Was schützt vor PE Packern, AV, Verhaltensblocker oder HIPS? Einstellungen

[subset]

Hi,

ich habe das MULTI ADMIN TOOL (Multi-Admin-Tool.exe) aus dem Thread
http://www.rokop-security.de/index.php?showtopic=16627
genommen und mit drei verschiedenen PE Packern komprimiert:

• MAT_Upack.exe wurde mit WinUpack erstellt.
• MAT_PEC2.exe wurde mit PECompact v2 erstellt.
• MAT_ PeP.exe wurde mit dem Private exe Protector erstellt.

An diesen PE Packern ist an sich nichts Illegales oder Verwerfliches, sie dienen primär zum Schutz gegen Reverse Engineering, Analyse, Veränderung, Cracking oder einfach nur zur Komprimierung.

Sehr beliebt sind sie aber eben auch bei Malware Herstellern, um die Erkennung durch AVs zu erschweren (gewöhnliche Packer) bzw. nahezu unmöglich zu machen (private Packer).

Die von mir gepackten Dateien habe ich unter XP alle auf ihre Lauffähigkeit hin untersucht.
Funktioniert haben alle, nur bei der MAT_ PeP.exe (Private exe Protector) kommt beim Start ein Hinweisfenster (wurde mit der Trialversion von Private exe Protector erstellt).
Dieses Fenster ist mit OK zu bestätigen, dann wird der Trojaner aber ganz normal ausgeführt.

Die folgenden Aussagen über einzelne Programme beziehen sich natürlich nur auf diesen Tests.

Erster Versuch: wie verhalten sich AVs bei diesen PE Packern?

Ich habe die vier Dateien (Multi-Admin-Tool.exe, MAT_Upack.exe, MAT_PEC2.exe und MAT_ PeP.exe) bei Virustotal.com hochgeladen und untersuchen lassen.
Die Kommandozeilen Scanner dort sind zwar nicht die zuverlässigsten, aber im Schnitt wird sich das ziemlich ausgleichen.
Nur über vereinzelte Anomalien sollte man sich keine grauen Haare wachsen.
Von 32 Scannern untersucht ergibt das also 128 Ergebnisse, vier mal fehlte ein Scanner, bleiben also 124 konkrete Ergebnisse für die Auswertung.

 VirusTotal.png ( 67.04KB ) Anzahl der Downloads: 143


Grün: der Trojaner wurde erkannt bzw. auch gepackt als genau dieser Trojaner erkannt.
36 von 124 entspricht 29 % Erkennungsrate.
Alle vier Dateien erkannte kein AV als gleichen Trojaner, bei dreimal Grün kann man also von einem soliden Packer Support ausgehen.
Das ist bei dem Test mit AVG, BitDefender, DrWeb, F-Secure, Kaspersky und VBA32 der Fall, aber selbst bei diesen reichte ein kommerzieller(!) Packer wie der Private exe Protector für die Täuschung von mehr als der Hälfte dieser AVs, drei von fünf erkannten nichts mehr.

Gelb: es wurde etwas erkannt, aber was im Speziellen erkannt wurde, ist hier äußerst fragwürdig.
31 von 124 entspricht 25 % Erkennungsrate.
Avira oder Sophos sind nach diesem Test anscheinend frei von jeglichem echten Packer Support, nur die Multi-Admin-Tool.exe wird nach der Signatur erkannt.
Alle gepackten Varianten werden aber in diesem Fall anscheinend nach der Methode: "is a Packer is böse" behandelt und somit eine vorgeblich hohe Erkennungsleistung mit äußerst unsauberen und fragwürdigen Methoden quasi erschwindelt.
Die Folge sind sicher jede Menge FP bei gepackten Anwendungen.
Kurios auch Panda: hier wird überhaupt jede Datei als verdächtig bewertet, deswegen auch alles gelb, weil Panda offensichtlich kein einziges Schadprogramm anhand der Signatur erkennen konnte.
McAfee, Symantec und VirusBuster finden auch ohne Signaturerkennung der Multi-Admin-Tool.exe jeweils eine Variante verdächtig, anscheinend wieder der "böse Packer" Effekt.
Das Ergebnis von Symantec habe ich mit NAV selbst nachgeprüft, nur die MAT_ PeP.exe wird als Schadprogramm gebrandmarkt, warum auch immer.
Ergebis aus dem NAV Protokoll: Packed.Generic.52, Virus-ID: 19137, Typ: Anomalie, Risiko: Gering (Gering Stealth, Gering Entfernen, Gering Leistung, Gering Datenschutz), Kategorien: Heuristikvirus.
Nix genaues weiß man nicht und so werden viele gelbe "Treffer" bei anderen AVs auch zustande kommen.

