Druckversion des Themas

Geschrieben von: Nautilus 21.11.2003, 08:28

Armadillo ist ein kommerzieller Protector, mit dem man fast jeden Trojaner packen und crypten kann. Meines Wissens kann kein AV Scanner diesen Protector "durchleuchten", d.h. ein mit Armadillo geschützter Trojaner wird von Virenscannern nicht erkannt. (Ausnahme: McAfee, der hierfür aber unsichere Signaturen aus der .resc section verwendet und somit leicht ausgetrickst werden kann).

Im Moment kann man sich vor Armadillo somit nur mit Mem Scannern (z.B.: Trojan Hunter oder TDS-3) schützen.

In diversen Ratboards wird Armadillo nunmehr empfohlen und gleichzeitig eine gecrackte Version zum Download angeboten.

Ich finde es ziemlich merkwürdig, dass die AV Industrie es seit mehr als einem Jahr nicht schafft, eine statische Unpacking Routine für Armadillo zu entwickeln. Hatte Gladiator nicht in Bezug auf seinen GAV Armadillo-Unpacker bereits einen Entwicklungsstand von 85% vermeldet?

ntl

Geschrieben von: fish25 21.11.2003, 15:01

Hatte Gladiator nicht auch in Bezug auf Lamecrypt einen Entwicklungsstand von 70% gemeldet? *fg*

Geschrieben von: Gladiator 21.11.2003, 19:30

Schoen dass Du es notwendig hast Dich auch noch mit zig verschiedenen Namen in einem Forum anzumelden Andreas.

Wann erscheint uebrigens a² ?

Geschrieben von: Gladiator 21.11.2003, 19:53

@Nautilus
Was Du mit Deinem Posting hier bezweckst ist mir raetzelhaft.
Wie waers wenn Du zum roten Telefon greifst und gleich mal in Moskau anrufst was der Sch.... soll dass noch nicht Armadillo integriert wurde.
Und ich sage Dir auch gleich das Eugene Dir sagen wird es steht zwar in der Taskliste - aber priority ZERO. Und sowas ist auch _NACHVOLLZIEHBAR_
Denn AV Firmen sind in erster Linie auch fuer Firmen verantwortlich, wo es darum geht das aktuelles ITW Zeugs sicher und zuverlaessig erkannt wird.
Und nicht dass eine Handvoll Backdoors zielsicher geflagt wird weil Armadillo entcrypted werden kann. Sowas kann man machen wenn der grosse sibirische Winter ausbricht und die Entwickler die Rechner und die Finger 24 h am Laufen lassen muessen damit es nicht kalt wird.

Geschrieben von: IRON 21.11.2003, 21:18

Magst du mal ein bissi begründen, wie du zu deinen leicht paranoiden Schlussfolgerungen kommst? *fg*
HINT: Ich heiße Ullrich, auch wenn ich gerade Buzzwords wie "bissi" und *fg* benutzte.

Geschrieben von: Gladiator 21.11.2003, 21:23

Ich begruende hier gar nichts - weil das Offtopic waere in diesem Thread.
Alleine aber Deine Reaktion und das Fish25 im selben Moment online ist wie Du das klaert die Sache auf. Weil Du hast definitiv nicht das Wissen was Fish25 auf Wilders an den Tag legt lieber Iron

Und das soll jetzt nicht heissen, dass ich es so verstanden haette als waerst _DU_ fish25. Ich kann mit meiner beminderten Analyse Gabe auch feststellen das dieser Satz im uebertragenden Sinne ironisch gemeint war.

Geschrieben von: IRON 21.11.2003, 21:43

Ach nee! Aber du warst es doch, der den Verdacht aussprach und damit OFF TOPIC labertest. Feigling!

GRÖÖÖÖÖÖÖHL!!!!
Ist dir schon mal aufgefallen, dass ich in der Regel von 24 Stunden etwa 12-16 Stunden ununterbrochen online bin?
Was ist denn bitte damit bewiesen?

Mag sein. Ich weiß nicht, wer Fish25 ist und was er bei Wilders an den Tag legt. Ist auch völlig irrelevant.

Fehlanzeige. Nichts war ironisch gemeint. Ich sprach eine Bitte aus, der du nicht nachkommen willst, weil du dich blamieren würdest.

Geschrieben von: Andreas Haak 21.11.2003, 21:53

Ganz ganz schlecht Michael. Es gibt noch mehr Leute denen deine Prozentangaben da schleierhaft waren .

Roman oder Bo können ja mal die IPs vergleichen .

Ansonsten zum Thema LameCrypt - dem Kenner (oder ASM kundigen) offenbart sich der Scherz:

Geschrieben von: Nautilus 21.11.2003, 22:13

Hallo Gladi,

warum hast so schlechte Laune? Irgendwie hab ich den Eindruck, dass in letzter Zeit alle (nicht nur Du) immer miesmuffeliger, agressiver und/oder paranoider werden. Das finde ich schade.

Nun zu Deinen Statements:

"@Nautilus
Was Du mit Deinem Posting hier bezweckst ist mir raetzelhaft."

Ich wollte das Offensichtliche erreichen:

1.
Informieren (da die Info den RAT-Usern bekannt ist, kann IMHO kein Schaden mehr angerichtet werden, der nicht schon besteht)

2.
Lösungswege aufzeigen (= zusätzlichen Mem Scanner verwenden)

3.
Kompetente Leute nach weiteren Infos fragen (nämlich Dich, da Du Dir ja Armadillo offenbar schon mal aus der Nähe angeschaut hast -- ist es sooo schwer das Ding mit einer statischen Unpack-Routine in den Griff zu bekommen?)


"Wie waers wenn Du zum roten Telefon greifst und gleich mal in Moskau anrufst was der Sch.... soll dass noch nicht Armadillo integriert wurde."

Das habe ich schon mehrfach gemacht. Schon vor über einem Jahr. Samples wurden auch verschickt. Habe mich aber natürlich höflich ausgedrückt.

