect#Protect.1.0exe
Protect#Protect.2.0com
Protect#Protect.2.0exe
Protect#Protect.3.0com
Protect#Protect.3.0exe
Protect#Protect.4.0com
Protect#Protect.5.0com
Protect#Protect.5.0exe
Protect#Protect.5.5com
Protect#Protect.5.5exe
Protect#Protect.6.0com
Protect#Protect_6.0exe
Protect#Protect_6.0exev1
ProtEXE
ProtEXE#ProtEXEe
Rapid
RelPack
RelPack#
Rerp
Rjcrush
RLE
Rucc
Scramb
Scramb#
Scrambler
SCRNCH
SCRNCH#SCRNCH102b
SCRNCH#SCRNCH102s
SCRNCH#SRCNCH10b
SecuPack
Shrink
Shrinker#3.0exe
Shrinker#3.0pe
Shrinker#3.20pe
Shrinker#3.2exe
Shrinker#3.2pe
Shrinker#3.3exe
Shrinker#3.3pe
Shrinker#3.4?
Shrinker#3.4b1pe
Shrinker#3.4exe
Shrinker#3.4pe
Shrinker#3.5?
Shrinker#ShrinkerNE
Six-2-Four
Six-2-Four#Six-2-Four11
SLS
SMT-protect
SMT-protect#SMT-protect_fixed
Spec
SPS
SPS#SPSexe
SuperCede
Syspack
TeLock
TeLock#TeLock041b
TeLock#TeLock041c
TeLock#TeLock042
TeLock#TeLock051
TeLock#TeLock060
TeLock#TeLock061
TeLock#TeLock070
TeLock#TeLock071
TeLock#TeLock071b
TeLock#TeLock071c
TeLock#TeLock071d
TeLock#TeLock071e
TeLock#TeLock071f
TeLock#TeLock080
TeLock#TeLock085f
TeLock#TeLock090
TeLock#TeLock091?
TeLock#TeLock092?
TeLock#TeLock092a
TeLock#TeLock095
TeLock#TeLock096
TeLock#TeLock098
Tinyprog#Tinyprog1
Tinyprog#Tinyprog2
T-Pack
Trap
Trap#115com
Trap#115exe
Trap#116betacom
Trap#116betaexe
Trap#116com1
Trap#116com2
Trap#116exe
Trap#117com
Trap#117exe
Trap#118com
Trap#118exe
Trap#119com
Trap#119exe
Trap#120com1
Trap#120com2
Trap#120exe
TT
UCEXE
UCEXE#UCEXE_10
UCEXE#UCEXE_11
UCEXE#UCEXE_12
UCEXE#UCEXE_13
UCEXE#UCEXE_14
UCEXE#UCEXE_15
UCEXE#UCEXE_16
UCEXE#UCEXE_2
UCEXE#UCEXE_3
UCEXE#UCEXE_4
UCEXE#UCEXE_5
UCEXE#UCEXE_6
UCEXE#UCEXE_7
UCEXE#UCEXE_8
UCEXE#UCEXE_9
Univac
UPD
UPD#UPD_com
UPD#UPD_exe
UPX
UPX#0.76.1
UPX#0.76.1
UPX#0.76.1
UPX#0.76.1
UPX#0.76.1
UPX#0.76.1
UPX#0.76.2
UPX#0.76.2
UPX#0.76.2
UPX#051
UPX#061
UPX#061d
UPX#062
UPX#062d
UPX#070
UPX#070d
UPX#071_072
UPX#071_072d
UPX#072d
UPX#072nonencrypted
UPX#0761_0762
UPX#081_1
UPX#081_1_1
UPX#081_1_2
UPX#081_2
UPX#081_3
UPX#081_3_1
UPX#081_4
UPX#081_d1
UPX#083_3_1
UPX#084
UPX#090_1
UPX#090_2
UPX#090_3
UPX#090_4
UPX#090_5
UPX#090_6
UPX#090_dll
UPX#093_1
UPX#093_2
UPX#094_1
UPX#094_2
UPX#094_3
UPX#094_31
UPX#094_32
UPX#094_33
UPX#094_4
UPX#094_5
UPX#094_6
UPX#094_7
UPX#094_7_1
UPX#094_8
UPX#094jmptoUPX
UPX#099_1
UPX#099_1patch
UPX#099_2
UPX#101
UPX#101DLL
UPX#1031
UPX#1032
UPX#1033
UPX#1034
UPX#1035
UPX#103dll
UPX#105dll1
UPX#105dll2
UPX#120dll
UPX#AAA.EX
UPX#FACTORY.EX
UPX#GD.EX
UPX#GHOSTDOG.EX
UPX#ICQSPAMMER.EX
UPX#m2-1
UPX#m2-2
UPX#m2-2patched
UPX#m2-2patchedÄÎÊÓÌÅÍÒ.EX
UPX#m2-3
UPX#m2-4
UPX#m2-5
UPX#m2-6
UPX#m2-7
UPX#m2-8
UPX#m2-8patched
UPX#m2-9(1.01)
UPX#m2-9(1.01)2
UPX#m2-9(1.01)3
UPX#m2-9(1.01)3
UPX#m2-9(1.20)
UPX#m2-d
UPX#m2-e
UPX#m2-F(1.20)3
UPX#MESUT.EX
UPX#MP3PROCRYPTER.EX
UPX#SERVER.EX3
UPX#SYSCFG32.EX
UPX#TEST2.EX
UPX#UPX_051_Com
UPX#UPX_051_Exe
UPX#UPX_051_Exe2
UPX#UPX_051_Sys
UPX#UPX_061_Com
UPX#UPX_061_Exe
UPX#UPX_061_Sys
UPX#UPX_0761
UPX#UPX_0762
UPX#UPX_081
UPX#UPX_081e
UPX#UPX_081e1
UPX#UPX_081e2
UPX#UPX_081sys
UPX#UPX_081syse
UPX#UPX070lin
UPX#UPX0762lin
UPX#UPX0763lin
UPX#UPX081lin
UPX#UPX084lin
UPX#UPX090lin
UPX#UPX092lin
UPX#UPX0991lin
UPX#UPX099lin
UPX#UPX100lin
UPX#UPX103lin
UPX#UPX108lin
UPX#UPX111beta
UPX#UPX120lin
UPX#WIN.EX
UPX#WIN2000.EX
UPX#WK.EX
UPX#WORM.EX
Vacuum
VBSComment
VGCrypt
VGCrypt#075
VGCrypt#unknown
VSD
VSD#VSDexe
VSS
WinKript
WWPACK
WWPACK#300p
WWPACK#302p
WWPACK#302pu
WWPACK#303p
WWPACK#304p
WWPACK#304pu
WWPACK#305p
WWPACK#305pr
WWPACK#305prcorr
WWPACK#305pu
WWPack32
WWPack32#WWPack32_101
WWPack32#WWPack32_102
WWPack32#WWPack32_103_1
WWPack32#WWPack32_103_2
WWPack32#WWPack32_110
WWPack32#WWPack32_112
WWPack32#WWPack32_112_2
WWPack32#WWPack32_unknown
WWPack32#WWPack32_unknown2
WWPackMutator
XCR
XE
XE#XE140
XE#XE140sys
XE#XEbig
XPack#XPack_COM145
XPack#XPack_COM67L
XPack#XPack_COM67R
XPack#XPack_EXE145
XPack#XPack_EXE67L
XPack#XPack_EXE67R
XPack#XPack_SYS145
XPack#XPack_SYS67L
XPack#XPack_SYS67R
Yoda
Yoda#Yoda11
Yoda#Yoda12
Yoda#Yoda12?

