Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Stärke von Polymorphismus (https://www.trojaner-board.de/910-staerke-polymorphismus.html)

snooby 06.03.2003 17:19

Hi an alle!

Weiß irgendwer von euch, wie "stark" ein polymorpher virus sein kann?
ich meine, wie viele verscheidene varianten es davon geben kann??

Dann noch eine frage:
Haben heutzutage polymorphe viren eigentlich noch eine chance gegen die AV programme. Ich meine, dauert die analyse länger als bei normalen?

Und noch was:
Wie werden polymorphe viren gefunden? Wird der "key" gesucht, dann entschlüsselt und gescannt, oder anders???

Fragen über Fragen, die snooby nicht ruhen lassen :cool: :cool:

schöne grüsse und vielen Dank für Antworten,
Mario

IRON 06.03.2003 18:46

Definiere doch erstmal, was du unter STARK verstehst.
Was hat deiner Meinung nach die Eigenschaft der Polymorphie direkt oder indirekt mit der Funktionalität eines Virus zu tun?

Ein Virus hat eine primäre und potenziell mehrere sekundäre Aufgaben.
Primär: Selbstreplikation, also Verbreitung
Sekundär: Datenmanipulation oder Zerstörung

Polymorphie ist doch lediglich der Versuch, sich vor der Entdeckung zu schützen.
Zweifellos hängt der Erfolg dieses Versuchs zum einen ganz wesentlich vom Können des Programmierers ab, zum anderen aber natürlich auch vom Können und der Reaktionsgeschwindigkeit der AV-Hersteller. Dass es immer mal wieder ein Virus schaffen kann, sich erfolgreicher zu verbreiten als ein anderer, steht außer Frage. Ebenso aber auch, dass nichts so förderlich für die Verbreitung eines wie auch immer gearteten Schädings ist wie die Unvorsichtigkeit, Naivität und Unwissenheit der Normal-User.

Bitmaster 06.03.2003 19:38

Da außerdem hinreichend bekannt ist, warum Snooby immer wieder solche Fragen stellt, sollten wir ihn nicht noch mit vielleicht verwertbaren Infos füttern. Jedem Anderen würde ich vielleicht glauben, daß die Frage rein informativ sei. Snooby hat allerdings seine 385 Chancen verspielt und schreibt weiterhin fleissig Malware (die er selbstverständlich nicht selbst verbreitet, sondern nur offen zum Download stellt )

blablabla 06.03.2003 19:55

a) ohne snooby auf den schlips treten zu wollen, aber ich glaube nicht dass er in der lage ist eine polymorphe engine zu schreiben die den Av-Entwicklern kopfschmerzen bereiten könnte ;) also is deine "angst" glaube ich unberechtig (@bitmaster)

b) der meiste polymorphe code wird von emulatoren erfolgreich emuliert und entweder tauchen danach feste bytefolgen auf oder es wird einfach nach verhalten gescannt (behaviour scanning)

cruz 06.03.2003 21:55

</font><blockquote>Zitat:</font><hr />Original erstellt von blablabla:
oder es wird einfach nach verhalten gescannt (behaviour scanning)</font>[/QUOTE]davon höre ich zwar immer, aber welcher scanner setzt denn wirklich behaviour-scanning ein?
ansonsten: ACK

.cruz

[ 06. M&auml;rz 2003, 21:55: Beitrag editiert von: cruz ]

vampire 06.03.2003 23:43

freut euch nicht zu früh, es sind trojaner server in arbeit ( polymorph natürlich) die undetectable bleiben werden...

cruz 06.03.2003 23:50

</font><blockquote>Zitat:</font><hr />Original erstellt von vampire:
freut euch nicht zu früh, es sind trojaner server in arbeit ( polymorph natürlich) die undetectable bleiben werden...</font>[/QUOTE]kühne these...und wieso nimmst du das an? weil es die programmierer derselbigen gesagt haben?

.cruz

vampire 07.03.2003 01:18

er nun wieder... [img]graemlins/huepp.gif[/img]

das soll heissen: die evolution macht auch vor rats nicht halt. schlicht und ergreifend, ne feststellung, sonst nix...

AddBlocker 07.03.2003 04:18

</font><blockquote>Zitat:</font><hr />Original erstellt von cruz:
</font><blockquote>Zitat:</font><hr />Original erstellt von vampire:
freut euch nicht zu früh, es sind trojaner server in arbeit ( polymorph natürlich) die undetectable bleiben werden...</font>[/QUOTE]kühne these...und wieso nimmst du das an? weil es die programmierer derselbigen gesagt haben?

.cruz
</font>[/QUOTE]ist vielleicht nicht die *passende* antwort, bin aber heute über einen interessanten artickel bei securityfocus gestolpert. handelt um (kommende) root kits unter windows (war bisher eher eine unix domäne).