"Und ich sage Dir auch gleich das Eugene Dir sagen wird es steht zwar in der Taskliste - aber priority ZERO. Und sowas ist auch _NACHVOLLZIEHBAR_
Denn AV Firmen sind in erster Linie auch fuer Firmen verantwortlich, wo es darum geht das aktuelles ITW Zeugs sicher und zuverlaessig erkannt wird.
Und nicht dass eine Handvoll Backdoors zielsicher geflagt wird weil Armadillo entcrypted werden kann. Sowas kann man machen wenn der grosse sibirische Winter ausbricht und die Entwickler die Rechner und die Finger 24 h am Laufen lassen muessen damit es nicht kalt wird."

An Deinem Argument ist mit Sicherheit viel dran. Andererseits werben die AV Hersteller ja damit, dass sie nicht nur Viren-, sondern auch Trojanerschutz anbieten. Und dass Trojaner auch für Firmen von Relevanz sind, kann z.B. Valve bestätigen.

______

@Seltsam

1.
Kann Deine Emu Armadillo (derzeit schon) entpacken?

2.
Glaubst Du, dass eine Emu im Prinzip das Potential hat, auch schwierige kommerzielle Protectoren zu entpacken? (Bin insoweit auch auf die TDS-4 Emulation gespannt.)

3.
Könnte ich eventuell die Beast-Varianten haben, die Du Wayne geschickt hast? Wäre echt super, weil ich sie für eine besondere Sektion unseres neuen Testarchivs verwenden möchte.


Gruss an alle,

Nautilus

Geschrieben von: Andreas Haak 21.11.2003, 22:21

>Kann Deine Emu Armadillo packen?

Nö .

>Glaubst Du, dass eine Emu im Prinzip das Potential hat, auch schwierige kommerzielle
>Protectoren zu entpacken? (Bin insoweit auch auf die TDS-4 Emulation gespannt.)

Die letzten Gespräche die ich mit Wayne hatte (vor ein paar Wochen) hieß es noch sie werden mit Breakpoints entpacken - ähnlich wie GAV es z.B. bei ASPack gemacht hat. Ich bin jedenfalls gespannt auf die Emu. Ich erwarte aber eher nen Debugger der den Prozess im Single Step durch geht. Aber ich lass mich da überraschen .

>Könnte ich eventuell die Beast-Varianten haben, die Du Wayne geschickt hast?
>Wäre echt super, weil ich sie für eine besondere Sektion unseres neuen Testarchivs
>verwenden möchte.

Hab doch vorhin schon ne Mail geschickt mit den "Beast"ern . Ansonsten ... PM mit deiner Mail Addi an mich .

Geschrieben von: Nautilus 21.11.2003, 22:35

@Seltsam

1.
Danke für die Info. Scheint mir dann fast so zu sein, als hätte die Ära der Unpacking Engines ihr Ende erreicht. Neben Armadillo und Xtreme gibt es ja auch noch AC Protect, UltraProtect und SVK Protect (welche übrigens auch in unserem neuen Archiv vertreten sein werden -- siehe http://www.scheinsicherheit.netfirms.com/bewertungsbogen.htm ;-)

2.
Habe zwar eine freundliche Mail erhalten, die war aber von tataye ;-) Meine Mailadresse kommt daher noch mal per PM. Thanks!

ntl

Geschrieben von: forge77 21.11.2003, 22:42

Muss am Wetter liegen...


Wo zieht man die Grenze zwischen Emulation und Sandbox?
Laut Norman basiert ihre Sandbox ja auf Emulation... was hat also eine 'richtge' Sandbox zusätzlich zur Emulation?

Ist die AH von Nod32 2 "nur" Emulator oder "schon" Sandbox...? Oder ist es ganz anders...?

Geschrieben von: Gladiator 21.11.2003, 22:49

Bloedsinn. Mann muss nur Win32 Api's und 3 IRQ's emulieren

Geschrieben von: Andreas Haak 21.11.2003, 22:51

Die Übergänge sind fließend, keine Frage, und egal was ich sage da werden jetzt garantiert mehrere widersprechen. Allerdings ist auch die von Norman keine wirkliche Sandbox in meinen Augen. Allerdings bezeichnet Norman sie ja als solche, daher lasse ich den Begriff einfach mal .

Der Unterschied ist imho aber folgender:
Eine Sandbox legt ja letztlich nur einen Protection Layer um das Programm herum und filtert Zugriffe auf die APIs bzw. die Service Handler. Die eigentlichen Aktionen werden aber von realer Hardware und Software ausgeführt. Die Sandbox reicht sie ja einfach nach Prüfung an das Betriebssystem weiter. Daher ist eine Sandbox letztlich plattformabhängig .

Bei einer Emulation ist dies nicht der Fall. Zugriffe auf APIs und auch auf die Hardware werden vom Emulator simuliert und nicht einfach nur gefiltert weitergereicht. Damit ist ein Emulator grundsätzlich Plattformunabhängig. Bedeutet:
Windows Dateien können problemlos in Linux emuliert werden und umgekehrt.

PS:
NOD32 v2 ist nur Emu .

Geschrieben von: Andreas Haak 21.11.2003, 22:52

Im Falle von Armadillo oder XtremeProtector?

Geschrieben von: Gladiator 21.11.2003, 22:53

Anmerkung: Eine Sandbox fungiert als eine Art "Proxy" der API's

Geschrieben von: Nautilus 21.11.2003, 22:54

Norman unterscheidet ja zwischen einer sicheren Emulation (die nur emuliert/simuliert/keinen echten Zugriff auf Hardware-Resourcen erlaubt) und einer unsicheren Virtual Machine (wie z.B. VMWare). Siehe http://www.norman.com/documents/nvc5_sandbox_technology.pdf .

Sanbox ist vermutlich der Oberbegriff.


EDITED: Ok, ok...es waren wieder alle schneller als ich ;-)

Geschrieben von: Gladiator 21.11.2003, 22:57

Weil wir fuer gewoehnlich nicht zwischendurch noch einkaufen gehen

Geschrieben von: Nautilus 21.11.2003, 23:05

Nautilus hat gerade von Seltsam ganz viele Biester bekommen und freut sich entsprechend ...

Geschrieben von: Gladiator 21.11.2003, 23:09

Sind wir hier bei Wuensch Dir was ?
Geht ja zu wie in einem AOL Chatroom.

Geschrieben von: Andreas Haak 21.11.2003, 23:11

Das spricht nicht für Dich, das Du weißt wies in AOL Chatrooms zu geht *fg*.