[ 23. September 2002, 02:59: Beitrag editiert von: Nautilus ]

Hallo,

ich weiss jetzt nicht, ob ich unbedingt diese Diskussion anfangen sollte, denn ich weiss, ich kann das nicht ausdikutieren, aber meine Meinung doch dazu:

<blockquote>Zitat:<hr />Original erstellt von Nautilus:
Ich stelle mal folgende Vorgehensweise für die Suche zur Diskussion:

Wer Schwierigkeiten hat, ein Testobjekt zu finden, sollte einmal bei der Security Seite http://www. vorbeischauen.
[/QUOTE]Das ist genau das, was ich befuerchtet habe. Okay Packer/Cryptoren den Av-Herstellen zuschicken, um ihnen die Moeglichkeit zu geben, sie in ihren Produkten einzubauen ist in Ordnung.

Aber jetzt jeden dazu auffordern, Trojaner damit zu Packen und auch noch zu testen ob es klappt....

und zu guter letzt auch noch eine Downloadquelle dafuer zu nennen finde ich, wie sag ich es am besten..., zweifelhaft.

Leute die soetwas wirklich machen wollen, brauchen keine Quelle zu Viren oder Packern, die finden die auch so.

Ich bin gespannt, wann die ersten Threads zum Thema unbekannter Trojaner, oder wie entferne ich gepackten Trojaner vom Rechner.

Irgendwann kam mal das Thema "Scriptkidys" hier im Thread auf...

MfG Raman

@Raman Ich habe den Link entfernt. Es handelte sich bei dem Link allerdings um eine Security-Seite. Die dort vorhandenen Trojaner werden von AV Programmen erkannt. Letztlich muss man ja ohnehin nur das Wort Trojaner bei Google eingeben, ein paar Links anklicken und schon hat man eine DL Möglichkeit gefunden. Es ist schwer, über Sicherheit zu sprechen, ohne gleichzeitig auch der Gegenseite gewisse Anhaltspunkte zu geben.

Ich kann mich jetzt nicht mehr um mein Posting kümmern. Bitte editiert es mit Hilfe von Cruz, falls es immer noch zu weit geht.

Gruss Nautilus

<blockquote>Zitat:<hr />Original erstellt von Nautilus:
@Raman Ich habe den Link entfernt. Es handelte sich bei dem Link allerdings um eine Security-Seite. Die dort vorhandenen Trojaner werden von AV Programmen erkannt.[/QUOTE]Mit sicherheit nicht alle.

Letztlich muss man ja ohnehin nur das Wort Trojaner bei Google eingeben, ein paar Links anklicken und schon hat man eine DL Möglichkeit gefunden.

Wenn man scharf darauf ist.... Bloss manchmal denke ich, wenn jemand einen Virus haben will, soll die Person sich den selber besorgen. Und wenn schon jemand in einer Newsgroup oder Forum danach fragen muss und nicht selber auf die Idee mit der Suchmaschine kommt, hat auch keine Ahnung von Computer oder Viren.

Es ist schwer, über Sicherheit zu sprechen,

Ich glaube es ging hier um Packer/Cryptoren nicht um Trojaner/Sicherheit. Man kann auch andere Programme mit Packern packen. z.B. Notepad ist wesentlich ungefaehrlicher. [img]smile.gif[/img]

ohne gleichzeitig auch der Gegenseite gewisse Anhaltspunkte zu geben.

Das kommt IMHO auf die Umgebung an. Aber in den Nutzungsbedingungen steht ja auch :
---
Ziel ist es, den freien Austausch von Meinungen, Informationen und Ideen - insbesonders zu den Themen Computer und / oder Computersicherheit - anzuregen
---

Ich finde deinen Weg nur etwas "zweifelhaft"(mir faellt gerade kein passenderes Wort ein)

Ich kann mich jetzt nicht mehr um mein Posting kümmern. Bitte editiert es mit Hilfe von Cruz, falls es immer noch zu weit geht.

Alles was ich geschrieben habe ist meine Meinung, du oder die anderen duerfen denken was sie wollen. Ich fand es halt nur ein wenig "unpassend".

MfG Raman

die links zu den packer/crypter seiten, sind soweit ich sehe NUB-konform, allerdings sollte niemand an diesem test teilnehmen, der nicht genau weiß, was er/sie tut. auch bei den packern/cryptern ist nicht sicher, ob diese nicht selbst malware enthalten können, da diese seiten ja nicht unbedingt "seriös" sind.

wer etwas gefunden hat, was kaspersky/mcaffee nicht erkennt, kann mir/bitmaster/nautilus das zeug schicken (am besten allen per cc), ich teste es dann nochmal und leite es weiter. credit kriegt derjenige natürlich auch.