Rot: überhaupt nichts gefunden bzw. in der gepackten Datei nichts mehr gefunden.
57 von 124 entspricht 46 % Versagen.
NOD32 findet selbst an der Multi-Admin-Tool.exe nichts verdächtiges, obwohl ich die Datei schon lange bei denen hochgeladen habe, auch der Rest wird ignoriert.
Ähnliches gilt auch für avast!, gepackte Dateien werden vollkommen vernachlässigt.
Insgesamt ist das Ergebnis hier wenig vertrauenerweckend, mit sinkender Bekanntheit der PE Packer sinkt auch die Erkennungsrate der AVs.
Bei der mit dem Private exe Protector erzeugten MAT_ PeP.exe sind es gerade noch 8 von 29 AVs, also rund 28 %, die überhaupt noch irgendetwas erkennen.
Das ist dann aber peinlicherweise offensichtlich nur das bloße Vorhandensein eines Packers.
Wie schon gesagt: "is a Packer is böse".
Das Packen und Hochladen der Notepad.exe führt sicher zu einer ähnlichen Erkennungsrate.

Zusammenfassung:
In fast der Hälfte aller Fälle würde das Unglück seinen Lauf nehmen.
Ein Viertel wird mit mehr oder weniger unseriösen Tricksereien erkannt, leider wird hier sicher oft das Kind mit dem Bad ausgeschüttet.
Etwas mehr als ein Viertel wird erkannt bzw. eindeutig durch den Packer Support der AVs erkannt, wie es eigentlich sein soll.

Zweiter Versuch: wie verhalten sich Verhaltensblocker bei diesen PE Packern?

Getestet habe ich Antibot und ThreatFire und um es kurz zu machen, beide lassen sich durch die Packer überhaupt nicht beeindrucken.
Das liegt an ihrer Funktionsweise, sie suchen (mit einer Ausnahme...) nicht nach einer bekannten Signatur in einer Datei sondern erkennen gefährliches Verhalten von Anwendungen.
Deswegen spielt der verwendete Packer hier eigentlich überhaupt keine Rolle, weil nämlich nach dem Start der Anwendung immer das gleiche passiert:
Die Multi-Admin-Tool.exe (bzw. deren gepackte Varianten) erstellt eine multiadmin.exe im TEMP Verzeichnis, diese wird gestartet und erzeugt das erwartete Programmfenster.
Dann wird der eigentliche Trojaner, die sys32.exe im SYSTEM32 Verzeichnis erstellt, gestartet und verseucht den Windows Explorer.

Antibot erkennt die Gefahr in allen vier Varianten.

 Antibot.png ( 21.51KB ) Anzahl der Downloads: 71


Das fast gleiche Ergebnis mit ThreatFire, das Programm erkennt nur einmal Upack als Virus...

 ThreatFire.png ( 37.55KB ) Anzahl der Downloads: 55


Zusammenfassung:
Sobald Antibot oder ThreatFire an den beabsichtigten Vorgängen einer Anwendung etwas Schädliches erkennen, ist es vollkommen egal wie die Anwendung ursprünglich gepackt war.

Weiter mit den HIPS

[subset]

Dritter Versuch: wie verhalten sich klassische HIPS bei diesen PE Packern?

Eher eine pro forma Angelegenheit, ähnlich wie bei Verhaltensblockern ist ihnen die „Verpackung“ egal.
Sie weisen mehrfach auf das fragwürdige Verhalten der Anwendung hin.
Zur Demonstration habe ich hier Online Armor genommen, mit Comodo D+, EQSecure, ProSecurity oder System Safety Monitor würde man aber zu recht ähnlichen Ergebnissen kommen.

 OnlineArmor.gif ( 110.51KB ) Anzahl der Downloads: 59


Nur am Rande, bei den Fenstern von OA sieht man auch, dass der Experte bei seinem Multi-Admin-Tool nicht in Lage war, das Originalicon der Anwendung für seine fragwürdige Kreation zu erhalten.

