Armadillo ist ein kommerzieller Protector, mit dem man fast jeden Trojaner packen und crypten kann. Meines Wissens kann kein AV Scanner diesen Protector "durchleuchten", d.h. ein mit Armadillo geschützter Trojaner wird von Virenscannern nicht erkannt. (Ausnahme: McAfee, der hierfür aber unsichere Signaturen aus der .resc section verwendet und somit leicht ausgetrickst werden kann).
Im Moment kann man sich vor Armadillo somit nur mit Mem Scannern (z.B.: Trojan Hunter oder TDS-3) schützen.
In diversen Ratboards wird Armadillo nunmehr empfohlen und gleichzeitig eine gecrackte Version zum Download angeboten.
Ich finde es ziemlich merkwürdig, dass die AV Industrie es seit mehr als einem Jahr nicht schafft, eine statische Unpacking Routine für Armadillo zu entwickeln. Hatte Gladiator nicht in Bezug auf seinen GAV Armadillo-Unpacker bereits einen Entwicklungsstand von 85% vermeldet?
ntl
Hatte Gladiator nicht auch in Bezug auf Lamecrypt einen Entwicklungsstand von 70% gemeldet? *fg*
@Nautilus
Was Du mit Deinem Posting hier bezweckst ist mir raetzelhaft.
Wie waers wenn Du zum roten Telefon greifst und gleich mal in Moskau anrufst was der Sch.... soll dass noch nicht Armadillo integriert wurde.
Und ich sage Dir auch gleich das Eugene Dir sagen wird es steht zwar in der Taskliste - aber priority ZERO. Und sowas ist auch _NACHVOLLZIEHBAR_
Denn AV Firmen sind in erster Linie auch fuer Firmen verantwortlich, wo es darum geht das aktuelles ITW Zeugs sicher und zuverlaessig erkannt wird.
Und nicht dass eine Handvoll Backdoors zielsicher geflagt wird weil Armadillo entcrypted werden kann. Sowas kann man machen wenn der grosse sibirische Winter ausbricht und die Entwickler die Rechner und die Finger 24 h am Laufen lassen muessen damit es nicht kalt wird.
Ich begruende hier gar nichts - weil das Offtopic waere in diesem Thread.
Alleine aber Deine Reaktion und das Fish25 im selben Moment online ist wie Du das klaert die Sache auf. Weil Du hast definitiv nicht das Wissen was Fish25 auf Wilders an den Tag legt lieber Iron
Und das soll jetzt nicht heissen, dass ich es so verstanden haette als waerst _DU_ fish25. Ich kann mit meiner beminderten Analyse Gabe auch feststellen das dieser Satz im uebertragenden Sinne ironisch gemeint war.
Hallo Gladi,
warum hast so schlechte Laune? Irgendwie hab ich den Eindruck, dass in letzter Zeit alle (nicht nur Du) immer miesmuffeliger, agressiver und/oder paranoider werden. Das finde ich schade.
Nun zu Deinen Statements:
"@Nautilus
Was Du mit Deinem Posting hier bezweckst ist mir raetzelhaft."
Ich wollte das Offensichtliche erreichen:
1.
Informieren (da die Info den RAT-Usern bekannt ist, kann IMHO kein Schaden mehr angerichtet werden, der nicht schon besteht)
2.
Lösungswege aufzeigen (= zusätzlichen Mem Scanner verwenden)
3.
Kompetente Leute nach weiteren Infos fragen (nämlich Dich, da Du Dir ja Armadillo offenbar schon mal aus der Nähe angeschaut hast -- ist es sooo schwer das Ding mit einer statischen Unpack-Routine in den Griff zu bekommen?)
"Wie waers wenn Du zum roten Telefon greifst und gleich mal in Moskau anrufst was der Sch.... soll dass noch nicht Armadillo integriert wurde."
Das habe ich schon mehrfach gemacht. Schon vor über einem Jahr. Samples wurden auch verschickt. Habe mich aber natürlich höflich ausgedrückt.