.cruz

@Cruz Deine Warnung ist gut und richtig. Ich hatte vergessen, sie in die Anleitung mit aufzunehmen.

Die Idee mit dem cc: finde ich ebenfalls sehr gut. Bitte insoweit auch Uwe Berger nicht vergessen, damit sich die Mitglieder aller drei Communties angesprochen fühlen und bei der Suche mithelfen. Falls eine E-mail nicht an alle gerichtet sein sollte und ich mich per Zufall auf dem Verteiler befinde, werde ich sie natürlich an alle weiterleiten.

Vielleicht ist dieses Verfahren ein guter Kompromiss zwischen einer Veröffentlichung im Board (mit 100% Transparenz) und der von Prantl zu Recht abgelehnten Veröffentlichung in einem elitären Zirkel. Ich gehe insoweit davon aus, dass Bitmaster, Cruz, Uwe und natürlich auch ich, das gesammelte Ergebnis der Suche an alle mit einem berechtigten Interesse weiterleiten werden. Sprich: Jeder aus der AV Community kann es haben, alle bekannten Ratboard Mitglieder gehen leer aus.

Gruss Nautilus

<blockquote>Zitat:<hr />Original erstellt von Nautilus:
Die Idee mit dem cc: finde ich ebenfalls sehr gut. Bitte insoweit auch Uwe Berger nicht vergessen, damit sich die Mitglieder aller drei Communties angesprochen fühlen und bei der Suche mithelfen.[/QUOTE]ja, wenn uwe das möchte, habe ich kein problem mit.
<blockquote>Zitat:<hr />
Vielleicht ist dieses Verfahren ein guter Kompromiss zwischen einer Veröffentlichung im Board (mit 100% Transparenz) und der von Prantl zu Recht abgelehnten Veröffentlichung in einem elitären Zirkel. [/QUOTE]ich meine man sollte es so halten: informieren der AV-hersteller mit angemessener rückhaltezeit. sofern die kombinationen in die unpacking-engine aufgenommen sind, veröffentlichung der kombination mit nennung des finders.

falls die rückhaltezeit verstrichen ist: veröffentlichung der kombination, um druck auf die antivirenhersteller auszuüben.
so ähnlich funktioniert ja auch bugtraq (jedoch oft ohne informierung der hersteller).

.cruz

@Cruz Den Vorschlag mit der Rückhaltezeit finde ich gut. Bitmaster und Uwe haben von mir soeben eine Samplemail bekommen. Dir habe ich sie leider nicht geschickt, da ich Deine Addi auf die Schnelle nicht finde.

Falls ihr den Fund verifiziert, möchte ich den ersten Credit hier im Board bekommen (ohne Nennung des Crypters, aber vor Ablauf der Rückhaltefrist ;)

Gruss Nautilus

[ 09. September 2002, 20:18: Beitrag editiert von: Nautilus ]

<blockquote>Zitat:<hr />Original erstellt von Nautilus:
@Cruz Den Vorschlag mit der Rückhaltezeit finde ich gut. Bitmaster und Uwe haben von mir soeben eine Samplemail bekommen. Dir habe ich sie leider nicht geschickt, da ich Deine Addi auf die Schnelle nicht finde.[/QUOTE]das kenne ich auch, auf die einfachste lösung kommt man am schwersten :D
einfach mal auf profil klicken ;)

.cruz

Das habe ich gemacht, bekomme aber nur Deine Homepage, auf der nichts los ist :), angezeigt. Deine Email Addi bleibt leer. Vielleicht ist mein Browser zu sicher eingestellt?

Gruss Nautilus

<blockquote>Zitat:<hr />Original erstellt von Nautilus:
Das habe ich gemacht, bekomme aber nur Deine Homepage, auf der nichts los ist :), angezeigt. Deine Email Addi bleibt leer. Vielleicht ist mein Browser zu sicher eingestellt?[/QUOTE]huh? dein browser blendet email-addys aus? bei mir steht da:

cruz@allnews.de

[edit]
kann natürlich auch an meinen admin-rechten liegen, dass das nur bei mir angezeigt wird, muss ich gleich mal testen.
[/edit]
.cruz

[ 09. September 2002, 20:39: Beitrag editiert von: cruz ]

also: mit sämtlichen graphischen browsern, die ich getestet habe, wird die email angezeigt (IE. konqueror, mozilla), mit textbrowsern wie lynx und links tritt in der tat das phänomen auf, dass die email nicht angezeigt wird.

.cruz

Hi,

zunächst einmal finde ich es gut, daß es doch noch zu einer Einigung und zu einer Durchführung des Projektes "Packer&Crypter" zu kommen scheint. [img]smile.gif[/img] Ich selbst werde vermutlich zu wenig Zeit haben, um selbst aktiv nach solchen Packern zu fahnden, aber die Ergebnisse interessieren mich trotzdem. Ich habe gelegentlich mit laufzeitkomprimierten Dateien zu tun, und meist weiß ich nicht, womit sie gepackt sind. Bei einigen komprimierten Dateien erkennt man den verwendeten Packer im Fileheader (z.B. UPX). Ich denke, daß nicht nur bei mir Interesse besteht, den verwendeten Packer mit einem Hexeditor oder einem anderen Programm zu ermitteln. Wäre es daher möglich, eine Übersicht zu erstellen, woran welcher Packer/Crypter zu erkennen ist? Dadurch wäre es möglich, schon beim Eintreffen einer komprimierten Datei (z.B. per Mail) ein Gefährdungspotential (eventuell enthaltene Malware) zu erkennen.

Einiges ist mir noch unklar:
<blockquote>Zitat:<hr />*quoting Nautilus:
Ich gehe insoweit davon aus, dass Bitmaster, Cruz, Uwe und natürlich auch ich, das gesammelte Ergebnis der Suche an alle mit einem berechtigten Interesse weiterleiten werden.[/QUOTE]Wer genau legt fest, wer zu den Personen mit einem "berechtigten Interesse" gehört? Schließlich handelt es sich dabei nicht nur um die AV/AT Firmen, sondern auch um freiwillige Helfer.
<blockquote>Zitat:<hr />Jeder aus der AV Community kann es haben, alle bekannten Ratboard Mitglieder gehen leer aus.[/QUOTE]Wie willst du das sicherstellen?

ciao

<blockquote>Zitat:<hr />Original erstellt von Dr Prantl:
Wäre es daher möglich, eine Übersicht zu erstellen, woran welcher Packer/Crypter zu erkennen ist? Dadurch wäre es möglich, schon beim Eintreffen einer komprimierten Datei (z.B. per Mail) ein Gefährdungspotential (eventuell enthaltene Malware) zu erkennen.[/QUOTE]da gibts fertige tools für, wie gut die sind, hab ich aber noch nicht getestet. bei interesse such ich dir mal die namen der tools raus.

