Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

> Armadillo
Gast_Nautilus_*
Beitrag 21.11.2003, 08:28
Beitrag #1






Gäste
Armadillo ist ein kommerzieller Protector, mit dem man fast jeden Trojaner packen und crypten kann. Meines Wissens kann kein AV Scanner diesen Protector "durchleuchten", d.h. ein mit Armadillo geschützter Trojaner wird von Virenscannern nicht erkannt. (Ausnahme: McAfee, der hierfür aber unsichere Signaturen aus der .resc section verwendet und somit leicht ausgetrickst werden kann).

Im Moment kann man sich vor Armadillo somit nur mit Mem Scannern (z.B.: Trojan Hunter oder TDS-3) schützen.

In diversen Ratboards wird Armadillo nunmehr empfohlen und gleichzeitig eine gecrackte Version zum Download angeboten.

Ich finde es ziemlich merkwürdig, dass die AV Industrie es seit mehr als einem Jahr nicht schafft, eine statische Unpacking Routine für Armadillo zu entwickeln. Hatte Gladiator nicht in Bezug auf seinen GAV Armadillo-Unpacker bereits einen Entwicklungsstand von 85% vermeldet?

ntl

Der Beitrag wurde von Nautilus bearbeitet: 21.11.2003, 08:32
Go to the top of the page
 
+Quote Post
 
 Start new topic
Antworten
Gast_Gladiator_*
Beitrag 22.11.2003, 14:21
Beitrag #2






Gäste
ZITAT(Nautilus @ 22. November 2003, 10:57)
Ich meine daher, dass ich das Thema Armadillo weder zu früh, noch zu spät angesprochen habe. Aber das ist natürlich immer Ansichtssache.

Und WAS BITTESCHOEN erhoffst Du Dir mit diesem Thread im Rokop Forum ? Das wir jetzt alle geschockt sind und sich zig User melden weil sie jetzt verunsichert sind ob sie vielleicht so einen Armadillo Trojaner auf dem PC haben ? Es gibt bei allen AV Herstellern gewisse PRIORITAETEN und die wirst Du lieber Nautilus und selbst wenn Du mit 20 Leuten bei den AV Firmen deswegen auf der Matte stehst auch nicht aendern. Und das hat nichts mit "Buerokratie" oder nicht wissen/koennen zu tun sondern einfach mit normalen Vorgaengen. Ist das ein umfassendes Problem wenn eine AV Software - und sei es Kaspersky - einen mit Armadillo gecrypteten Trojaner nicht erkennt - NEIN. Ist es ein Problem wenn eine AV Software Trojaner / Wuermer / Viren die ITW sind (und ich bin mal so frei und beziehe mich nicht nur auf das Wildlist gelistete Zeug, sondern auch das was man ueber Kazaa / Emule oder per IE Explorer Bug auf den Rechner gehaemmert bekommt) nicht erkennt ? JA.
Wie hoch ist den die Quote das ZIELGERICHTET Trojaner eingesetzt werden - die ist nicht so hoch wie Du glaubst. Und wie Stefan schon richtig schrieb - wenn es einer wirklich drauf abgesehen hat der kriegt das Teil egal ob mit oder ohne Armadillo sowieso undetected. Da ich eine gute Auffassungsgabe besitze greife ich gleich Deinem naechsten Einwand vor - naemlich dass es damit relativ einfach ist ohne Wissen solchen Zeug undetected zu machen. ---> Trotzdem muessen die es dann noch irgendwie an den "Herrn / Frau" bringen. Und sobald das dann irgendwo in P2P oder als "gefaktes" Setup von Webseiten downloadbar ist wird es eh in die Signaturen eingepflegt. Weil dann ist es "ohne Probleme" zugaenglich und die Chance dass sich wirklich jemand mit dem Mist infiziert ist dann so gross, dass man hier wirklich von einer ernstzunehmenden Gefahr FUER DIESEN EINEN BACKDOOR TYPEN der mit Armadillo gecrypted wurde ausgeht.
Und der wird dann ganz einfach gepackt eingepflegt. Fertig ist der Husten.
Weil ich koennte auch in's Ratboard latschen und dort eine Liste mit wenigstens paar hundert undetected Crypter/Binder/Packer posten. Anschliessend hat Kaspersky dann fast mehr Packer als Virussignaturen wenn man dort alles einpflegen will. Sollte Armadillo wirklich ein ERNSTHAFTES PROBLEM WERDEN so wird man dort zwangsweise reagieren. Den Zeitpunkt legst aber nicht Du fest Nautilus. Auch nicht dann wenn es bereits 1000 Backdoors mit Armadillo gibt. Weil solange es die in Script Kiddie Samlungen gibt interessiert das keine Sau. Koennen die sich halt freuen dass sie einen undected Server haben. Ich habe jedenfalls bisher so gut wie noch nie die ernsthafte Backdoor / Trojaner "Armadillo-Schwemme" gehabt, und glaub mir ich analysiere sehr viel Malware. Und die These die User koennen es ja bereits schon drauf haben ohne dass sie es wissen zaehlt nicht und faellt aus wegen dichtem Bodennebel. Denn dieser Prozentsatz ist verschwindend gering den das betrifft.
Go to the top of the page
 