Zusammenfassung:
Ob gepackt oder nicht, HIPS bieten mehrfach Gelegenheit ein solches Schadprogramm zu stoppen, man muss es nur im Wesentlichen selbst entscheiden wann.

MfG

[Gast_Jacomofive_*]

Was soll man dazu sagen Super gemacht von Dir = DANKE

[raman]

Alle gepackten Varianten werden aber in diesem Fall anscheinend nach der Methode: "is a Packer is böse" behandelt und somit eine vorgeblich hohe Erkennungsleistung mit äußerst unsauberen und fragwürdigen Methoden quasi erschwindelt.

Nein, die Erkennung wurde nicht erschwindelt, sondern es wurde das gemeldet, was die Datei ist, naemlich hochgradig verdaechtig. An Dateien rumzupatchen, zu packen und was weiss ich noch alles, ist mehr als verdaechtig. Kein seriöser Programmierer macht sowas. Wozu soll man an solcher gepatchter Malware die knappen wertvollen Resourcen verschwenden, wenn man nur den (modifizierten)Packer erkennen braucht um die Malware zu erkennen?

[Voyager]

False Positives sind sicher ärgerlich für große AntivirenScanner weil durch hohe Verbreitung kann auch großer Schaden entstehen , siehe die Newsmeldungen wenn die AV-Scanner wiedermal das Windows schrotten. Auf der anderen Seite finde ich das sehr unpassend wenn man eine korrekte Virenerkennung überhaupt als "unseriöse Tricksereie" abstempelt , die Hacker Cracker und Malwareschreiber "tricksen" indem Sinne doch auch nur rum wenn Sie ihre "alten Werke" einfach mit einem Packer Neu um- und einpacken und wieder unter die Leute schmeissen, warum schaffen die nichts neues und schieben den schwarzen Peter nur zu den Antivirenscannern ? siehe die letzte preisprämierte Hackerveranstaltung wo man sich nur über AV-Scanner lustig machen wollte indem man einfach Tonnenweise neue Virenprogramme erzeugt http://www.winfuture.de/news,39080.html ,

Der Beitrag wurde von bond7 bearbeitet: 02.05.2008, 22:22

[Tanzbaer]

Sehr geniale Arbeit subset, vor allem sehr interessant. 10 Punkte

[dragonmale]

Hallo subset,
irgendwie kann ich deinen Testaufbau nicht so ganz nachvollziehen. Du schreibst hier z.B. über die AV's folgendes:

Zusammenfassung:
In fast der Hälfte aller Fälle würde das Unglück seinen Lauf nehmen.
Ein Viertel wird mit mehr oder weniger unseriösen Tricksereien erkannt, leider wird hier sicher oft das Kind mit dem Bad ausgeschüttet.
Etwas mehr als ein Viertel wird erkannt bzw. eindeutig durch den Packer Support der AVs erkannt, wie es eigentlich sein soll.

Wie kommst du zu diesen Schlussfolgerungen? Im Gegensatz zu den anderen zwei Testszenarien durften die Kandidaten hier doch gar nicht On-Access gegen deine Dateien antreten ... wenn schon, denn schon

[subset]

Nein, die Erkennung wurde nicht erschwindelt, sondern es wurde das gemeldet, was die Datei ist, naemlich hochgradig verdaechtig. An Dateien rumzupatchen, zu packen und was weiss ich noch alles, ist mehr als verdaechtig. Kein seriöser Programmierer macht sowas. Wozu soll man an solcher gepatchter Malware die knappen wertvollen Resourcen verschwenden, wenn man nur den (modifizierten)Packer erkennen braucht um die Malware zu erkennen?

Dem Schluss Packer=Malware kann ich leider nicht ganz folgen.
Antivirenprogramme sollen Malware erkennen und nicht harmlose Shareware Autoren ruinieren, indem sie deren Programmdateien als Malware abstempeln.
Sharewareautoren haben ein legitimes Recht ihre ausführbaren Dateien etwa durch Verschlüsselung und das Hinzufügen einer Triallaufzeit zu schützen.