.cruz

Das hört sich gut an. [img]graemlins/daumenhoch.gif[/img] Ich habe Interesse an solchen Tools, wo finde ich sie bzw wie heißen sie? Noch interessanter wäre m.E. eine direkte Übersicht, an welchem Header man welchen Packer erkennt (evtl als ASCII-Datei). Sowas könnte man in einen Mailserver integrieren, der dann beim Auftreten einer Mail mit einer derart gepackten Datei das entsprechende Attachment strippt.

<blockquote>Zitat:<hr />Original erstellt von Dr Prantl:
Das hört sich gut an. [img]graemlins/daumenhoch.gif[/img] Ich habe Interesse an solchen Tools, wo finde ich sie bzw wie heißen sie? .[/QUOTE]Das hier ist IMO sehr gut http://www.unet.univie.ac.at/~a96066...p/download.htm

wenn jemand andere kennt, raus damit. Sowas suche ich auch. [img]smile.gif[/img]

MfG Raman

@Prantl Zu Deiner Frage ... Cruz ist ja sogar bereit noch einen Schritt weiter zu gehen und ALLE Packer zu veröffentlichen (nach einer Rückhaltezeit). Ich denke, damit ist die Frage der Verteilung weitgehend gegenstandslos. Es könnte insoweit allenfalls noch um die Frage gehen, wer das aus den einzelnen Emails entstehende "Packerarchiv" bekommt. Ich denke, dass können wir hier noch ausgiebig im Thread im diskutieren. Auf jeden Fall sollten es alle AV Hersteller bekommen, die die Packer in eine Scanengine einbauen wollen.

Zu Deiner zweiten Frage: Man kann den Header mit einem Hexeditor verändern, so dass sich UPX nicht mehr so leicht erkennen lässt. Vermutlich wissen Seltsam oder Gladiator am besten, wie man einen Packer trotzdem erkennt. KAV lässt sich so jedenfalls nicht täuschen.

Ein Beispiel für ein Tools zur Analyse von Packern ist Procdump (es handelt sich hierbei nicht NUR um einen einfachen Dumper).

Gruss Nautilus

Jetzt wirds hier langsam zum wirklichen Trojaner-Board.

wizard

@Wizard Du hast PM.

@Cruz Bitte editiere mein Posting, wenn ich ab morgen wieder in Urlaub bin, und einzelne Passagen vielleicht doch etwas zu weit gehen.

Gruss Nautilus

<blockquote>Zitat:<hr />* quoting wizard:
Jetzt wirds hier langsam zum wirklichen Trojaner-Board.[/QUOTE]-v bitte.

<blockquote>Zitat:<hr />Original erstellt von Dr Prantl:
Das hört sich gut an. [img]graemlins/daumenhoch.gif[/img] Ich habe Interesse an solchen Tools, wo finde ich sie bzw wie heißen sie?[/QUOTE]du findest einige zB bei der von nautilus genannten protools-url unter:

Utilities > File scanners/analyzers

<blockquote>Zitat:<hr />Noch interessanter wäre m.E. eine direkte Übersicht, an welchem Header man welchen Packer erkennt (evtl als ASCII-Datei). Sowas könnte man in einen Mailserver integrieren, der dann beim Auftreten einer Mail mit einer derart gepackten Datei das entsprechende Attachment strippt.[/QUOTE]das wäre natürlich noch besser, damit hab ich mich aber noch nicht weiter beschäftigt. aber ich zweifele noch etwas, ob man daran ein bedrohungspotential abschätzen kann, denn solche packer crypter werden ja häufig von kommerziellen programmen benutzt, um reverse engeneering zu erschweren.

@wizard:

wenn du irgendwelche gegenargumente hast, dann raus damit. ich war mir wie gesagt nicht 100% sicher. aber: informationsgeheimhaltung ist sicherlich _kein_ argument pro sicherheit.

.cruz

<blockquote>Zitat:<hr />* quoting cruz:
ich zweifele noch etwas, ob man daran ein bedrohungspotential abschätzen kann[/QUOTE]Nach meinem Dafürhalten haben Leute, die ihre .exen laufzeitkomprimieren, immer etwas zu verbergen. Sei es nun schlampige Programmierung (zu große Datei) oder eingebettete Schadsoftware. Falls jemand einen sinnvollen Einsatz für Laufzeitkomprimierer kennt, würde ich ihn gern wissen wollen. ;)
<blockquote>Zitat:<hr />solche packer crypter werden ja häufig von kommerziellen programmen benutzt, um reverse engeneering zu erschweren[/QUOTE]Das ist ein guter Beweis, daß Security-by-Obscurity nicht funktioniert. [img]graemlins/lach.gif[/img] Das Reverse Engineering wird nur aufgrund der Unbekanntheit des Packers erschwert. Sollte man den Packer kennen und dann die Datei entpacken können, ist das Reverse Engineering wieder möglich.