"Und ich sage Dir auch gleich das Eugene Dir sagen wird es steht zwar in der Taskliste - aber priority ZERO. Und sowas ist auch _NACHVOLLZIEHBAR_
Denn AV Firmen sind in erster Linie auch fuer Firmen verantwortlich, wo es darum geht das aktuelles ITW Zeugs sicher und zuverlaessig erkannt wird.
Und nicht dass eine Handvoll Backdoors zielsicher geflagt wird weil Armadillo entcrypted werden kann. Sowas kann man machen wenn der grosse sibirische Winter ausbricht und die Entwickler die Rechner und die Finger 24 h am Laufen lassen muessen damit es nicht kalt wird."
An Deinem Argument ist mit Sicherheit viel dran. Andererseits werben die AV Hersteller ja damit, dass sie nicht nur Viren-, sondern auch Trojanerschutz anbieten. Und dass Trojaner auch für Firmen von Relevanz sind, kann z.B. Valve bestätigen.
______
@Seltsam
1.
Kann Deine Emu Armadillo (derzeit schon) entpacken?
2.
Glaubst Du, dass eine Emu im Prinzip das Potential hat, auch schwierige kommerzielle Protectoren zu entpacken? (Bin insoweit auch auf die TDS-4 Emulation gespannt.)
3.
Könnte ich eventuell die Beast-Varianten haben, die Du Wayne geschickt hast? Wäre echt super, weil ich sie für eine besondere Sektion unseres neuen Testarchivs verwenden möchte.
Gruss an alle,
Nautilus
>Kann Deine Emu Armadillo packen?
Nö .
>Glaubst Du, dass eine Emu im Prinzip das Potential hat, auch schwierige kommerzielle
>Protectoren zu entpacken? (Bin insoweit auch auf die TDS-4 Emulation gespannt.)
Die letzten Gespräche die ich mit Wayne hatte (vor ein paar Wochen) hieß es noch sie werden mit Breakpoints entpacken - ähnlich wie GAV es z.B. bei ASPack gemacht hat. Ich bin jedenfalls gespannt auf die Emu. Ich erwarte aber eher nen Debugger der den Prozess im Single Step durch geht. Aber ich lass mich da überraschen .
>Könnte ich eventuell die Beast-Varianten haben, die Du Wayne geschickt hast?
>Wäre echt super, weil ich sie für eine besondere Sektion unseres neuen Testarchivs
>verwenden möchte.
Hab doch vorhin schon ne Mail geschickt mit den "Beast"ern . Ansonsten ... PM mit deiner Mail Addi an mich
.
@Seltsam
1.
Danke für die Info. Scheint mir dann fast so zu sein, als hätte die Ära der Unpacking Engines ihr Ende erreicht. Neben Armadillo und Xtreme gibt es ja auch noch AC Protect, UltraProtect und SVK Protect (welche übrigens auch in unserem neuen Archiv vertreten sein werden -- siehe http://www.scheinsicherheit.netfirms.com/bewertungsbogen.htm ;-)
2.
Habe zwar eine freundliche Mail erhalten, die war aber von tataye ;-) Meine Mailadresse kommt daher noch mal per PM. Thanks!
ntl
Anmerkung: Eine Sandbox fungiert als eine Art "Proxy" der API's
Norman unterscheidet ja zwischen einer sicheren Emulation (die nur emuliert/simuliert/keinen echten Zugriff auf Hardware-Resourcen erlaubt) und einer unsicheren Virtual Machine (wie z.B. VMWare). Siehe http://www.norman.com/documents/nvc5_sandbox_technology.pdf .
Sanbox ist vermutlich der Oberbegriff.
EDITED: Ok, ok...es waren wieder alle schneller als ich ;-)
Nautilus hat gerade von Seltsam ganz viele Biester bekommen und freut sich entsprechend ...
Bist ja nur neidisch, weil Du keine Samples empfangen oder versenden darfst. Und immer nur mit Skeeve rumzumachen wird halt auf Dauer langweilig ;-))
Wieso mit Stefan? Hatten nicht mal Gladi und IRON ein - sagen wir - homoerotisches Verhältnis? Oder haben die das jetzt auf eine Dreiecksbeziehung ausgeweitet? Schalten sie auch morgen wieder ein wenn es heißt:
Gute Emu, schlechte Emu *fg*.
baba Gladi, träum was Süßes von mir
Hmm, und ich dachte das einzige was Haak emuliert ist der Launch von A^2... Während er noch in seiner Sandbox spielt...