Und wenn es reicht, die Packer zu erkennen, warum machen sich z. B. die bei Kaspersky die Mühe tausende Packer zu erkennen und entpacken zu können?
Im Avira Forum ist ein zwei Jahre alter Thread zu finden, in dem Stefan Kurtzhals bekennt:
"We know about the importance of runtime packers and crypters. But adding a new unpacker takes a considerable amount of time. How do you think we should add the 2000-3000 packers that KAV supports? With a finger snap?"
http://forum.avira.com/thread.php?threadid=22082
Offene Worte, die später zwar relativiert werden, aber doch erkennen lassen, dass so mancher AV Hersteller gerne über die Fähigkeiten der Konkurrenz verfügen würde.
In der Öffentlichkeit wird das natürlich meist anders dargestellt.
Was man nicht kann ist sowieso nicht wichtig zu können und was man kann wird gnadenlos übertrieben in den Himmel gelobt.

Wie kommst du zu diesen Schlussfolgerungen? Im Gegensatz zu den anderen zwei Testszenarien durften die Kandidaten hier doch gar nicht On-Access gegen deine Dateien antreten ... wenn schon, denn schon

Ich hab nur geschrieben, es würde das Unglück seinen Lauf nehmen.
Wo der Lauf endet habe ja ich nicht geschrieben
Natürlich hast du recht, vielleicht hätte das eine oder andere AV noch im Speicher oder anhand der erzeugten Dateien etwas erkannt.
Aber ich dachte mir, wenn von AV-Comparatives und AV-Test On Demand Tests akzeptiert werden, dann wird man wohl bei mir auch ein Auge zudrücken

MfG

[dragonmale]

Aber ich dachte mir, wenn von AV-Comparatives und AV-Test On Demand Tests akzeptiert werden, dann wird man wohl bei mir auch ein Auge zudrücken

-> war auch nur als (allgemeine) Anregung gedacht ...

[Gast_Scrapie_*]

An Dateien rumzupatchen, zu packen und was weiss ich noch alles, ist mehr als verdaechtig. Kein seriöser Programmierer macht sowas.

Hi

Kann ich nicht zustimmen.
Viele Programmierer nutzen Packer und Crypter um ihre Software mit einem Lizenzsystem auszustatten und gleichzeitig vor Crackern zu schützen. Nur ein Bsp.: FixFoto ist mit Armadillo geschützt und regelt dadurch seine Lizenzen. Prompt hatten ein paar AVs einige Versionen in der Vergangenheit als Malware erkannt. Entweder aus Uneinsicht das nicht jeder Packer böse ist oder aus mangelhafter Unpackengine. Gleiches sehen wir immer wieder mit FP bei Programmen, die auf externe Setupprogramme zurückgreifen, wie etwa Inno-Setup.


Scrapie

[raman]

Dem Schluss Packer=Malware kann ich leider nicht ganz folgen.
Antivirenprogramme sollen Malware erkennen und nicht harmlose Shareware Autoren ruinieren, indem sie deren Programmdateien als Malware abstempeln.

Du musst differenzieren. Nicht jede gepackte Datei ist Malware, aber 99 % aller mit einem bestimmten Packer gepackte Dateien sind es.
So zum Beispiel macht sich KAV nicht die grosse Muehe so gepackte Dateien zu entpacken. Siehe: http://www.viruslist.com/en/find?words=pac...&kl_only=on

Es haengt halt von verschiedenen Dingen ab, wie AVs Packer behandeln. Webwasher meldet so gut wie alles, da sie eine andere Kundschaft, bzw anspruch haben. Sophos zum Beispiel meldet auch extrem viel, obwohl sie technisch in der Lage waeren genauer zu unterscheiden. Da deren Kundschaft ebenfalls hauptsaechlich Firmen sind, koennen sie halt einen etwas aggressieveren Weg gehen.

Antivir meldet auch nicht stumpf irgendwelche (modifizierten)Packer.

Und wenn es reicht, die Packer zu erkennen, warum machen sich z. B. die bei Kaspersky die Mühe tausende Packer zu erkennen und entpacken zu können?

Inzwischen bin ich etwas ab von der "entpacke alles und die Erkennung steigt um XX %, Entpacken ist nicht alles und zu dieser Erkenntniss iswt KAV wohl auch teilweise gekommen(sieh virustlist.com Link). Man kann die eigenen Ressourcen anders besser einsetzen.

"aber doch erkennen lassen, dass so mancher AV Hersteller gerne über die Fähigkeiten der Konkurrenz verfügen würde.

Natuerlich wuerden einige Hersteller schon gerne Techniken einsetzen koennen, wie andere, nur dauert das meistens laenger und haengt auch von der Manpower einiger Firmen ab.