<blockquote>Zitat:<hr />Original erstellt von Dr Prantl:
Nach meinem Dafürhalten haben Leute, die ihre .exen laufzeitkomprimieren, immer etwas zu verbergen.[/QUOTE]konsequenterweise haben alle closed-source programme was zu verstecken ;)

<blockquote>Zitat:<hr />Das ist ein guter Beweis, daß Security-by-Obscurity nicht funktioniert. [img]graemlins/lach.gif[/img] Das Reverse Engineering wird nur aufgrund der Unbekanntheit des Packers erschwert. Sollte man den Packer kennen und dann die Datei entpacken können, ist das Reverse Engineering wieder möglich.[/QUOTE]richtig, ich hab ja auch nix anderes behauptet ;)
fakt ist aber, dass es sogar komerzielle crypter gibt, mit denen ganz normale "alltagssoftware" vor crackern "geschützt" wird (und die machen es teilweise wirklich um größenordnungen komplizierter).

das cracker es bis jetzt immer geschafft haben, steht ja auf nem anderen blatt ;)

.cruz

<blockquote>Zitat:<hr />Original erstellt von cruz:
wenn du irgendwelche gegenargumente hast, dann raus damit.[/QUOTE]Wem ist mit dieser Aktion wirklich geholfen? Wer wird durch diese Aktion sicherer (oder besser geschützt) und wer dadurch unsicherer?

wizard

<blockquote>Zitat:<hr />Original erstellt von wizard:
Wem ist mit dieser Aktion wirklich geholfen? [/QUOTE]dem anwender von malwarescannern, die dadurch verbessert werden?

<blockquote>Zitat:<hr />Wer wird durch diese Aktion sicherer (oder besser geschützt) [/QUOTE]der anwender von malwarescannern, die dadurch verbessert werden?

<blockquote>Zitat:<hr />und wer dadurch unsicherer?
[/QUOTE]anwender von malwarescannern, die nicht dadurch verbessert werden?

.cruz

[ 10. September 2002, 20:06: Beitrag editiert von: cruz ]

<blockquote>Zitat:<hr />Original erstellt von cruz:
anwender von malwarescannern, die nicht dadurch verbessert werden?[/QUOTE]Und die werden sicherlich von der Mehrheit der Forumsbesucher hier benutzt...

wizard

<blockquote>Zitat:<hr />* quoting wizard:
Wem ist mit dieser Aktion wirklich geholfen?[/QUOTE]Den Programmierern von Malwarescannern, weil sie ihre Scanner verbessern können?
<blockquote>Zitat:<hr />Wer wird durch diese Aktion sicherer[/QUOTE]Der Anwender, definitiv.
<blockquote>Zitat:<hr />und wer dadurch unsicherer?[/QUOTE]Ich glaube, diese Diskussion hatten wir schon einmal. Wie kann ein Mehr an Wissen zu einem Weniger an Sicherheit führen? Diese Frage hast du auch damals schon nicht beantwortet. ;)

ciao

<blockquote>Zitat:<hr />Original erstellt von wizard:
Und die werden sicherlich von der Mehrheit der Forumsbesucher hier benutzt...
[/QUOTE]das ist doch kein argument, wenn du dir das ratboard mal anschaust, ist es kein problem einen "undetected" für so ziemlich alles außer mcaffee und kav zu bekommen.

wir würden die guten besser machen und den schlechten ist eh nicht zu helfen, zumindest so lange nicht, bis sie sich um eine bessere unpacking engine bemühen (und auch da ist die veröffentlichung gut, weil sie druck auf die schlechten malwarescanner ausübt).

.cruz

<blockquote>Zitat:<hr />Original erstellt von cruz:
das ist doch kein argument, wenn du dir das ratboard mal anschaust, ist es kein problem einen "undetected" für so ziemlich alles außer mcaffee und kav zu bekommen.[/QUOTE]Das Problem mit Packern reisse ich hier immer wieder an, wenn es um die "Qualität" von Scannern, besonders Trojanerscannern geht. Aber den "Anwender" interessiert das keine Stück, wie ich aus den Reaktionen auf meine Postings entnehme. NAV, AntiVirPE, Anti-Trojan,... um nur ein paar Beispiele zu nennen. BTW wann hatten wir hier im Forum eigentlich die letzte Frage zu McAfee VirusScan?

<blockquote>Zitat:<hr />wir würden die guten besser machen[/QUOTE]Wirklich? Das KAV durch die ganzen Packer erheblich länger braucht als andere Scanner wird generell als negativ ausgelegt und die User wechseln dann zurück zu AntiVirPE.

<blockquote>Zitat:<hr /> und den schlechten ist eh nicht zu helfen, zumindest so lange nicht, bis sie sich um eine bessere unpacking engine bemühen[/QUOTE]Aus der Sicht eines AV Herstellers betrachtet: Warum sollte ich Resourcen (Kosten) bereitstellen, wenn über 95% meiner Kunden kein Interesse an solchen Features haben. Schließlicht löst ja eine Personal Firewall alle Trojanerprobleme. Wozu dann noch eine Unpacking Engine?

<blockquote>Zitat:<hr />und auch da ist die veröffentlichung gut, weil sie druck auf die schlechten malwarescanner ausübt).[/QUOTE]Wen interessiert es wenn wir hier die Schwächen der Scanner zur Schau stellen? Besonders wenn z. B. Europas innovativste Securityseite oder Fachzeitschriften Kaufempfehlungen für solche Programme geben?

wizard

Ich weiß nicht ob euch das beruhigt aber ich glaube kaum, dass die SK`s, die evtl den einen oder anderen Crypter in die Hand bekommen, das große Problem sind bei eurem Vorhaben.

Aus eigener Erfahrung kann ich sagen, dass das Gro dieser Leute nicht im Entferntesten mit den Dingern umgehen können und diejenigen, DIE es können, wissen, wo es die unbekanntesten gibt.

Macht also nicht aus ner Mücke nen Elefanten, oder meint ihr, dass reihenweise Server gehackt werden, nur weil BugTraq die Exploits veröffentlicht?

<blockquote>Zitat:<hr />Original erstellt von wizard:
Das Problem mit Packern reisse ich hier immer wieder an, wenn es um die "Qualität" von Scannern, besonders Trojanerscannern geht. Aber den "Anwender" interessiert das keine Stück, wie ich aus den Reaktionen auf meine Postings entnehme. [/QUOTE]so what? wer lernresistent ist, hat halt pech gehabt.
und das problem kommt ja nicht _durch_ uns auf, sondern kann auf sämtlichen RAT-boards (generell gemeint) von scriptkiddies nachgelesen werden, wenn es also nicht auf der "guten" seite publik gemacht wird ergibt sich ein informationsvorsprung durch die andere seite.

<blockquote>Zitat:<hr />Wirklich? Das KAV durch die ganzen Packer erheblich länger braucht als andere Scanner wird generell als negativ ausgelegt und die User wechseln dann zurück zu AntiVirPE.[/QUOTE]s.o. lernresistenz ist irrelevant. außerdem reicht es völlig, kav als on-demand scanner laufen zu lassen.