Geschrieben von: Nautilus 21.11.2003, 23:12

Bist ja nur neidisch, weil Du keine Samples empfangen oder versenden darfst. Und immer nur mit Skeeve rumzumachen wird halt auf Dauer langweilig ;-))

Geschrieben von: Andreas Haak 21.11.2003, 23:16

Wieso mit Stefan? Hatten nicht mal Gladi und IRON ein - sagen wir - homoerotisches Verhältnis? Oder haben die das jetzt auf eine Dreiecksbeziehung ausgeweitet? Schalten sie auch morgen wieder ein wenn es heißt:

Gute Emu, schlechte Emu *fg*.

Geschrieben von: Gladiator 21.11.2003, 23:37

ROFL

Macht nur euren Zirkus hier weiter - viel Spass noch und gute Nacht

Geschrieben von: IRON 21.11.2003, 23:48

baba Gladi, träum was Süßes von mir

Geschrieben von: SkeeveDCD 22.11.2003, 09:45

Hmm, und ich dachte das einzige was Haak emuliert ist der Launch von A^2... Während er noch in seiner Sandbox spielt...

@Nautilus: Was willst du jetzt mit deiner Aussage beweisen? Das es Crypter gibt die von den AV-Programmen nicht gehandelt werden? Warum sollte man sich die Mühe machen einen statischen Armoredillo Unpacker zu schreiben wenn das Teil kaum eingesetzt wird? Und selbst wenn Unpacker dafür vorhanden wären, ein Malware-Programmierer der auch was drauf hat und nicht nur in fremden Code rumpatched um die Erkennung zu vermeiden, ein solcher Programmierer schafft es auch seinen eigenen Crypter zu schreiben.

Geschrieben von: Andreas Haak 22.11.2003, 10:27

Das würde dann ja bedeuten das ich mein eigenes Produkt kaufe - sonst wär das ja keine gescheite Emulation .

Geschrieben von: Nautilus 22.11.2003, 10:46

@Skeeve

" Was willst du jetzt mit deiner Aussage beweisen? Das es Crypter gibt die von den AV-Programmen nicht gehandelt werden? Warum sollte man sich die Mühe machen einen statischen Armoredillo Unpacker zu schreiben wenn das Teil kaum eingesetzt wird? Und selbst wenn Unpacker dafür vorhanden wären, ein Malware-Programmierer der auch was drauf hat und nicht nur in fremden Code rumpatched um die Erkennung zu vermeiden, ein solcher Programmierer schafft es auch seinen eigenen Crypter zu schreiben."

Diesmal scheint die Sache aber anders zu sein:

Normalerweise war es relativ schwierig, einen "unbekannten Crypter/Packer" zu finden, den kein AV Programm durchleuchten kann. Und wenn man einen gefunden hatte, musste man ihn geheim halten, weil Kaspersky etc. sonst Dekompressionssupport in ihre Unpacking Engine einbauen.

Armadillo gibt es schon lange. Das Teil wird in zig Ratboards promoted und sogar als gecrackte Version zum Download angeboten. Benutzt wird es logischerweise auch. Trotzdem gibt es keinen Dekompressionssupport.

Dass Malwareprogrammierer Software undetected machen können, ist selbstverständlich. Dass aber jedes Script Kiddy dies nunmehr auf simpelste Weise mit fast jedem Trojaner tun kann, ist relativ neu. (In den letzten Jahren war es jedenfalls schwieriger.)

Geschrieben von: SkeeveDCD 22.11.2003, 10:50

Welche ITW-Malware benutzt das Teil? Und wie stark wird es eingesetzt? Wieviele Fälle mit Infektionen von Armoredillo-kompremierter Malware gab es dieses Jahr?

Ich denke die AV-Firmen wissen genau was sie machen, denn offenbar ist der Verbreitungsgrad von Arm. nicht so hoch wie du es einschätzt.

Und es war noch nie schwierig einen "unbekannten" Cryptor zu finden.

Geschrieben von: Nautilus 22.11.2003, 10:58

@Skeeve

Ich glaube, wir reden ein wenig aneinander vorbei. Dass liegt vermutlich daran, dass Du fast nur von Viren sprichst und ich fast nur von Trojanern.

Bei Trojanern kann man den Verbreitungsgrad nicht so einfach beweisen. (Die mit Armadillo geschützten Trojaner bleiben ja oft monatelang unerkannt.) Insgesamt ist die Verbreitung von Trojanern viel geringer als die von Viren. Dass Armadillo benutzt wird, lässt sich daraus ablesen, dass über dieses Tool in Ratboards diskutiert wird. Und vermutlich wird der Einsatz von Armadillo noch stark zunehmen, wenn weiterhin niemand eine statische Unpackroutine entwickelt.

Ich meine daher, dass ich das Thema Armadillo weder zu früh, noch zu spät angesprochen habe. Aber das ist natürlich immer Ansichtssache.

Geschrieben von: JoJo 22.11.2003, 14:15

Ehm ich bin ja auch auf ein paar Seiten die sich halt mit dem Umgang mit Trojanern befassen, aber ehrlich gesagt habe ich da so gut wie nie ein Beitrag zu Armadillo gelesen, eher UPX, ASpack und die wirklich bekannten PE Packer, denn Armadillo eigentlich nur bei den "rückentwicklern" angesprochen und da kenne ich nur ein Board wo man auch nur ab und zu über armadillo diskutiert, aber nicht in Verbindung mit malware. OK ich meine seit kurzem gehören die malware patchen auch zuu VX´ler szene, ich meine aber diese rum gepatche kommt eher aus der Sktipt Kiddies szene. also die bekannten Gruppen wie 666 werden sich darüber bestimmt kaputt lachen, dass ie mit solchen SK in Verbindung gebracht werden. Na ja das ist aber ein anderes Thema. Also nur weil ein paar reverse engeneering leute über armadillo reden, aber dann eher wie man es halt entpacken kann, soltle man nicht gleich den Teufel an die Wand pinseln und panisch alle wach rütteln

