![]() |
Willkommen, Gast ( Anmelden | Registrierung )
![]() |
Gast_Nautilus_* |
![]()
Beitrag
#1
|
Gäste ![]() |
Armadillo ist ein kommerzieller Protector, mit dem man fast jeden Trojaner packen und crypten kann. Meines Wissens kann kein AV Scanner diesen Protector "durchleuchten", d.h. ein mit Armadillo geschützter Trojaner wird von Virenscannern nicht erkannt. (Ausnahme: McAfee, der hierfür aber unsichere Signaturen aus der .resc section verwendet und somit leicht ausgetrickst werden kann).
Im Moment kann man sich vor Armadillo somit nur mit Mem Scannern (z.B.: Trojan Hunter oder TDS-3) schützen. In diversen Ratboards wird Armadillo nunmehr empfohlen und gleichzeitig eine gecrackte Version zum Download angeboten. Ich finde es ziemlich merkwürdig, dass die AV Industrie es seit mehr als einem Jahr nicht schafft, eine statische Unpacking Routine für Armadillo zu entwickeln. Hatte Gladiator nicht in Bezug auf seinen GAV Armadillo-Unpacker bereits einen Entwicklungsstand von 85% vermeldet? ntl Der Beitrag wurde von Nautilus bearbeitet: 21.11.2003, 08:32 |
|
|
![]() |
Gast_Gladiator_* |
![]()
Beitrag
#2
|
Gäste ![]() |
ZITAT(Nautilus @ 22. November 2003, 10:57) Ich meine daher, dass ich das Thema Armadillo weder zu früh, noch zu spät angesprochen habe. Aber das ist natürlich immer Ansichtssache. Und WAS BITTESCHOEN erhoffst Du Dir mit diesem Thread im Rokop Forum ? Das wir jetzt alle geschockt sind und sich zig User melden weil sie jetzt verunsichert sind ob sie vielleicht so einen Armadillo Trojaner auf dem PC haben ? Es gibt bei allen AV Herstellern gewisse PRIORITAETEN und die wirst Du lieber Nautilus und selbst wenn Du mit 20 Leuten bei den AV Firmen deswegen auf der Matte stehst auch nicht aendern. Und das hat nichts mit "Buerokratie" oder nicht wissen/koennen zu tun sondern einfach mit normalen Vorgaengen. Ist das ein umfassendes Problem wenn eine AV Software - und sei es Kaspersky - einen mit Armadillo gecrypteten Trojaner nicht erkennt - NEIN. Ist es ein Problem wenn eine AV Software Trojaner / Wuermer / Viren die ITW sind (und ich bin mal so frei und beziehe mich nicht nur auf das Wildlist gelistete Zeug, sondern auch das was man ueber Kazaa / Emule oder per IE Explorer Bug auf den Rechner gehaemmert bekommt) nicht erkennt ? JA. Wie hoch ist den die Quote das ZIELGERICHTET Trojaner eingesetzt werden - die ist nicht so hoch wie Du glaubst. Und wie Stefan schon richtig schrieb - wenn es einer wirklich drauf abgesehen hat der kriegt das Teil egal ob mit oder ohne Armadillo sowieso undetected. Da ich eine gute Auffassungsgabe besitze greife ich gleich Deinem naechsten Einwand vor - naemlich dass es damit relativ einfach ist ohne Wissen solchen Zeug undetected zu machen. ---> Trotzdem muessen die es dann noch irgendwie an den "Herrn / Frau" bringen. Und sobald das dann irgendwo in P2P oder als "gefaktes" Setup von Webseiten downloadbar ist wird es eh in die Signaturen eingepflegt. Weil dann ist es "ohne Probleme" zugaenglich und die Chance dass sich wirklich jemand mit dem Mist infiziert ist dann so gross, dass man hier wirklich von einer ernstzunehmenden Gefahr FUER DIESEN EINEN BACKDOOR TYPEN der mit Armadillo gecrypted wurde ausgeht. Und der wird dann ganz einfach gepackt eingepflegt. Fertig ist der Husten. Weil ich koennte auch in's Ratboard latschen und dort eine Liste mit wenigstens paar hundert undetected Crypter/Binder/Packer posten. Anschliessend hat Kaspersky dann fast mehr Packer als Virussignaturen wenn man dort alles einpflegen will. Sollte Armadillo wirklich ein ERNSTHAFTES PROBLEM WERDEN so wird man dort zwangsweise reagieren. Den Zeitpunkt legst aber nicht Du fest Nautilus. Auch nicht dann wenn es bereits 1000 Backdoors mit Armadillo gibt. Weil solange es die in Script Kiddie Samlungen gibt interessiert das keine Sau. Koennen die sich halt freuen dass sie einen undected Server haben. Ich habe jedenfalls bisher so gut wie noch nie die ernsthafte Backdoor / Trojaner "Armadillo-Schwemme" gehabt, und glaub mir ich analysiere sehr viel Malware. Und die These die User koennen es ja bereits schon drauf haben ohne dass sie es wissen zaehlt nicht und faellt aus wegen dichtem Bodennebel. Denn dieser Prozentsatz ist verschwindend gering den das betrifft. |
|
|
![]() ![]() |
Vereinfachte Darstellung | Aktuelles Datum: 29.06.2024, 21:29 |