<blockquote>Zitat:<hr />Aus der Sicht eines AV Herstellers betrachtet: Warum sollte ich Resourcen (Kosten) bereitstellen, wenn über 95% meiner Kunden kein Interesse an solchen Features haben. Schließlicht löst ja eine Personal Firewall alle Trojanerprobleme. Wozu dann noch eine Unpacking Engine?[/QUOTE]das ist ja des pudels kern, wir üben druck aus, wenn norton auf einmal nur die hälfte der ITW viren erkennt. wir erzwingen verbesserung.

<blockquote>Zitat:<hr />Wen interessiert es wenn wir hier die Schwächen der Scanner zur Schau stellen? Besonders wenn z. B. Europas innovativste Securityseite oder Fachzeitschriften Kaufempfehlungen für solche Programme geben?[/QUOTE]s.o. bzügl. lernresistenz

.cruz

<blockquote>Zitat:<hr />Original erstellt von Jason:
Macht also nicht aus ner Mücke nen Elefanten, oder meint ihr, dass reihenweise Server gehackt werden, nur weil BugTraq die Exploits veröffentlicht?[/QUOTE]ehrlich gesagt: ja.

das heißt aber nicht, das bugtraq nicht gut und wichtig ist.

.cruz

Da hast du mich jetzt falsche verstanden;

Ihr befürchtet eine ScriptKiddie-Invasion, und die wird ausbleiben, weil diese Leute nicht nur die Tools brauchen, sondern auch noch ne führende Hand, die sie Klick für Klick durchs Programm führt.

Diejenigen, die das nicht brauchen, brauchen euch auch nicht, um die Programme zu bekommen.

So, das war jetzt ohne Schnörkel *g*

<blockquote>Zitat:<hr />Original erstellt von Jason:
Ihr befürchtet eine ScriptKiddie-Invasion, und die wird ausbleiben, weil diese Leute nicht nur die Tools brauchen, sondern auch noch ne führende Hand, die sie Klick für Klick durchs Programm führt.[/QUOTE]s/ihr/wizard

<blockquote>Zitat:<hr />
Diejenigen, die das nicht brauchen, brauchen euch auch nicht, um die Programme zu bekommen.[/QUOTE]das stimmt.

<blockquote>Zitat:<hr />
s/ihr/wizard
[/QUOTE]Auch wenn ich die Antwort nicht verstehe (s und wizard)(?),
aber um auf das "ihr" zu reagieren, unsere Anwesenheit hier auf dem Board resultiert ja nicht aus den tollen Links, die man hier zugespielt bekommt ;)

<blockquote>Zitat:<hr />* quoting Jason:
<blockquote>Zitat:<hr />s/ihr/wizard[/QUOTE]Auch wenn ich die Antwort nicht verstehe (s und wizard)(?),[/QUOTE]substitute 'ihr' with 'wizard'

HTH

<blockquote>Zitat:<hr />Original erstellt von Jason:
Auch wenn ich die Antwort nicht verstehe (s und wizard)(?),[/QUOTE]lernt man als informatik-student nicht mehr mit unix umzugehen? man sed ;)

<blockquote>Zitat:<hr />aber um auf das "ihr" zu reagieren, unsere Anwesenheit hier auf dem Board resultiert ja nicht aus den tollen Links, die man hier zugespielt bekommt ;) [/QUOTE]na das will ich doch hoffen =)

.cruz

<blockquote>Zitat:<hr />
lernt man als informatik-student nicht mehr mit unix umzugehen? man sed
[/QUOTE][img]smile.gif[/img]

Hatte eben nicht derart codierte Statements erwartet *g*

[ 10. September 2002, 21:48: Beitrag editiert von: Jason ]

<blockquote>Zitat:<hr />* quoting wizard:
Das KAV durch die ganzen Packer erheblich länger braucht als andere Scanner wird generell als negativ ausgelegt und die User wechseln dann zurück zu AntiVirPE.[/QUOTE]Das liegt dann aber an den Usern, und nicht an KAV. Ein richtiger Scan dauert nun mal seine Zeit. Soweit ich weiß, untersuchen die meisten Antivirenprogramme immer nur die ersten paar Bytes der Datei. Stimmt das?

Gibt es eigentlich ein Antivirusprogramm, welches auch die Alternativen Datenströme auf NTFS-Datenträgern durchsucht? Das ist meiner Ansicht nach das Versteck für Schadsoftware und andere Dinge. Zumal sich Alternative Datenströme sogar mit einem simplen Texteditor erzeugen lassen... ;)

<blockquote>Zitat:<hr />Original erstellt von Jason:
Hatte eben nicht derart codierte Statements erwartet *g*[/QUOTE]ist halt manchmal effizienter als normale menschliche kommunikation mit sozial-overhead ;)

.cruz

<blockquote>Zitat:<hr />Original erstellt von Dr Prantl:
Soweit ich weiß, untersuchen die meisten Antivirenprogramme immer nur die ersten paar Bytes der Datei. Stimmt das?[/QUOTE]Jein. Es wird der Header nach dem "Dateityp" geprüft und dann entschieden, ob und wo in der Datei gescannt wird.

<blockquote>Zitat:<hr />Gibt es eigentlich ein Antivirusprogramm, welches auch die Alternativen Datenströme auf NTFS-Datenträgern durchsucht?[/QUOTE]KAV seit Version 3.5 und McAfee VirusScan mitlerweile auch, bin mir bei letzterem Programm aber 100%ig nicht sicher. Bei Trojanernscanner können Ants oder TDS-3 auch in solchen Streams scannen. Besonders letzteres Programm ist interessant, da man sich alle Streams anzeigen lassen kann.