+Quote Post

Beiträge in diesem Thema
- Nautilus   Armadillo   21.11.2003, 08:28
- - fish25   Hatte Gladiator nicht auch in Bezug auf Lamecrypt ...   21.11.2003, 15:01
- - Gladiator   ZITAT(fish25 @ 21. November 2003, 15:00)Hatte...   21.11.2003, 19:30
- - Gladiator   @Nautilus Was Du mit Deinem Posting hier bezweckst...   21.11.2003, 19:53
- - IRON   ZITAT(Gladiator @ 21. November 2003, 19:29)Sc...   21.11.2003, 21:18
- - Gladiator   Ich begruende hier gar nichts - weil das Offtopic ...   21.11.2003, 21:23
- - IRON   ZITATIch begruende hier gar nichts - weil das Offt...   21.11.2003, 21:43
- - Andreas Haak   ZITAT(Gladiator @ 21. November 2003, 19:29)Sc...   21.11.2003, 21:53
- - Nautilus   Hallo Gladi, warum hast so schlechte Laune? Irgen...   21.11.2003, 22:13
- - Andreas Haak   >Kann Deine Emu Armadillo packen? Nö . >G...   21.11.2003, 22:21
- - Nautilus   @Seltsam 1. Danke für die Info. Scheint mir dan...   21.11.2003, 22:35
- - forge77   ZITATIrgendwie hab ich den Eindruck, dass in letzt...   21.11.2003, 22:42
- - Gladiator   ZITAT(forge77 @ 21. November 2003, 22:41)ZITA...   21.11.2003, 22:49
- - Andreas Haak   ZITAT(forge77 @ 21. November 2003, 22:41)Wo z...   21.11.2003, 22:51
- - Andreas Haak   ZITAT(Gladiator @ 21. November 2003, 22:48)ZI...   21.11.2003, 22:52
- - Gladiator   Anmerkung: Eine Sandbox fungiert als eine Art ...   21.11.2003, 22:53
- - Nautilus   Norman unterscheidet ja zwischen einer sicheren Em...   21.11.2003, 22:54
- - Gladiator   ZITAT(Nautilus @ 21. November 2003, 22:53)EDI...   21.11.2003, 22:57
- - Nautilus   Nautilus hat gerade von Seltsam ganz viele Biester...   21.11.2003, 23:05
- - Gladiator   ZITAT(Nautilus @ 21. November 2003, 23:04)Nau...   21.11.2003, 23:09
- - Andreas Haak   ZITAT(Gladiator @ 21. November 2003, 23:08)Si...   21.11.2003, 23:11
- - Nautilus   Bist ja nur neidisch, weil Du keine Samples empfan...   21.11.2003, 23:12
- - Andreas Haak   Wieso mit Stefan? Hatten nicht mal Gladi und IRON ...   21.11.2003, 23:16
- - Gladiator   ZITAT(Nautilus @ 21. November 2003, 23:11)Bis...   21.11.2003, 23:37
- - IRON   baba Gladi, träum was Süßes von mir   21.11.2003, 23:48
- - SkeeveDCD   Hmm, und ich dachte das einzige was Haak emuliert ...   22.11.2003, 09:45
- - Andreas Haak   ZITAT(SkeeveDCD @ 22. November 2003, 09:44)Hm...   22.11.2003, 10:27
- - Nautilus   @Skeeve " Was willst du jetzt mit deiner Aus...   22.11.2003, 10:46
- - SkeeveDCD   ZITATBenutzt wird es logischerweise auch. Trotzdem...   22.11.2003, 10:50