Geschrieben von: Gladiator 22.11.2003, 14:21

Und WAS BITTESCHOEN erhoffst Du Dir mit diesem Thread im Rokop Forum ? Das wir jetzt alle geschockt sind und sich zig User melden weil sie jetzt verunsichert sind ob sie vielleicht so einen Armadillo Trojaner auf dem PC haben ? Es gibt bei allen AV Herstellern gewisse PRIORITAETEN und die wirst Du lieber Nautilus und selbst wenn Du mit 20 Leuten bei den AV Firmen deswegen auf der Matte stehst auch nicht aendern. Und das hat nichts mit "Buerokratie" oder nicht wissen/koennen zu tun sondern einfach mit normalen Vorgaengen. Ist das ein umfassendes Problem wenn eine AV Software - und sei es Kaspersky - einen mit Armadillo gecrypteten Trojaner nicht erkennt - NEIN. Ist es ein Problem wenn eine AV Software Trojaner / Wuermer / Viren die ITW sind (und ich bin mal so frei und beziehe mich nicht nur auf das Wildlist gelistete Zeug, sondern auch das was man ueber Kazaa / Emule oder per IE Explorer Bug auf den Rechner gehaemmert bekommt) nicht erkennt ? JA.
Wie hoch ist den die Quote das ZIELGERICHTET Trojaner eingesetzt werden - die ist nicht so hoch wie Du glaubst. Und wie Stefan schon richtig schrieb - wenn es einer wirklich drauf abgesehen hat der kriegt das Teil egal ob mit oder ohne Armadillo sowieso undetected. Da ich eine gute Auffassungsgabe besitze greife ich gleich Deinem naechsten Einwand vor - naemlich dass es damit relativ einfach ist ohne Wissen solchen Zeug undetected zu machen. ---> Trotzdem muessen die es dann noch irgendwie an den "Herrn / Frau" bringen. Und sobald das dann irgendwo in P2P oder als "gefaktes" Setup von Webseiten downloadbar ist wird es eh in die Signaturen eingepflegt. Weil dann ist es "ohne Probleme" zugaenglich und die Chance dass sich wirklich jemand mit dem Mist infiziert ist dann so gross, dass man hier wirklich von einer ernstzunehmenden Gefahr FUER DIESEN EINEN BACKDOOR TYPEN der mit Armadillo gecrypted wurde ausgeht.
Und der wird dann ganz einfach gepackt eingepflegt. Fertig ist der Husten.
Weil ich koennte auch in's Ratboard latschen und dort eine Liste mit wenigstens paar hundert undetected Crypter/Binder/Packer posten. Anschliessend hat Kaspersky dann fast mehr Packer als Virussignaturen wenn man dort alles einpflegen will. Sollte Armadillo wirklich ein ERNSTHAFTES PROBLEM WERDEN so wird man dort zwangsweise reagieren. Den Zeitpunkt legst aber nicht Du fest Nautilus. Auch nicht dann wenn es bereits 1000 Backdoors mit Armadillo gibt. Weil solange es die in Script Kiddie Samlungen gibt interessiert das keine Sau. Koennen die sich halt freuen dass sie einen undected Server haben. Ich habe jedenfalls bisher so gut wie noch nie die ernsthafte Backdoor / Trojaner "Armadillo-Schwemme" gehabt, und glaub mir ich analysiere sehr viel Malware. Und die These die User koennen es ja bereits schon drauf haben ohne dass sie es wissen zaehlt nicht und faellt aus wegen dichtem Bodennebel. Denn dieser Prozentsatz ist verschwindend gering den das betrifft.

Geschrieben von: Andreas Haak 22.11.2003, 14:40

Na auf die Liste bin ich jetzt spontan gespannt .

Geschrieben von: Nautilus 22.11.2003, 14:58

@Gladi

"Und WAS BITTESCHOEN erhoffst Du Dir mit diesem Thread im Rokop Forum ? "

Hab ich doch schon gesagt (und Du fragst schon zum zweiten Mal). Siehe oben.

"Das wir jetzt alle geschockt sind und sich zig User melden weil sie jetzt verunsichert sind ob sie vielleicht so einen Armadillo Trojaner auf dem PC haben ?"

Auch hier gilt: Siehe oben. (TH oder TDS-3 Trialversionen mit Memscanner haben mit Armadillo kein Problem. Also kein Grund in Panik zu verfallen.)

"Es gibt bei allen AV Herstellern gewisse PRIORITAETEN und die wirst Du lieber Nautilus und selbst wenn Du mit 20 Leuten bei den AV Firmen deswegen auf der Matte stehst auch nicht aendern. Und das hat nichts mit "Buerokratie" oder nicht wissen/koennen zu tun sondern einfach mit normalen Vorgaengen."

Ich habe kein grosses Problem damit, wenn ich insoweit "nichts ändern" kann. Die Welt dreht sich auch ohne mich oder Dich ganz gut.

"Ist das ein umfassendes Problem wenn eine AV Software - und sei es Kaspersky - einen mit Armadillo gecrypteten Trojaner nicht erkennt - NEIN."

Ich gebe Dir Recht. Aber wenn man diesen Gedanken konsequent zu Ende denkt, ist sich nicht replizierende Malware eigentlich nie ein sehr grosses Problem (Ausnahme: Tauschbörse, Usenet etc. als Infektionsvektor - siehe unten). Es trifft bei Trojanern oft nur relativ wenige Leute. Diejenigen, die es dann trifft, sind aber trotzdem dumm dran.

"Ist es ein Problem wenn eine AV Software Trojaner / Wuermer / Viren die ITW sind (und ich bin mal so frei und beziehe mich nicht nur auf das Wildlist gelistete Zeug, sondern auch das was man ueber Kazaa / Emule oder per IE Explorer Bug auf den Rechner gehaemmert bekommt) nicht erkennt ? JA.
Wie hoch ist den die Quote das ZIELGERICHTET Trojaner eingesetzt werden - die ist nicht so hoch wie Du glaubst."

Ich glaube gar nicht, dass der zielgerichte Einsatz (bezogen auf ein vorher bekanntes Opfer) so häufig ist.

" Und wie Stefan schon richtig schrieb - wenn es einer wirklich drauf abgesehen hat der kriegt das Teil egal ob mit oder ohne Armadillo sowieso undetected."

Das sind wir alle drei der gleichen Meinung.