<blockquote>Zitat:<hr /> Das ist meiner Ansicht nach das Versteck für Schadsoftware und andere Dinge. [/QUOTE]

Ich hatte erwartet, dass wir solche Malware öfter sehen, aber scheinbar ist NTFS immer noch nicht interessant/weit verbreitet genug für Malwarecoder. Proof-of-concepts gab es dazu ja genug.

wizard

>Falls jemand einen sinnvollen Einsatz für
>Laufzeitkomprimierer kennt, würde ich ihn gern
>wissen wollen. ;)

Geringere Downloadgrößen z.B. [img]redface.gif[/img] ). Aber Laufzeitkomprimierer sind letztlich nichts anderes als Packer. Erklärst Du den Einsatz für Packer jetzt auch für sinnfrei? *g*

EXE Crypter halte ich persönlich allerdings auch für überflüssig. Wozu ein Packer jetzt noch polymorphe Encryption Layer braucht (siehe z.B. ASPack) frag ich mich übrigens auch *g*.

<blockquote>Zitat:<hr />Original erstellt von cruz:
<blockquote>Zitat:<hr />Original erstellt von Jason:
Hatte eben nicht derart codierte Statements erwartet *g*[/QUOTE]ist halt manchmal effizienter als normale menschliche kommunikation mit sozial-overhead ;)

.cruz[/QUOTE]*lach* Kommunikation als "sozialen Overhead" zu bezeichnen ist gewagt aber interessant...lass das bloß nich meine Freundin hören (Germanistikstudentin ;) )

<blockquote>Zitat:<hr />Thus spake DrSeltsam:
[Verwendungszweck für Laufzeitkomprimierer]
Geringere Downloadgrößen z.B.[/QUOTE]Auch mit Zip, WinRAR, Ace usw lassen sich Installer komprimieren, die dann beim Ausführen sich selbst extrahieren und den Installer starten. Dafür brauche ich also auch keine Laufzeitpacker.
<blockquote>Zitat:<hr />Erklärst Du den Einsatz für Packer jetzt auch für sinnfrei? *g*[/QUOTE]Nein, natürlich nicht. [img]smile.gif[/img] Aber .zip-gepackte Dateien sind für den Anwender transparenter.

ciao

Ohne Bitmaster, der fuer die Veröffentlichung der Resultate zustaendig ist, vorgreifen zu wollen:

Wir können bereits einige Erfolge verzeichnen. Und einige Packer bzw. Crypter wurden auch bereits von den AV Herstellern eingebaut und sind somit quasi für den Gebrauch durch die "dunkle Seite der Macht" nutzlos geworden.

Noch besteht übrigens die Möglichkeit, bei der Suche mitzumachen und sich auf diese Weise unsterblichen Ruhm zu verdienen ;)

Gruss Nautilus

Und nun die Fakten im einzelnen:

Es wurden einige Packer/Crypter gefunden die entweder KAV und/oder McAfee überlisten konnten.

Die Crypter

- Netwalker
- PE Ninja
- Noodle

wurden bereits in KAV eingefügt bzw. korrigiert. Einige weitere stehen bei beiden Programmen noch aus. Auch ein Fehler von KAV bei FSG konnte behoben werden.

Obwohl sich vermutlich leider sehr wenige Personen an der Suche beteiligen, wurden schon einige Erfolge erzielt. z.Zt. dürften es nicht mehr als 5 Personen sein, die fündig geworden sind.
Wir möchten daher nochmals dazu aufrufen, sich an der Suche zu beteiligen. Außerdem wäre es genauso sinnvoll und wichtig, auf die anderen AV Hersteller einzuwirken, ihre Software sicherer und besser zu machen. Wer also keine Zeit oder Lust auf Packersuche hat, könnte also auch in diese Richtung hin arbeiten und sich so an der Sache beteiligen.
Da diese Suche "Security Seiten übergreifend" ist, hat sich außerdem Cruz bereiterklärt, seine Seite www.security-project.de sozusagen als "neutralen Boden" zur Verfügung zu stellen. Dort können wir dann aktuelle Informationen und Zwischenergebnisse veröffentlichen.

<blockquote>Zitat:<hr />Original erstellt von wizard:
KAV seit Version 3.5 und McAfee VirusScan mitlerweile auch, bin mir bei letzterem Programm aber 100%ig nicht sicher. Bei Trojanernscanner können Ants oder TDS-3 auch in solchen Streams scannen.
[/QUOTE]TrojanHunter natürlich auch ;)

<blockquote>Zitat:<hr />Original erstellt von Magnus:
TrojanHunter natürlich auch ;) [/QUOTE]Wie konnte ich das nur vergessen. ;)

wizard

<blockquote>Zitat:<hr />Original erstellt von wizard:
Jein. Es wird der Header nach dem "Dateityp" geprüft und dann entschieden, ob und wo in der Datei gescannt wird.[/QUOTE]Wo in der Datei gescannt wird ist von Scanner zu Scanner kaum unterschiedlich.
Du kannst dies mit folgendem testen:

COPY /B clean.exe+virus.exe SIMPLEJOIN.EXE

Dann lass den Scanner drueber rauschen und 90% aller (guten) Scanner finden den Virus.

Sie lesen den Exe Header aus der Clean Datei aus und stellen fest es handelt sich um ein ausfuehrbares PE Programm.

Wenn die noch festlegen wuerden AB WO der Virus (offset) gescannt wird dann wuerden 90% das nicht finden.
Das funktioniert uebrigens auch, wenn man den 2. PE Header der Virus Datei weglaesst - man also nur den PE Header der uninfizierten Datei inside hat. Was veranschaulicht, das bei den meisten Viren der Einsprungspunkt aus dem Header voellig irrelevant ist.

<blockquote>Zitat:<hr />Ich hatte erwartet, dass wir solche Malware öfter sehen, aber scheinbar ist NTFS immer noch nicht interessant/weit verbreitet genug für Malwarecoder. Proof-of-concepts gab es dazu ja genug.[/QUOTE]Es wird immer zuerst das genutzt, was am weitesten verbreitet ist und so ziemlich ueberall funktioniert.

Ein hausuebliches Win98, WinME kann kein NTFS.
Um es fuer alles lauffaehig zu machen (den Schaedling) muss man dementsprechend auf solche "Scherze" verzichten.
Mit steigendem Einsatz von NT basierenden Systemen (XP) wird sich dies allerdings vermutlich aendern.
ADS zu scannen ist weiss Gott keine Schwierigkeit vom Scanner her gesehen.