- - Nautilus   @Skeeve Ich glaube, wir reden ein wenig aneinande...   22.11.2003, 10:58
- - JoJo   Ehm ich bin ja auch auf ein paar Seiten die sich h...   22.11.2003, 14:15
- - Gladiator   ZITAT(Nautilus @ 22. November 2003, 10:57)Ich...   22.11.2003, 14:21
- - Andreas Haak   ZITAT(Gladiator @ 22. November 2003, 14:20)We...   22.11.2003, 14:40
- - Nautilus   @Gladi "Und WAS BITTESCHOEN erhoffst Du Dir ...   22.11.2003, 14:58
- - Gladiator   ZITAT(Andreas Haak @ 22. November 2003, 14:39...   22.11.2003, 15:12
- - SkeeveDCD   ZITATKann es sein, dass Du nur sauer bist, weil Du...   22.11.2003, 15:18
- - Andreas Haak   ZITAT(Gladiator @ 22. November 2003, 15:11)ZI...   22.11.2003, 15:20
- - SkeeveDCD   ZITATWann gibts a² ? 15.11 oder so... Aber er hat...   22.11.2003, 15:21
- - Gladiator   ZITAT(SkeeveDCD @ 22. November 2003, 15:20)15...   22.11.2003, 15:24
- - Gladiator   ZITAT(SkeeveDCD @ 22. November 2003, 15:17)Er...   22.11.2003, 15:42
- - SkeeveDCD   Na ich weiss nicht, wenn du Kaffee machst kann man...   22.11.2003, 15:51
- - Gladiator   ZITAT(SkeeveDCD @ 22. November 2003, 15:50)Na...   22.11.2003, 15:56
- - Nautilus   @JoJo "Also nur weil ein paar reverse engene...   22.11.2003, 17:30
- - Gladiator   ZITAT(Nautilus @ 22. November 2003, 17:29)Fra...   22.11.2003, 17:34
- - Nautilus   Und wo wir schon dabei sind, JoJo zu ärgern: Bei D...   22.11.2003, 17:39
- - Nautilus   Hmm...wenn Gladi darf, darf ich dann auch? hxxp:/...   30.11.2003, 00:21
- - Rokop   In Anbetracht der Tatsache, daß diese Tuts von den...   30.11.2003, 00:31
- - Nautilus   Ich bekomme in letzter Zeit öfters Emails in Bezug...   14.12.2003, 21:28
- - Catweazle   Was willst du damit bezwecken ? Eine diskrte E-ma...   14.12.2003, 21:35
- - Nautilus   Gegenfrage: Was willst mit "99 Kriegsminister...   14.12.2003, 21:45
- - Gladiator   Ich nehme an es handelt sich hierbei um mehrere hu...   14.12.2003, 21:52
- - Nautilus   @Gladi Gerade von Dir hätte ich etwas mehr Humor (...   14.12.2003, 22:01
- - Gladiator   Es geht hier weder um mich, noch um AntiVir sonder...   14.12.2003, 22:12
- - Nautilus   @Gladi Dass mit dem wilders topic missverstehst D...   14.12.2003, 22:23
- - Gladiator   ZITAT(Nautilus @ 14. December 2003, 22:22)@Gl...   14.12.2003, 22:32
- - Andreas Haak   Läuft aber dann ins Leere sobald Verschlüsselung b...   14.12.2003, 22:34
- - Nautilus   Ahh ... sehr gut. Das klingt schon viel konstrukti...   14.12.2003, 22:38