"Da ich eine gute Auffassungsgabe besitze greife ich gleich Deinem naechsten Einwand vor - naemlich dass es damit relativ einfach ist ohne Wissen solchen Zeug undetected zu machen. ---> Trotzdem muessen die es dann noch irgendwie an den "Herrn / Frau" bringen. Und sobald das dann irgendwo in P2P oder als "gefaktes" Setup von Webseiten downloadbar ist wird es eh in die Signaturen eingepflegt. Weil dann ist es "ohne Probleme" zugaenglich und die Chance dass sich wirklich jemand mit dem Mist infiziert ist dann so gross, dass man hier wirklich von einer ernstzunehmenden Gefahr FUER DIESEN EINEN BACKDOOR TYPEN der mit Armadillo gecrypted wurde ausgeht. Und der wird dann ganz einfach gepackt eingepflegt. Fertig ist der Husten."

An Deinem Argument ist definitiv etwas dran. Wenn eine Tauschbörse als Infektionvektor dient und sich deshalb sehr viele User mit dem gleichen Trojaner infizieren, ist die Chance recht hoch, dass der Trojaner entdeckt und eine spezielle Signatur für ihn erstellt werden kann.

Wenn man einen Trojaner dagegen per Email an einzele Personen schickt oder ihn seinem Chatpartner "aufschwätzt", sieht die Sache schon anders aus.


"Weil ich koennte auch in's Ratboard latschen und dort eine Liste mit wenigstens paar hundert undetected Crypter/Binder/Packer posten. Anschliessend hat Kaspersky dann fast mehr Packer als Virussignaturen wenn man dort alles einpflegen will. Sollte Armadillo wirklich ein ERNSTHAFTES PROBLEM WERDEN so wird man dort zwangsweise reagieren. Den Zeitpunkt legst aber nicht Du fest Nautilus."

Kann es sein, dass Du nur sauer bist, weil Du den Eindruck hast, dass ich Dir oder anderen Vorschriften machen will?

"Auch nicht dann wenn es bereits 1000 Backdoors mit Armadillo gibt. Weil solange es die in Script Kiddie Samlungen gibt interessiert das keine Sau. Koennen die sich halt freuen dass sie einen undected Server haben. Ich habe jedenfalls bisher so gut wie noch nie die ernsthafte Backdoor / Trojaner "Armadillo-Schwemme" gehabt, und glaub mir ich analysiere sehr viel Malware."

Insoweit liegen wir wohl nicht weit auseinander. Weder Du, noch ich behaupten, dass es eine regelrechte Armadillo-Schwemme geben wird.

Wo wir unterschiedlicher Meinung sind, ist wohl die Frage, ob es sich lohnt, auch eine - im Vergleich zu Virusattacken - relativ kleine Zahl von Personen zu schützen.


Gruss,

Nautilus

P.S.: Welche Laus ist Dir schon wieder über die Leber gelaufen? Warum ärgert Dich mein Posting so?

Geschrieben von: Gladiator 22.11.2003, 15:12

Wann gibts a² ?

Geschrieben von: SkeeveDCD 22.11.2003, 15:18

Er ist immer etwas gereizt.

Der Punkt ist doch der das diese ganze Diskussion voellig unnuetz ist. Du kannst jede Malware undetectable machen, mit oder ohne "bekannten aber nicht unterstützten" Cryptern. Da die Verbreitung von Armoredillo so gering ist, ist es keine praktikable Lösung dafuer einen statischen Unpacker zu schreiben. Die Zeit investieren die AV-Firmen lieber in sinnvollere Loesungsansaetze, sprich Speicher-Check und Prozess-Ueberwachung. Naja, es gibt ja auch AV-Hersteller, die investieren 100% in die GUI...

Geschrieben von: Andreas Haak 22.11.2003, 15:20

Sprung in der Platte?

Geschrieben von: SkeeveDCD 22.11.2003, 15:21

15.11 oder so... Aber er hat ja nicht das Jahr gesagt. 2004 hört sich realistisch an. Naja, vielleicht auch 2005, Andreas laesst ja lieber jeden neuen Screenshot von A^2 frenetisch auf seinem Board feiern als mal was richtiges zu releasen.

Geschrieben von: Gladiator 22.11.2003, 15:24

IRON - FASS !!!!!!!!!

Geschrieben von: Gladiator 22.11.2003, 15:42

Achwas. Dummes Gesapper
Ich bin nur etwas "verunstimmt" - Grund kennst Du ja - ich hatte schon ueberlegt ob ich das Wochenende schwarz trage... Ich war vorhins nochmal schnell an der Karre und hab noch das Radio ausgebaut und das Sixpack Bier noch gerettet

Nachtrag: Hurra, ich habe auch die Kaffemaschine im Beifahrerfussraum gefunden - die Espressomaschine - die bring ich mit auf Arbeit

Geschrieben von: SkeeveDCD 22.11.2003, 15:51

Na ich weiss nicht, wenn du Kaffee machst kann man damit Tote aufwechen.

Also Andreas, was ist mit A^2? Gibts da auch mal was anderes ausser netten Screenshots die jeder mit Delphi in 5 Min hinkriegt? Oder fallen dir keine Ausreden mehr ein warum es noch nicht released ist?

Geschrieben von: Gladiator 22.11.2003, 15:56

Wieso regen sich eigentlich alle permanent auf wenn ich Kaffee mache ?
Ich darf fruehs keinen mehr zu Hause machen (und wenn, dann nur fuer mich selber) auf der Arbeit wird mir "Bescheid gesagt" wenn der Kaffee fertig ist - ich darf noch nicht mal die Kaffeekanne geschweige denn die Dose in die Hand nehmen schon kraehen alle rum. So extremen Kaffee mache ich nun auch wieder nicht.

Geschrieben von: Nautilus 22.11.2003, 17:30

@JoJo

"Also nur weil ein paar reverse engeneering leute über armadillo reden, aber dann eher wie man es halt entpacken kann, soltle man nicht gleich den Teufel an die Wand pinseln und panisch alle wach rütteln"

Dir entgeht da erstaunlicherweise etwas ;-) Ich spreche nicht von Reverse Engineering Boards. Frag halt matiano oder white lion ...