@Nautilus: Was willst du jetzt mit deiner Aussage beweisen? Das es Crypter gibt die von den AV-Programmen nicht gehandelt werden? Warum sollte man sich die Mühe machen einen statischen Armoredillo Unpacker zu schreiben wenn das Teil kaum eingesetzt wird? Und selbst wenn Unpacker dafür vorhanden wären, ein Malware-Programmierer der auch was drauf hat und nicht nur in fremden Code rumpatched um die Erkennung zu vermeiden, ein solcher Programmierer schafft es auch seinen eigenen Crypter zu schreiben.
@Skeeve
" Was willst du jetzt mit deiner Aussage beweisen? Das es Crypter gibt die von den AV-Programmen nicht gehandelt werden? Warum sollte man sich die Mühe machen einen statischen Armoredillo Unpacker zu schreiben wenn das Teil kaum eingesetzt wird? Und selbst wenn Unpacker dafür vorhanden wären, ein Malware-Programmierer der auch was drauf hat und nicht nur in fremden Code rumpatched um die Erkennung zu vermeiden, ein solcher Programmierer schafft es auch seinen eigenen Crypter zu schreiben."
Diesmal scheint die Sache aber anders zu sein:
Normalerweise war es relativ schwierig, einen "unbekannten Crypter/Packer" zu finden, den kein AV Programm durchleuchten kann. Und wenn man einen gefunden hatte, musste man ihn geheim halten, weil Kaspersky etc. sonst Dekompressionssupport in ihre Unpacking Engine einbauen.
Armadillo gibt es schon lange. Das Teil wird in zig Ratboards promoted und sogar als gecrackte Version zum Download angeboten. Benutzt wird es logischerweise auch. Trotzdem gibt es keinen Dekompressionssupport.
Dass Malwareprogrammierer Software undetected machen können, ist selbstverständlich. Dass aber jedes Script Kiddy dies nunmehr auf simpelste Weise mit fast jedem Trojaner tun kann, ist relativ neu. (In den letzten Jahren war es jedenfalls schwieriger.)
@Skeeve
Ich glaube, wir reden ein wenig aneinander vorbei. Dass liegt vermutlich daran, dass Du fast nur von Viren sprichst und ich fast nur von Trojanern.
Bei Trojanern kann man den Verbreitungsgrad nicht so einfach beweisen. (Die mit Armadillo geschützten Trojaner bleiben ja oft monatelang unerkannt.) Insgesamt ist die Verbreitung von Trojanern viel geringer als die von Viren. Dass Armadillo benutzt wird, lässt sich daraus ablesen, dass über dieses Tool in Ratboards diskutiert wird. Und vermutlich wird der Einsatz von Armadillo noch stark zunehmen, wenn weiterhin niemand eine statische Unpackroutine entwickelt.
Ich meine daher, dass ich das Thema Armadillo weder zu früh, noch zu spät angesprochen habe. Aber das ist natürlich immer Ansichtssache.
Ehm ich bin ja auch auf ein paar Seiten die sich halt mit dem Umgang mit Trojanern befassen, aber ehrlich gesagt habe ich da so gut wie nie ein Beitrag zu Armadillo gelesen, eher UPX, ASpack und die wirklich bekannten PE Packer, denn Armadillo eigentlich nur bei den "rückentwicklern" angesprochen und da kenne ich nur ein Board wo man auch nur ab und zu über armadillo diskutiert, aber nicht in Verbindung mit malware. OK ich meine seit kurzem gehören die malware patchen auch zuu VX´ler szene, ich meine aber diese rum gepatche kommt eher aus der Sktipt Kiddies szene. also die bekannten Gruppen wie 666 werden sich darüber bestimmt kaputt lachen, dass ie mit solchen SK in Verbindung gebracht werden. Na ja das ist aber ein anderes Thema. Also nur weil ein paar reverse engeneering leute über armadillo reden, aber dann eher wie man es halt entpacken kann, soltle man nicht gleich den Teufel an die Wand pinseln und panisch alle wach rütteln
@Gladi
"Und WAS BITTESCHOEN erhoffst Du Dir mit diesem Thread im Rokop Forum ? "
Hab ich doch schon gesagt (und Du fragst schon zum zweiten Mal). Siehe oben.