Der Trend wird wohl zu HIPS/IDS und fuer den Scanner auf Emulation hinauslaufen. Zeit fuer die Entwicklung einzelner Entpacker werden nur wenige opfern. Aber vieleicht seh ich das auch falsch.

[Andreas Haak]

Ich glaub wir sollten dann doch unterscheiden. Armadillo zu "blacklisten" ist wahrscheinlich etwas übertrieben, genauso wie auch kein AV Hersteller auf die Idee kommen wird UPX zu blacklisten. Es gibt durchaus eine ganze Reihe legitimer Packer/Crypter und die meisten von denen triggern für sich genommen eher keine generische Erkennungen, außer man schaltet die AV Software auf maximale Heuristik oder aktiviert Packersignaturen. Zumindest dann wenn man von Scannern wie Sophos oder Fortinet z.B. absieht. Allerdings gibt es Packer/Crypter, die ausschließlich für Malware entwickelt wurden oder aber zu 99,99% ausschließlich von Malware verwendet werden, wie z.B. TIBS, UPoly, y0da, Morphine oder aber diese ganzen hübschen Scrambler Tools die bestehende Packer/Crypter Stubs modifizieren bzw. falsche vortäuschen. Ich mein ganz ehrlich: Die einzige andere Anwendergruppe, die solche Programme sonst noch verwendet, besteht aus weltfremde Idealisten, die notepad.exe damit behandeln, um sich danach in Foren in Form unglaublicher Enthüllungsthreads darüber aufregen zu können. Man kann übrigens genauso gut 0-Byte-Bereiche in notepad.exe mit Malwaresignaturen füllen und sich dann daran aufziehen, wie unfähig doch alle sind. Ist doch nur ne Datei die ich bewusst modifiziert habe mit dem Ziel Fehlalarme zu produzieren. Das hät so ne AV Software aber schön abfangen können. Ob es jetzt winhex.exe war oder morphine.exe ist doch dann schon egal.

Davon abgesehen sagt der Test übrigens absolut gar nichts aus. Nur weil Scanner X Malware Y mit ihrem Namen erkennt, heißt es nicht das Scanner X den Packer Z mit dem Malware Y behandelt wurde, auch entpacken kann. Es war (und ist vielleicht immer noch) in vielen Analyseabteilungen Gang und Gebe direkt gepackte Samples mit einzupflegen, die man entweder selbst erstellt oder aber alternativ über die diversen Bezugsquellen zugespielt bekommt.

Randnotiz 1:
Das von subset vorgeschlagene notepad.exe für solche Tests zu benutzen ist recht unintelligent. Man glaubt es nicht aber es soll AV Tools geben, die Dateien, die laut Versionsinformationen von Microsoft stammen aber gepackt sind, melden. Microsoft packt - mit extrem wenigen Ausnahmen - seine Executables nicht mit Runtime Packern oder Cryptern. Genauso gab es auch mal Heuristiken die Datei geflagt haben, die angeblich von Microsoft stammen aber mit Borland Entwicklungstools compiliert wurden. Beides legitime Erkennungen, die man mit einem notepad.exe Experiment triggern kann.

Randnotiz 2:
Ich hab gleich die nächste große Enthüllung für subset. Wenn ich notepad.exe in picture.jpg.exe umbenenn und in ein Archiv stecke, melden da ein paar Heuristiken die doppelte Endung. OMG!!

Randnotiz 3:
Ich halte auch die in Randnotiz 2 erwähnte Heuristik für durchaus legitim.

Der Beitrag wurde von Andreas Haak bearbeitet: 03.05.2008, 11:59

[SkeeveDCD]

Ich bin mit der Erkennung von AntiVir bei der EXE voll zufrieden. Passt. Ralf, der eine war ATRAPS. ;-)

Es ist völlig abwegig, auf diese Art testen zu wollen, ob AV-Programme einen bestimmten Packer entpacken können oder nicht.

Überhaupt, die ganze Diskussion ist derart weit ab von der Realität was an der "Front" abgeht, naja.
Lassen wir den Leuten ihren Spass. Es gibt wichtigeres zu tun.

Andreas, da hast du aber kein original NOTEPAD.EXE genommen? Das wird nicht mit Doppel-Extension gemeldet.