Geschrieben von: Gladiator 22.11.2003, 17:34

Optional dazu kannst Du auch die Abrafaxe oder Hannes Hegen um genauere Ausfuehrungen bitten JoJo - die kennen sich damit naemlich auch aus

Geschrieben von: Nautilus 22.11.2003, 17:39

Und wo wir schon dabei sind, JoJo zu ärgern: Bei Deinem Beast Tutorial hast Du ein File übersehen, welches auch noch installiert wird. Das muss man aber nur kennen, wenn man Beast undetected machen will ;-) Scherz beiseite: Ich fand das Tutorial konstruktiv und o.k.

Geschrieben von: Nautilus 30.11.2003, 00:21

Hmm...wenn Gladi darf, darf ich dann auch?

hxxp://members.fortunecity.com/zilot/Tutorial/armadillo.htm

(Ansonsten bitte Link entfernen.)

Geschrieben von: Rokop 30.11.2003, 00:31

In Anbetracht der Tatsache, daß diese Tuts von den meisten Usern eh nicht verstanden werden und die, die diese Tuts finden und verstehen wollen, nicht unser Forum dazu brauchen, lassen wir diesen Link ruhig mal stehen.

Geschrieben von: Nautilus 14.12.2003, 21:28

Ich bekomme in letzter Zeit öfters Emails in Bezug auf Armadillo oder sog. Undectables. Folgende Email möchte ich Euch nicht vorenthalten:

"
Betreff: Aramadillo ??? ( From Rokop Security Foren )

HI !!!

Ich habe mich schon mit einigen Crptern beschäftigt,die Dateien zu Crypten geht ohne probs(undetected),nur einige Vir und Fire
programme erkennen das File trotz crypten.Ich habe mir jetzt Armadillo besorgt nur ist es zimlich komplieziert wenn mann sich
damit nicht auskennt,ich wollte mal fragen ob du eine Anleitung dafür hast ??? Oder gibt es noch einen noch besseren als denn
hier.Über eine Hilfe oder einige Tipps währe ich dir dankbar.

Gruss xxx" (Den Absender habe ich zu dessen eigenem Schutz anonymisiert ... ;-)


Stellvertretend für alle weiteren Emails, auf die ich bislang nicht geantwortet habe, möchte ich an dieser Stelle festhalten, dass ich leider über keine Bedienungsanleitung für Armadillo verfüge und auch keine Cracks oder Downloadlinks zur Verfügung stellen kann. Auch sonst kann ich leider keine konkreten Tips zum Tarnen von Malware geben oder gepatchte und/oder seltene Trojaner versenden ...

Sorry,

ntl

Geschrieben von: Catweazle 14.12.2003, 21:35

Was willst du damit bezwecken ?

Eine diskrte E-mail an den Schreibenden hätte doch gereicht, oder ?

Catweazle

Geschrieben von: Nautilus 14.12.2003, 21:45

Gegenfrage: Was willst mit "99 Kriegsminister streichelst im Benzinkaninster !" bezwecken?

Ausserdem sagte ich doch schon, dass ich nicht auf jede dieser Emails antworten möchte und deshalb stellvertretend in diesem Thread schreibe ...

Geschrieben von: Gladiator 14.12.2003, 21:52

Ich nehme an es handelt sich hierbei um mehrere hundert emails
So ungefaehr die Anzahl der registrierten Members hier im Forum - 1 (abzueglich meiner Wenigkeit, da ich nix geschickt habe)

Was Du damit bezweckst wuerde mich allerdings auch mal interessieren.

Dich selber damit rechtfertigen dass Armadillo WICHTIG IST ?
Nein, das ist es im Anbetracht aktueller Malware Studien sicherlich nicht.

Mahlzeit.

Geschrieben von: Nautilus 14.12.2003, 22:01

@Gladi Gerade von Dir hätte ich etwas mehr Humor (und etwas weniger Verklemmtheit) erwartet ... Daher auch an Dich eine Gegenfrage: Was war eigentlich der Zweck Deines Videos? Wolltest Du damit beweisen, dass ihr sehr wohl hart arbeitet und Dich somit dafür rechtfertigen, dass AntiVir noch keine Unpacking Engine hat? Jetzt mal im Ernst: Warum machen wir uns hier eigentlich gegenseitig an? Wollten wir nicht gerade mit Flamen aufhören. Im Zweifel kann ich das sowieso besser als ihr ;-)

Geschrieben von: Gladiator 14.12.2003, 22:12

Es geht hier weder um mich, noch um AntiVir sondern vielmehr um die Tatsache dass Du seit geraumer Zeit die halbe Welt mit Armadillo verrueckt machst. Auch einige Reverse Engineering Boards wo ich ausgerechnet noch Mod bin Du das aber gluecklicherweise nicht weisst

Oder hier auf Wilders - von heute:
http://www.wilderssecurity.com/index.php?board=25;action=display;threadid=17865;start=0

Mit wem willst Du darueber disskutieren ? Wartest Du darauf dass Wayne Dir antwortet ? Der hat besseres zu tun. Maximal Gavin wird sich kurz und knapp zu dem Thema aeussern wenn ueberhaupt.

Waere es eine persoenliche Genugtuung wenn beispielsweise KAV Armadillo entpacken koennte ? Wenn ja, was passiert dann ? Dann findest Du einen Crypter namens FurzCrypt 3.4 postest irgendwo dass der nicht entpackt wird und machst neue Wellen. DAS AENDERT ABER NIX AN DER TATSACHE, DAS _DU_ DIE PRIORITAETEN IN DER AV BRANCHE NICHT DADURCH AENDERST Oder was meinst Du wohl warum KAV den bisher noch nicht drin hat ? Weil die Russen dazu nicht in der Lage waeren ? LOL. Weil es keinen dringenden Handlungsbedarf dafuer gibt. Man widmet sich lieber ERNSTHAFTEN Problemen in der AV Industrie.

Geschrieben von: Nautilus 14.12.2003, 22:23

@Gladi

Dass mit dem wilders topic missverstehst Du etwas. Ich hatte mich kuerzlich mit Seltsam ueber das Thema Unpacking mit Hilfe von Breakpoints unterhalten. Darum geht es bei dem Topic. Nicht um das Beispiel Armadillo. Ich hätte genauso gut auch einen anderen Packer nehmen können, dessen Dekompression schwierig ist.