"Das wir jetzt alle geschockt sind und sich zig User melden weil sie jetzt verunsichert sind ob sie vielleicht so einen Armadillo Trojaner auf dem PC haben ?"
Auch hier gilt: Siehe oben. (TH oder TDS-3 Trialversionen mit Memscanner haben mit Armadillo kein Problem. Also kein Grund in Panik zu verfallen.)
"Es gibt bei allen AV Herstellern gewisse PRIORITAETEN und die wirst Du lieber Nautilus und selbst wenn Du mit 20 Leuten bei den AV Firmen deswegen auf der Matte stehst auch nicht aendern. Und das hat nichts mit "Buerokratie" oder nicht wissen/koennen zu tun sondern einfach mit normalen Vorgaengen."
Ich habe kein grosses Problem damit, wenn ich insoweit "nichts ändern" kann. Die Welt dreht sich auch ohne mich oder Dich ganz gut.
"Ist das ein umfassendes Problem wenn eine AV Software - und sei es Kaspersky - einen mit Armadillo gecrypteten Trojaner nicht erkennt - NEIN."
Ich gebe Dir Recht. Aber wenn man diesen Gedanken konsequent zu Ende denkt, ist sich nicht replizierende Malware eigentlich nie ein sehr grosses Problem (Ausnahme: Tauschbörse, Usenet etc. als Infektionsvektor - siehe unten). Es trifft bei Trojanern oft nur relativ wenige Leute. Diejenigen, die es dann trifft, sind aber trotzdem dumm dran.
"Ist es ein Problem wenn eine AV Software Trojaner / Wuermer / Viren die ITW sind (und ich bin mal so frei und beziehe mich nicht nur auf das Wildlist gelistete Zeug, sondern auch das was man ueber Kazaa / Emule oder per IE Explorer Bug auf den Rechner gehaemmert bekommt) nicht erkennt ? JA.
Wie hoch ist den die Quote das ZIELGERICHTET Trojaner eingesetzt werden - die ist nicht so hoch wie Du glaubst."
Ich glaube gar nicht, dass der zielgerichte Einsatz (bezogen auf ein vorher bekanntes Opfer) so häufig ist.
" Und wie Stefan schon richtig schrieb - wenn es einer wirklich drauf abgesehen hat der kriegt das Teil egal ob mit oder ohne Armadillo sowieso undetected."
Das sind wir alle drei der gleichen Meinung.
"Da ich eine gute Auffassungsgabe besitze greife ich gleich Deinem naechsten Einwand vor - naemlich dass es damit relativ einfach ist ohne Wissen solchen Zeug undetected zu machen. ---> Trotzdem muessen die es dann noch irgendwie an den "Herrn / Frau" bringen. Und sobald das dann irgendwo in P2P oder als "gefaktes" Setup von Webseiten downloadbar ist wird es eh in die Signaturen eingepflegt. Weil dann ist es "ohne Probleme" zugaenglich und die Chance dass sich wirklich jemand mit dem Mist infiziert ist dann so gross, dass man hier wirklich von einer ernstzunehmenden Gefahr FUER DIESEN EINEN BACKDOOR TYPEN der mit Armadillo gecrypted wurde ausgeht. Und der wird dann ganz einfach gepackt eingepflegt. Fertig ist der Husten."
An Deinem Argument ist definitiv etwas dran. Wenn eine Tauschbörse als Infektionvektor dient und sich deshalb sehr viele User mit dem gleichen Trojaner infizieren, ist die Chance recht hoch, dass der Trojaner entdeckt und eine spezielle Signatur für ihn erstellt werden kann.
Wenn man einen Trojaner dagegen per Email an einzele Personen schickt oder ihn seinem Chatpartner "aufschwätzt", sieht die Sache schon anders aus.