Windows Root Kits a Stealthy Threat

Hackers are using vastly more sophisticated techniques to secretly control the machines they've cracked, and experts say it's just the beginning.
By Kevin Poulsen, SecurityFocus Mar 5 2003 5:12AM

Barron Mertens admits to being puzzled last January when a cluster of Windows 2000 servers he runs at an Ontario university began crashing at random. The only clue to the cause was an identical epitaph carved into each Blue Screen of Death, a message pointing the blame at a system component called "ierk8243.sys." He hadn't heard of it, and when he contacted Microsoft, he found they hadn't either. "We were pretty baffled," Mertens recalls. "I don't think that cluster had bluescreened since it was put into production two years ago."

Mertens didn't know it at the time, but the university network had been compromised, and the mysterious crashes were actually a lucky break -- they gave away the presence of an until-then unknown tool that can render an intruder nearly undetectable on a hacked system. Now dubbed "Slanret", "IERK," and "Backdoor-ALI" by anti-virus vendors, experts say the tool is a rare example of a Windows "root kit" -- an assembly of programs that subverts the Windows operating system at the lowest levels, and, once in place, cannot be detected by conventional means.

Also known as "kernel mode Trojans," root kits are far more sophisticated than the usual batch of Windows backdoor programs that irk network administrators today. The difference is the depth at which they control the compromised system. Conventional backdoors like SubSeven and BO2K operate in "user mode", which is to say, they play at the same level as any other application running on the compromised machine. That means that other applications -- like anti-virus scanners -- can easily discern evidence of the backdoor's existence in the Window's registry or deep among the computer's files.
...

mehr auf http://www.securityfocus.com/news/2879

Heiko

cruz 07.03.2003 04:39

</font><blockquote>Zitat:</font><hr />Original erstellt von AddBlocker:
ist vielleicht nicht die *passende* antwort, bin aber heute über einen interessanten artickel bei securityfocus gestolpert. handelt um (kommende) root kits unter windows (war bisher eher eine unix domäne).</font>[/QUOTE]mir gings eher um das scannen eines neuen, unbekannten binaries, nicht um schon kompromitierte systeme.

.cruz

wizard 07.03.2003 06:56

</font><blockquote>Zitat:</font><hr />Original erstellt von vampire:
freut euch nicht zu früh, es sind trojaner server in arbeit ( polymorph natürlich) die undetectable bleiben werden...</font>[/QUOTE]*gähn* Das wird aus Scriptkiddiekreisen schon seit Jahren propagiert...

wizard

snooby 07.03.2003 07:40

ok, dann mal danke an die antworten der frage nummer 2 und 3!

das hab ich mir schon wieder gedacht, aber, was solls!

@blablabla: wie kommst du eigentlich aus die idee, dass ich ein poly engine schreiben will??
davon gibt es nun wirklich schon mehr als genug!

die frage war für mich nun wirklich, obs ihr glaubt oder nicht, nur informativ!

@iron: also, die erste frage wegen der stärke: wie viele varianten kann ein poly virua haben!

grüsse,
Mario

raman 07.03.2003 08:54

</font><blockquote>Zitat:</font><hr />Original erstellt von snooby:

Weiß irgendwer von euch, wie "stark" ein polymorpher virus sein kann?
</font>[/QUOTE]Damals zu Doszeiten gab es mal einen Zoo-Virus, der sehr stark Polymorph war. Ich erinnere mich noch wage, das KAV da7 Sek. am Scannen war, bevor er ihn erkannt hat. KAV und DR.Web waren AFAIK die einzigen, die ihn "emulieren"(nennt man das so?) konnten.

Die anderen AV-Firmen sind einfach hingegangen und haben fuer jedes Sample welches sie bekamen eine eigene Signatur erstellt. War auch nicht besonders aufwendig, da das Ding so buggy war, das er sich nur unter ganz bestimmten bedingungen vermehrt hat.
Ich habe nur diese Beschreibung noch gefunden. http://www.viruslist.com/eng/viruslist.html?id=2638

Es gab noch eine andere, die sich mehr mit dem Polymorphen teil diese Virus beschaeftigte, aber die kann ich nicht mehr finden.

snooby 07.03.2003 09:39

hey raman!

voll cool!
danke für den link, wirklich interessant!

grüsse,
Mario

IRON 07.03.2003 12:08

</font><blockquote>Zitat:</font><hr />Original erstellt von vampire:
freut euch nicht zu früh...</font>[/QUOTE]Wer schreibt hier was von "freuen"? Nur weil ein paar fehlgeleitete Coder was Neues ausbrüten, muss ein Verehrer derselbigen doch nicht gleich prophetierend herumunken.
LOL...Klasse Statement vampire...


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:28 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131