Dass ich die halbe Welt oder gar Reverse Engineering Boards verrückt mache, bestreite ich. Du verwechselst mich da offensichtlich mal wieder mit jemand ...

Ob jemand antwortet, wird sich ja zeigen. Wenn nicht, hab ich halt Pech gehabt. Warum reagierst Du auf sowas denn so panisch?

Zu Deinem letzten langen Abschnitt. Das habe ich Dir doch schon beantwortet. Ich kann ganz ruhig schlafen, auch wenn kein AV/AT Scanner irgendeinen Trojaner erkennt. Gleich ob gepackt oder nicht. Ich bin total relaxed. Warum Du nicht? ;-)

Bitte schau jetzt nicht noch Planetopia ...

ntl

Geschrieben von: Gladiator 14.12.2003, 22:32

Unpacking mit Breakpoints ist unakzeptabel. Man kann sowas mal versuchsweise integrieren in der Zeit wo man beispielsweise solche Stubs reversed aber in einer Final Version sollte das nicht zum Tragen kommen.
Zum einen ist sowas nicht Platformunabhaengig (unter linux wuerde das beispielsweise nicht funktionieren) zum anderen ist es nicht wirklich aus sicherheitsrelevanten Dingen empfehlenswert. Ich hatte damals mit GAV 5 (was nie erschienen ist) und der diesbezueglichen Linux Version von GAV auch alles nach Static Unpack portiert. Statischer Unpack ist zum einen wesentlich schneller als Emulationsunpack und verbraucht auch weniger Resourcen.

Geschrieben von: Andreas Haak 14.12.2003, 22:34

Läuft aber dann ins Leere sobald Verschlüsselung bzw. Kompression nicht statisch sind .

Geschrieben von: Nautilus 14.12.2003, 22:38

Ahh ... sehr gut. Das klingt schon viel konstruktiver. Ich hatte halt überlegt, dass Unpacking mit Breakpoints vielleicht für AT Scanner nicht sooo unakzeptabel ist, weil ja Trojaner (anders als Viren) nicht gleich den Computer zerstören. Das Ausführen eines Trojaners ist somit nicht gleich als Katastrophe anzusehen ... schliesslich gibt es sogar reine MemScanner wie BOClean. Man müsste halt irgendwie sicherstellen, dass der AT Scanner nicht beim normalen On Demand Scan als Malwareschleuder wirkt, sondern nur solche Files scannt die der User eh ausführen wollte (execution protection).

Gruss ntl

Geschrieben von: Nautilus 14.12.2003, 22:39

@Seltsam Wenn Du die Armadillo-Signatur anschaust, die ich bei Wilders gepostet habe, wirst Du sehen, dass sie Wildcards enthält. Vielleicht hilft das ja ein wenig ...

Geschrieben von: Gladiator 14.12.2003, 22:40

Was ist eigentlich mit EWIDO weil du die auf Wilders erwaehntest ?

Geschrieben von: Nautilus 14.12.2003, 22:44

@Gladi Ich glaube, dass ewido eine richtige Emulation hat (und nicht nur per Breakpoints entpackt). Bei meinen letzten Tests funktionierte einiges schon ganz gut, anderes noch nicht. Blablabla hat ja schon gesagt, dass Armadillo noch nicht unterstützt wird.

Geschrieben von: tobias 14.12.2003, 23:03

ich WEIß, dass ewido eine richtige emulation hat und ÜBERHAUPT NICHT per breakpoints entpackt

Geschrieben von: Nautilus 14.12.2003, 23:05

So hab ich es ja auch bei Wilders geschrieben ;-)

Geschrieben von: Andreas Haak 14.12.2003, 23:16

Das meine ich nicht. Das Problem ist das Du eine Verschlüsselung nur dann statisch entschlüsseln kannst wenn die Verschlüsselung auch statisch ist. Ist sie polymorph kommst Du um Emulation nicht rum.

Ich mag BP Scanning nicht - auch nicht in AT Software. Wie gesagt:

Man kann damit aus JEDER AT Software nen Exploit basteln. Das Problem ist das Du prüfen müsstest ob ein Stub geändert wurde. Das wäre wirklich sicher nur bei statischen Stubs möglich. Aber nicht mal mehr der UPX Stub ist 100% statisch . Daher hast Du immer das Risiko da grade einen Exploit zu aktivieren beim Scannen.

Geschrieben von: fish25 14.12.2003, 23:21

ich glaube da liegt ein denkfehler vor... das würde ja heissen, dass jemand, der eine at-software mit bp-unpacking nutzt, auch nur "harmlose" trojaner auf dem rechner hat und sich niemals nen virus einfängt, oder liege ich da falsch?

Geschrieben von: Nautilus 14.12.2003, 23:22

Im Prinzip stimme ich Dir ja zu, Seltsam. Aber wenn die "execution protection" nur eingreift und das File per BP scannt, wenn der User auf eine Datei einen Doppelklick gemacht hat, dann kann doch eigentlich nicht viel passieren. Jedenfalls nicht mehr, als ohnehin passiert wäre ...

@fish Auch Dir stimme ich zu. Für einen allgemeinen On Demand Scan, eignet sich das Verfahren wohl nicht, da zu gefährlich.

Geschrieben von: Andreas Haak 14.12.2003, 23:40

Dann kannst die Datei aber auch in einer Sandbox starten *lach* ... und ... "mit unpacking wär das nicht passiert".

Alternativ mal eine Idee:

Wie wärs wenn die Hersteller einfach jeden Backdoor mit Armadillo packen und von dem gepackten Teil ne Sig ziehen? *fg*

Geschrieben von: Nautilus 14.12.2003, 23:47

Dann nehme ich halt ACProtect ... *fg*

Geschrieben von: JoJo 14.12.2003, 23:55

Ich versteh nicht warum man gleich mit nem wandlungsfähigen und Gürteltieren, dass ich auch recht gut verkleinern kann, um sich wirft, wenn man schon mit einfachen Handgriffen ohne zoologischen Grabelviehern beim Türsteher mit dem gelben Anzug vorbei kommt. Darfür ändere ich nur meine Namen in "jojo"

Geschrieben von: SkeeveDCD 15.12.2003, 07:54

Und der Morgen fing so gut an...