"Weil ich koennte auch in's Ratboard latschen und dort eine Liste mit wenigstens paar hundert undetected Crypter/Binder/Packer posten. Anschliessend hat Kaspersky dann fast mehr Packer als Virussignaturen wenn man dort alles einpflegen will. Sollte Armadillo wirklich ein ERNSTHAFTES PROBLEM WERDEN so wird man dort zwangsweise reagieren. Den Zeitpunkt legst aber nicht Du fest Nautilus."
Kann es sein, dass Du nur sauer bist, weil Du den Eindruck hast, dass ich Dir oder anderen Vorschriften machen will?
"Auch nicht dann wenn es bereits 1000 Backdoors mit Armadillo gibt. Weil solange es die in Script Kiddie Samlungen gibt interessiert das keine Sau. Koennen die sich halt freuen dass sie einen undected Server haben. Ich habe jedenfalls bisher so gut wie noch nie die ernsthafte Backdoor / Trojaner "Armadillo-Schwemme" gehabt, und glaub mir ich analysiere sehr viel Malware."
Insoweit liegen wir wohl nicht weit auseinander. Weder Du, noch ich behaupten, dass es eine regelrechte Armadillo-Schwemme geben wird.
Wo wir unterschiedlicher Meinung sind, ist wohl die Frage, ob es sich lohnt, auch eine - im Vergleich zu Virusattacken - relativ kleine Zahl von Personen zu schützen.
Gruss,
Nautilus
P.S.: Welche Laus ist Dir schon wieder über die Leber gelaufen? Warum ärgert Dich mein Posting so?
Na ich weiss nicht, wenn du Kaffee machst kann man damit Tote aufwechen.
Also Andreas, was ist mit A^2? Gibts da auch mal was anderes ausser netten Screenshots die jeder mit Delphi in 5 Min hinkriegt? Oder fallen dir keine Ausreden mehr ein warum es noch nicht released ist?
@JoJo
"Also nur weil ein paar reverse engeneering leute über armadillo reden, aber dann eher wie man es halt entpacken kann, soltle man nicht gleich den Teufel an die Wand pinseln und panisch alle wach rütteln"
Dir entgeht da erstaunlicherweise etwas ;-) Ich spreche nicht von Reverse Engineering Boards. Frag halt matiano oder white lion ...
Und wo wir schon dabei sind, JoJo zu ärgern: Bei Deinem Beast Tutorial hast Du ein File übersehen, welches auch noch installiert wird. Das muss man aber nur kennen, wenn man Beast undetected machen will ;-) Scherz beiseite: Ich fand das Tutorial konstruktiv und o.k.
Hmm...wenn Gladi darf, darf ich dann auch?
hxxp://members.fortunecity.com/zilot/Tutorial/armadillo.htm
(Ansonsten bitte Link entfernen.)
In Anbetracht der Tatsache, daß diese Tuts von den meisten Usern eh nicht verstanden werden und die, die diese Tuts finden und verstehen wollen, nicht unser Forum dazu brauchen, lassen wir diesen Link ruhig mal stehen.
Ich bekomme in letzter Zeit öfters Emails in Bezug auf Armadillo oder sog. Undectables. Folgende Email möchte ich Euch nicht vorenthalten:
"
Betreff: Aramadillo ??? ( From Rokop Security Foren )
HI !!!
Ich habe mich schon mit einigen Crptern beschäftigt,die Dateien zu Crypten geht ohne probs(undetected),nur einige Vir und Fire
programme erkennen das File trotz crypten.Ich habe mir jetzt Armadillo besorgt nur ist es zimlich komplieziert wenn mann sich
damit nicht auskennt,ich wollte mal fragen ob du eine Anleitung dafür hast ??? Oder gibt es noch einen noch besseren als denn
hier.Über eine Hilfe oder einige Tipps währe ich dir dankbar.
Gruss xxx" (Den Absender habe ich zu dessen eigenem Schutz anonymisiert ... ;-)
Stellvertretend für alle weiteren Emails, auf die ich bislang nicht geantwortet habe, möchte ich an dieser Stelle festhalten, dass ich leider über keine Bedienungsanleitung für Armadillo verfüge und auch keine Cracks oder Downloadlinks zur Verfügung stellen kann. Auch sonst kann ich leider keine konkreten Tips zum Tarnen von Malware geben oder gepatchte und/oder seltene Trojaner versenden ...