Gladiator

"Kaspersky Labs announces the release of its regularly scheduled cumulative update (Oct. 11, 2002):

new functions for handling the CAB archive format
improved procedure for handling Inno and BZIP archives
improved procedure for handling the following compressed file types: CHM, HXS, PE-Shield, FSG, NoodleCrypt, WinCrypt
Kaspersky Anti-Virus users can download this update automatically using the built-in Updater module or manually by clicking here.

The cumulative update contains all previous cumulative releases, including weekly and daily updates."

Ich glaube, dass Forge77 an der Implementierung von WinCrypt "Schuld" ist. Auch NoodleCrypt haben wohl "wir=das Packer/Crypter Projekt" entdeckt. Bitmaster kann bestimmt Genaueres dazu sagen.

Falls noch wer mitmachen mag...es lohnt sich!

Jason, Manman & Co. kochen bestimmt schon vor Wut...;)

Gruss Nautilus

EDITED: Verbesserung -- Bitmaster hatte von Noodlecrypt schon berichtet.

[ 12. Oktober 2002, 10:37: Beitrag editiert von: Nautilus ]

Hmmm - ich finds immer wieder lustig ...

ANTS und GAV sind keine Konkurenten. GAV ist eine ANTIVIRUS SOFTWARE - ANTS eine Anti-Trojaner Software. Ist nur meine Meinung zu dem Thema gewesen.

Oder ist Antworten auf Beiträge jetzt verboten?

Seltsam:

Natürlich ist Antworten nicht verboten. Ohnehin würde das Verbot nicht in meinen Kompetenzbereich fallen.

Im Gegenteil, ich fände es immer noch sehr schön, wenn Du und Gladiator uns die Funktionsweise eines Scanners im Detail erklären würden. Aber besser in einem separaten Thread (ein Vorschlag) und tunlichst so, dass weder Du noch Gladiator dabei das Gesicht verlieren (noch ein Vorschlag, um Streit zu vermeiden).

Gruss Nautilus

>Wo in der Datei gescannt wird ist von Scanner zu
>Scanner kaum unterschiedlich.

Da gibts ganz erhebliche Unterschiede. Intelligente Scanner lesen bedeutend weniger von der Datei ein als andere.

>Dann lass den Scanner drueber rauschen und 90%
>aller (guten) Scanner finden den Virus.

Dann sind sie nicht gut, sondern dumm ;o). Allerdings haben viele Scanner über Section Table Checks solche Funktionen implementiert. Ansonsten müsste man den "redundanten Scan" aktivieren.

>Wenn die noch festlegen wuerden AB WO der
>Virus (offset) gescannt wird dann wuerden 90%
>das nicht finden.

99% der Scanner scannen keine Ressourcen und ausschließlich die Bereiche die ausgeführt werden (wozu gibts Emulatoren?). Eigentlich kenn ich nur Gladiator der die komplette Datei scannt wenn ich ehrlich sein soll.

>Was veranschaulicht, das bei den meisten Viren
>der Einsprungspunkt aus dem Header voellig
>irrelevant ist.

Es gibt nur wenige Viren, die den EIP nicht ermitteln um ihn zu modifizieren. MTX z.B. :o). Andere patchen Imports. Sind aber die Seltenheit.

@Seltsam Ein ähnlicher Thread wurde wg. Streitgefahr in einem anderen Forum beendet.

Könntet ihr evt. die Diskussion auch hier in einen anderen Thread verlagern? Als Threadnamen schlage vor: Der TheoretischGuteAberNiemalsFertigWerdendeAnts3Scanner vs. Der ZwarFunktionsfähigeAberTotalDoofProgrammierteGladiatorScanner vor ;)

Gruss Nautilus

Schon alleine fuer Deine Frechheit hin die Du Dir weiter oben erlaubt hast Nautilus hat sich damit fuer mich das Thema erledigt.

Sag mal geht's Dir eigentlich noch ganz gut ?
Sorry wenn ich das so direkt frage, aber entwickel selber einen Scanner, dann darfst Du Dir vielleicht als Diskussionsgrundlage solche Aeusserungen erlauben.

Gladiator

Gladiator: Ich bitte um Entschuldigung!

Es handelt sich um ein Missverständnis. Meine Bemerkung war ironisch gemeint. Ich wollte mich in diesem Fall eigentlich gerade auf DEINE Seite schlagen, weil es mir nicht gefallen hat, dass die Gladiator Scan-Engine unnötig schlecht gemacht wurde. Es tut mir leid, dass ich mich so schlecht verständlich ausgedrückt habe. Ich respektiere Dein Projekt.

Du hast auch vollkommen richtig geschrieben, dass ich nicht in der Lage wäre, eine vernünftige Scan-Engine zu programmieren. Nochmal...sorry!

Nautilus

[ 12. Oktober 2002, 15:38: Beitrag editiert von: Nautilus ]

Zu einem Scanner gehoert weit mehr als nur eine Scan Engine.

Um es genau zu sagen der eigentliche Scanner ist eher laecherlich als der Aufwand, den man betreibt um schnell und unkompliziert Aktualisierungen machen zu koennen.

Ich habe hier quasi ein ganzes Client / Server Netzwerk mit Systemdiensten, Databases etc. selbst entwickelt und aufgebaut wo der "Normaluser" nicht mal weiss das sowas im entferntesten Sinne quasi unumgaenglich ist - er sieht davon im Scanner allerdings nichts.

Hier mal beispielsweise ein Screenshot aus dem "GCC" - dem Gladiator Control Center - in dem Fall der Virus Database Editor.

---> Gladiator Control Center -> Database Editor <---

Gladiator

Nachtrag: Sorry das ich auch etwas ueberhastet "Luft" gemacht habe ein gewisser Herr :rolleyes: hat es als Notwendigkeit angesehen in meinem Forum diese Nacht ueber die Zubereitung von Entenbraten zu diskutieren sowie absolut oberduemmliche Diskussionen ueber Flughuehner, Moorhuehner und weiss der Teufel was angeleiert.

[ 12. Oktober 2002, 17:30: Beitrag editiert von: My name is Gladiator ]

Das war wohl der gefürchtete "Mende/Merk"-Troll, der auch hier und bei Blue sein Unwesen trieb. Scheinst ja kurzen Prozess mit ihm gemacht zu haben ;)

Nautilus