Geschrieben von: Andreas Haak 15.12.2003, 10:11

Geschrieben von: vampire 15.12.2003, 17:39

gute idee, das schafft auch neue arbeitsplätze in der AV branche, für mindestens 200 jahre...

Geschrieben von: IBK 25.06.2004, 22:12

In den neuen DAILYDATS von McAfee wurde gerade der Eintrag "Armadillo" hinzugefügt...

Threat Name: Armadillo
Type: Packer
Risk Assessment: Low

Geschrieben von: Nautilus 25.06.2004, 22:25

Und was bedeutet das jetzt? Das der Packer (sinnloserweise) selbst als Malware identifiziert wird? Oder wird nunmehr mit Armadillo gepackte Software als gepackt und damit verdächtig erkannt?

Geschrieben von: IBK 25.06.2004, 22:33

Habs nicht ausprobiert. Versuchs einfach mal und sag dann das Ergebnis hier im Forum, bin auch gespannt.
Die Dailydats bekommst Du unter http://download.nai.com/products/mcafee-avert/daily_dats/DAILYDAT.ZIP

Geschrieben von: Nautilus 25.06.2004, 22:38

Scanning D:\Desktop\McAfeeEngine\TESTDIR\*.*
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo201.OptixPro12.exe ... Found the BackDoor-ACH.dr trojan !!!
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo201.SilentSpy210.exe ... is OK.
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo201.y3kPro02.exe ... is OK.
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo220.Bionet318.exe ... Found the BackDoor-FK.dr trojan !!!
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo220.OptixPro12.exe ... Found the BackDoor-ACH.dr trojan !!!
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo260.Bionet4.exe ... Found the BackDoor-FK.svr trojan !!!
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo260.SilentSpy210.exe ... Found trojan or variant BackDoor-ZT !!!
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo260.y3kPro02.exe ... Found trojan or variant BackDoor-GQ !!!
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo285.Bionet318.exe ... Found trojan or variant BackDoor-FK.svr !!!
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo301.Coldfusion108.Hexedited.dll ... is OK.
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo301.Lithium103.exe ... is OK.
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo310.AnalFTP01.exe ... is OK.
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo310.Asylum013.exe ... is OK.
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo310.OptixPro132.exe ... Found trojan or variant BackDoor-ACH !!!
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo310.RESOURCE.ICONDEL.DC.Oblivion01.exe ... is OK.
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo310.RESOURCE.ICONREPL.OptixLite05.exe ... is OK.
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo340.CPMII.Beast192c2.exe ... is OK.
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo340.CPMII.Theef2b5.exe ... Found trojan or variant BackDoor-QW !!!
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo340.MydoomA.shimgapi.Repacked.dll ... is OK.

Sieht auf den ersten Blick wie immer aus: Erkennung per (unsicherer) Signatur aus Resource Section. Trojaner ohne Resource Section bzw. mit modifizierter Resource Section werden nicht erkannt. Also kein echtes Unpacking in Bezug auf Armadillo. Heuristik offenbar auch nicht.

P.S.:
Scan engine v4.3.20 for Win32.
Virus data file v4100 created Jun 25 2004
Scanning for 93358 viruses, trojans and variants.

Geschrieben von: IBK 25.06.2004, 23:05

Danke für die schnelle Antwort. Welche Parameter hast Du verwendet?

Geschrieben von: Nautilus 25.06.2004, 23:07

D:\Desktop\McAfeeEngine\Scan.exe testdir\*.* /ALL /secure /L /panalyze /program /winmem /report zzz_ergebnis.txt

Geschrieben von: IBK 25.06.2004, 23:12

Versuch bitte mal mit folgender Befehlszeile (aus reiner Neugier):
scan c:\test /rptall /!server /mailbox /secure /mime /vid /program /!guru /sub /report=c:\scan.log

Geschrieben von: Nautilus 25.06.2004, 23:23

Options:
TESTDIR\*.* /RPTALL /!SERVER /MAILBOX /SECURE /MIME /VID /PROGRAM /!GURU /SUB /REPORT IBKERGEBNIS.TXT

Scanning D: [MEDIA]
Scanning D:\Desktop\McAfeeEngine\TESTDIR\*.*
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo201.OptixPro12.exe ... Found the BackDoor-ACH.dr trojan !!!
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo201.SilentSpy210.exe ... is OK.
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo201.y3kPro02.exe ... is OK.
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo220.Bionet318.exe ... Found the BackDoor-FK.dr trojan !!!
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo220.OptixPro12.exe ... Found the BackDoor-ACH.dr trojan !!!
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo260.Bionet4.exe ... Found the BackDoor-FK.svr trojan !!!
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo260.SilentSpy210.exe ... Found the BackDoor-ZT trojan !!!
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo260.y3kPro02.exe ... Found the BackDoor-GQ trojan !!!
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo285.Bionet318.exe ... Found the BackDoor-FK.svr trojan !!!
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo301.Coldfusion108.Hexedited.dll ... is OK.
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo301.Lithium103.exe ... is packaged using Armadillo.
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo310.AnalFTP01.exe ... is packaged using Armadillo.
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo310.Asylum013.exe ... is packaged using Armadillo.
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo310.OptixPro132.exe ... Found the BackDoor-ACH trojan !!!
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo310.RESOURCE.ICONDEL.DC.Oblivion01.exe ... is packaged using Armadillo.
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo310.RESOURCE.ICONREPL.OptixLite05.exe ... is packaged using Armadillo.
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo340.CPMII.Beast192c2.exe ... is OK.
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo340.CPMII.Theef2b5.exe ... Found the BackDoor-QW trojan !!!
D:\Desktop\McAfeeEngine\TESTDIR\Armadillo340.MydoomA.shimgapi.Repacked.dll ... is OK.


AHA! Woran liegt es? Parameter /Guru?

Geschrieben von: IBK 25.06.2004, 23:26

ja...

Geschrieben von: Joerg 26.06.2004, 08:01

Was bewirkt der genau?

Geschrieben von: Nautilus 30.06.2004, 07:04

@Joerg

Ich habe hier mal einige Tests mit dem Parameter gemacht: http://boardadmin.funpic.de/viewtopic.php?t=8

!Guru erkennt und löscht im Prinzip jedes gepackte File und eignet sich daher IMHO nicht für den Test der Real World Performance eines Scanners.