Sorry,
ntl
Was willst du damit bezwecken ?
Eine diskrte E-mail an den Schreibenden hätte doch gereicht, oder ?
Catweazle
Gegenfrage: Was willst mit "99 Kriegsminister streichelst im Benzinkaninster !" bezwecken?
Ausserdem sagte ich doch schon, dass ich nicht auf jede dieser Emails antworten möchte und deshalb stellvertretend in diesem Thread schreibe ...
Ich nehme an es handelt sich hierbei um mehrere hundert emails
So ungefaehr die Anzahl der registrierten Members hier im Forum - 1 (abzueglich meiner Wenigkeit, da ich nix geschickt habe)
Was Du damit bezweckst wuerde mich allerdings auch mal interessieren.
Dich selber damit rechtfertigen dass Armadillo WICHTIG IST ?
Nein, das ist es im Anbetracht aktueller Malware Studien sicherlich nicht.
Mahlzeit.
@Gladi Gerade von Dir hätte ich etwas mehr Humor (und etwas weniger Verklemmtheit) erwartet ... Daher auch an Dich eine Gegenfrage: Was war eigentlich der Zweck Deines Videos? Wolltest Du damit beweisen, dass ihr sehr wohl hart arbeitet und Dich somit dafür rechtfertigen, dass AntiVir noch keine Unpacking Engine hat? Jetzt mal im Ernst: Warum machen wir uns hier eigentlich gegenseitig an? Wollten wir nicht gerade mit Flamen aufhören. Im Zweifel kann ich das sowieso besser als ihr ;-)
Es geht hier weder um mich, noch um AntiVir sondern vielmehr um die Tatsache dass Du seit geraumer Zeit die halbe Welt mit Armadillo verrueckt machst. Auch einige Reverse Engineering Boards wo ich ausgerechnet noch Mod bin Du das aber gluecklicherweise nicht weisst
Oder hier auf Wilders - von heute:
http://www.wilderssecurity.com/index.php?board=25;action=display;threadid=17865;start=0
Mit wem willst Du darueber disskutieren ? Wartest Du darauf dass Wayne Dir antwortet ? Der hat besseres zu tun. Maximal Gavin wird sich kurz und knapp zu dem Thema aeussern wenn ueberhaupt.
Waere es eine persoenliche Genugtuung wenn beispielsweise KAV Armadillo entpacken koennte ? Wenn ja, was passiert dann ? Dann findest Du einen Crypter namens FurzCrypt 3.4 postest irgendwo dass der nicht entpackt wird und machst neue Wellen. DAS AENDERT ABER NIX AN DER TATSACHE, DAS _DU_ DIE PRIORITAETEN IN DER AV BRANCHE NICHT DADURCH AENDERST Oder was meinst Du wohl warum KAV den bisher noch nicht drin hat ? Weil die Russen dazu nicht in der Lage waeren ? LOL. Weil es keinen dringenden Handlungsbedarf dafuer gibt. Man widmet sich lieber ERNSTHAFTEN Problemen in der AV Industrie.
@Gladi
Dass mit dem wilders topic missverstehst Du etwas. Ich hatte mich kuerzlich mit Seltsam ueber das Thema Unpacking mit Hilfe von Breakpoints unterhalten. Darum geht es bei dem Topic. Nicht um das Beispiel Armadillo. Ich hätte genauso gut auch einen anderen Packer nehmen können, dessen Dekompression schwierig ist.
Dass ich die halbe Welt oder gar Reverse Engineering Boards verrückt mache, bestreite ich. Du verwechselst mich da offensichtlich mal wieder mit jemand ...
Ob jemand antwortet, wird sich ja zeigen. Wenn nicht, hab ich halt Pech gehabt. Warum reagierst Du auf sowas denn so panisch?