Der Beitrag wurde von SkeeveDCD bearbeitet: 03.05.2008, 12:21

[Andreas Haak]

Doch ist die Original Datei von Windows Vista Workstation SP1. Allerdings stammt sie von der x64 Version. Ich habs mal angehängt.

Der Beitrag wurde von Andreas Haak bearbeitet: 03.05.2008, 12:26

Angehängte Datei(en)

 picture.jpg.rar ( 124.37KB ) Anzahl der Downloads: 16

 

[SkeeveDCD]

Kriege ich auch keine Meldung hin mit AV7 Cmdline oder AV8 GUI. Hm. Evtl. spackt da die Linux Version rum?

[Andreas Haak]

Benutzt virustotal nicht Windows Server? Oder haben sie auch Linux Rechner in ihrem Scan Cluster mittlerweile? Jotti spuckt übrigens ein ähnliches Ergebnis aus beim Upload des Archivs. Evtl. scannst Du die entpackte Datei und nicht das Archiv? Die entpackte Datei wird auch bei mir nicht gemeldet. Nur beim Scan des Archivs kommt die Erkennung.

[subset]

Armadillo zu "blacklisten" ist wahrscheinlich etwas übertrieben, genauso wie auch kein AV Hersteller auf die Idee kommen wird UPX zu blacklisten.

Armadillo... ein kleines Beispiel wie es auch damit leicht zu Kollateralschäden kommen kann.
Im Forum von StorageCraft wurde für ShadowProtect nach Scripten gefragt und diese wurden auch prompt von einem Mitarbeiter zusammengestellt.
http://forum.storagecraft.com/Community/fo...spx?PageIndex=1
Mit enthalten ist die sbhard.exe zum Überprüfen von Images.
Mit Armadillo geschützt.

Der VirusTotal Scan kommt zu folgendem Ergebnis:
http://www.virustotal.com/de/analisis/2c3e...a41615bf417e0cc
Kaspersky meldet nichts.

Das AVPTool von Kaspersky erkennt Armadillo, findet die Datei aber nicht verdächtig.

 avptool.png ( 21.99KB ) Anzahl der Downloads: 32


KIS 7 und 2009 Beta melden einen Trojaner, beide in den Standardeinstellungen.

 kis7.png ( 9.5KB ) Anzahl der Downloads: 30


Etwas uneinheitlich die ganzen Ergebnisse.
Selbst bei Kaspersky.

MfG

[diddsen]

Überhaupt, die ganze Diskussion ist derart weit ab von der Realität was an der "Front" abgeht, naja.
Es gibt wichtigeres zu tun.

da hast du wohl recht, wenn ich mich so im aviraforum umschaue zu der "neuen" V8
das habt ihr mehr als genug arbeit. für der schlechteste version aller zeiten

Der Beitrag wurde von diddsen bearbeitet: 03.05.2008, 19:41

[Andreas Haak]

Naja, das ist aber keine von Kaspersky gewollte Packererkennung so wie Du sie kritisierst, sondern ein "stink normaler" Fehlalarm. Das sind schon zwei paar Schuhe. Ist ja nicht so als würd KAV die Datei als schadhaft deklarieren, weil sie mit Armadillo gepackt ist. Sie wird als schadhaft deklariert, weil sie die wohl doch nicht ganz so eindeutige Signatur des genannten Backdoors enthält. Armadillo z.B. wurde von KAV erst relativ spät ins Unpacking aufgenommen. Entsprechend wurden einige von Leuten eingesandte, mit Armadillo gepackte Samples wahrscheinlich in gepackter Form eingepflegt. Die dabei entstandenen Signaturen passen jetzt evtl. auch auf andere mit Armadillo gepackte Anwendungen, so daß es diesen Fehlalarm gibt. Ich bezweifle aber wie gesagt ernsthaft, daß es so gewollt ist. Ist allerdings nur eine Vermutung meinerseits. Etwas Definitives dazu wird Dir aber nur ein Kaspersky Mitarbeiter mitteilen können.

Der Beitrag wurde von Andreas Haak bearbeitet: 03.05.2008, 15:47

[Domino]

Das AVPTool von Kaspersky erkennt Armadillo, findet die Datei aber nicht verdächtig.

Es handelt sich um einen signaturbasierten Fehlalarm von Kis, welches AVPTool hast du benutzt ?


Domino

Der Beitrag wurde von Domino bearbeitet: 03.05.2008, 19:00