- - Nautilus   @Seltsam Wenn Du die Armadillo-Signatur anschaust,...   14.12.2003, 22:39
- - Gladiator   Was ist eigentlich mit EWIDO weil du die auf Wilde...   14.12.2003, 22:40
- - Nautilus   @Gladi Ich glaube, dass ewido eine richtige Emulat...   14.12.2003, 22:44
- - tobias   ZITATIch glaube, dass ewido eine richtige Emulatio...   14.12.2003, 23:03
- - Nautilus   So hab ich es ja auch bei Wilders geschrieben ;-)   14.12.2003, 23:05
- - Andreas Haak   ZITAT(Nautilus @ 14. December 2003, 22:38)@Se...   14.12.2003, 23:16
- - fish25   ZITATIch hatte halt überlegt, dass Unpacking mit B...   14.12.2003, 23:21
- - Nautilus   Im Prinzip stimme ich Dir ja zu, Seltsam. Aber wen...   14.12.2003, 23:22
- - Andreas Haak   Dann kannst die Datei aber auch in einer Sandbox s...   14.12.2003, 23:40
- - Nautilus   Dann nehme ich halt ACProtect ... *fg*   14.12.2003, 23:47
- - JoJo   Ich versteh nicht warum man gleich mit nem wandlun...   14.12.2003, 23:55
- - SkeeveDCD   ZITATDas Problem ist das Du eine Verschlüsselung n...   15.12.2003, 07:54
- - Andreas Haak   RE: Armadillo   15.12.2003, 10:11
- - vampire   ZITAT(Andreas Haak @ 14. December 2003, 23:39...   15.12.2003, 17:39
- - IBK   In den neuen DAILYDATS von McAfee wurde gerade der...   25.06.2004, 22:12
- - Nautilus   Und was bedeutet das jetzt? Das der Packer (sinnlo...   25.06.2004, 22:25
- - IBK   Habs nicht ausprobiert. Versuchs einfach mal und s...   25.06.2004, 22:33
- - Nautilus   Scanning D:\Desktop\McAfeeEngine\TE...   25.06.2004, 22:38
- - IBK   Danke für die schnelle Antwort. Welche Parameter h...   25.06.2004, 23:05
- - Nautilus   D:\Desktop\McAfeeEngine\Scan.exe te...   25.06.2004, 23:07
- - IBK   Versuch bitte mal mit folgender Befehlszeile (aus ...   25.06.2004, 23:12
- - Nautilus   Options: TESTDIR\*.* /RPTALL /!SERVER /MA...   25.06.2004, 23:23
- - IBK   ja...   25.06.2004, 23:26
- - Joerg   Was bewirkt der genau?   26.06.2004, 08:01
- - Nautilus   @Joerg Ich habe hier mal einige Tests mit dem Par...   30.06.2004, 07:04

« Vorhergehendes Thema · Trojaner, Viren und Würmer · Folgendes Thema »
 

Reply to this topicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 

Anzeige Modus: Wechsle zu: Standard · Wechsle zu: Thema+ · Überblick

Thema abonnieren · Dieses Thema versenden · Dieses Thema ausdrucken · Forum abonnieren

Vereinfachte Darstellung Aktuelles Datum: 29.06.2024, 21:29
Powered By IP.Board © 2024  IPS, Inc.
Licensed to: Rokop Security
Impressum