Zu Deinem letzten langen Abschnitt. Das habe ich Dir doch schon beantwortet. Ich kann ganz ruhig schlafen, auch wenn kein AV/AT Scanner irgendeinen Trojaner erkennt. Gleich ob gepackt oder nicht. Ich bin total relaxed. Warum Du nicht? ;-)
Bitte schau jetzt nicht noch Planetopia ...
ntl
Läuft aber dann ins Leere sobald Verschlüsselung bzw. Kompression nicht statisch sind .
Ahh ... sehr gut. Das klingt schon viel konstruktiver. Ich hatte halt überlegt, dass Unpacking mit Breakpoints vielleicht für AT Scanner nicht sooo unakzeptabel ist, weil ja Trojaner (anders als Viren) nicht gleich den Computer zerstören. Das Ausführen eines Trojaners ist somit nicht gleich als Katastrophe anzusehen ... schliesslich gibt es sogar reine MemScanner wie BOClean. Man müsste halt irgendwie sicherstellen, dass der AT Scanner nicht beim normalen On Demand Scan als Malwareschleuder wirkt, sondern nur solche Files scannt die der User eh ausführen wollte (execution protection).
Gruss ntl
@Seltsam Wenn Du die Armadillo-Signatur anschaust, die ich bei Wilders gepostet habe, wirst Du sehen, dass sie Wildcards enthält. Vielleicht hilft das ja ein wenig ...
Was ist eigentlich mit EWIDO weil du die auf Wilders erwaehntest ?
@Gladi Ich glaube, dass ewido eine richtige Emulation hat (und nicht nur per Breakpoints entpackt). Bei meinen letzten Tests funktionierte einiges schon ganz gut, anderes noch nicht. Blablabla hat ja schon gesagt, dass Armadillo noch nicht unterstützt wird.
So hab ich es ja auch bei Wilders geschrieben ;-)
Im Prinzip stimme ich Dir ja zu, Seltsam. Aber wenn die "execution protection" nur eingreift und das File per BP scannt, wenn der User auf eine Datei einen Doppelklick gemacht hat, dann kann doch eigentlich nicht viel passieren. Jedenfalls nicht mehr, als ohnehin passiert wäre ...
@fish Auch Dir stimme ich zu. Für einen allgemeinen On Demand Scan, eignet sich das Verfahren wohl nicht, da zu gefährlich.
Dann kannst die Datei aber auch in einer Sandbox starten *lach* ... und ... "mit unpacking wär das nicht passiert".
Alternativ mal eine Idee:
Wie wärs wenn die Hersteller einfach jeden Backdoor mit Armadillo packen und von dem gepackten Teil ne Sig ziehen? *fg*
Dann nehme ich halt ACProtect ... *fg*
Ich versteh nicht warum man gleich mit nem wandlungsfähigen und Gürteltieren, dass ich auch recht gut verkleinern kann, um sich wirft, wenn man schon mit einfachen Handgriffen ohne zoologischen Grabelviehern beim Türsteher mit dem gelben Anzug vorbei kommt. Darfür ändere ich nur meine Namen in "jojo"
In den neuen DAILYDATS von McAfee wurde gerade der Eintrag "Armadillo" hinzugefügt...
Threat Name: Armadillo
Type: Packer
Risk Assessment: Low
Und was bedeutet das jetzt? Das der Packer (sinnloserweise) selbst als Malware identifiziert wird? Oder wird nunmehr mit Armadillo gepackte Software als gepackt und damit verdächtig erkannt?
Habs nicht ausprobiert. Versuchs einfach mal und sag dann das Ergebnis hier im Forum, bin auch gespannt.
Die Dailydats bekommst Du unter http://download.nai.com/products/mcafee-avert/daily_dats/DAILYDAT.ZIP
Scanning D:\Desktop\McAfeeEngine\TESTDIR\*.*
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo201.OptixPro12.exe ... Found the BackDoor-ACH.dr trojan !!!
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo201.SilentSpy210.exe ... is OK.
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo201.y3kPro02.exe ... is OK.
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo220.Bionet318.exe ... Found the BackDoor-FK.dr trojan !!!
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo220.OptixPro12.exe ... Found the BackDoor-ACH.dr trojan !!!
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo260.Bionet4.exe ... Found the BackDoor-FK.svr trojan !!!
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo260.SilentSpy210.exe ... Found trojan or variant BackDoor-ZT !!!
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo260.y3kPro02.exe ... Found trojan or variant BackDoor-GQ !!!
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo285.Bionet318.exe ... Found trojan or variant BackDoor-FK.svr !!!
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo301.Coldfusion108.Hexedited.dll ... is OK.
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo301.Lithium103.exe ... is OK.
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo310.AnalFTP01.exe ... is OK.
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo310.Asylum013.exe ... is OK.
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo310.OptixPro132.exe ... Found trojan or variant BackDoor-ACH !!!
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo310.RESOURCE.ICONDEL.DC.Oblivion01.exe ... is OK.
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo310.RESOURCE.ICONREPL.OptixLite05.exe ... is OK.
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo340.CPMII.Beast192c2.exe ... is OK.
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo340.CPMII.Theef2b5.exe ... Found trojan or variant BackDoor-QW !!!
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo340.MydoomA.shimgapi.Repacked.dll ... is OK.
Sieht auf den ersten Blick wie immer aus: Erkennung per (unsicherer) Signatur aus Resource Section. Trojaner ohne Resource Section bzw. mit modifizierter Resource Section werden nicht erkannt. Also kein echtes Unpacking in Bezug auf Armadillo. Heuristik offenbar auch nicht.
P.S.:
Scan engine v4.3.20 for Win32.
Virus data file v4100 created Jun 25 2004
Scanning for 93358 viruses, trojans and variants.
Danke für die schnelle Antwort. Welche Parameter hast Du verwendet?
D:\Desktop\McAfeeEngine\Scan.exe testdir\*.* /ALL /secure /L /panalyze /program /winmem /report zzz_ergebnis.txt
Versuch bitte mal mit folgender Befehlszeile (aus reiner Neugier):
scan c:\test /rptall /!server /mailbox /secure /mime /vid /program /!guru /sub /report=c:\scan.log
Options:
TESTDIR\*.* /RPTALL /!SERVER /MAILBOX /SECURE /MIME /VID /PROGRAM /!GURU /SUB /REPORT IBKERGEBNIS.TXT
Scanning D: [MEDIA]
Scanning D:\Desktop\McAfeeEngine\TESTDIR\*.*
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo201.OptixPro12.exe ... Found the BackDoor-ACH.dr trojan !!!
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo201.SilentSpy210.exe ... is OK.
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo201.y3kPro02.exe ... is OK.
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo220.Bionet318.exe ... Found the BackDoor-FK.dr trojan !!!
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo220.OptixPro12.exe ... Found the BackDoor-ACH.dr trojan !!!
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo260.Bionet4.exe ... Found the BackDoor-FK.svr trojan !!!
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo260.SilentSpy210.exe ... Found the BackDoor-ZT trojan !!!
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo260.y3kPro02.exe ... Found the BackDoor-GQ trojan !!!
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo285.Bionet318.exe ... Found the BackDoor-FK.svr trojan !!!
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo301.Coldfusion108.Hexedited.dll ... is OK.
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo301.Lithium103.exe ... is packaged using Armadillo.
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo310.AnalFTP01.exe ... is packaged using Armadillo.
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo310.Asylum013.exe ... is packaged using Armadillo.
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo310.OptixPro132.exe ... Found the BackDoor-ACH trojan !!!
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo310.RESOURCE.ICONDEL.DC.Oblivion01.exe ... is packaged using Armadillo.
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo310.RESOURCE.ICONREPL.OptixLite05.exe ... is packaged using Armadillo.
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo340.CPMII.Beast192c2.exe ... is OK.
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo340.CPMII.Theef2b5.exe ... Found the BackDoor-QW trojan !!!
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo340.MydoomA.shimgapi.Repacked.dll ... is OK.
AHA! Woran liegt es? Parameter /Guru?
ja...
Was bewirkt der genau?
@Joerg
Ich habe hier mal einige Tests mit dem Parameter gemacht: http://boardadmin.funpic.de/viewtopic.php?t=8
!Guru erkennt und löscht im Prinzip jedes gepackte File und eignet sich daher IMHO nicht für den Test der Real World Performance eines Scanners.
Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)