Armadillo Einstellungen

[Gast_Nautilus_*]

Armadillo ist ein kommerzieller Protector, mit dem man fast jeden Trojaner packen und crypten kann. Meines Wissens kann kein AV Scanner diesen Protector "durchleuchten", d.h. ein mit Armadillo geschützter Trojaner wird von Virenscannern nicht erkannt. (Ausnahme: McAfee, der hierfür aber unsichere Signaturen aus der .resc section verwendet und somit leicht ausgetrickst werden kann).

Im Moment kann man sich vor Armadillo somit nur mit Mem Scannern (z.B.: Trojan Hunter oder TDS-3) schützen.

In diversen Ratboards wird Armadillo nunmehr empfohlen und gleichzeitig eine gecrackte Version zum Download angeboten.

Ich finde es ziemlich merkwürdig, dass die AV Industrie es seit mehr als einem Jahr nicht schafft, eine statische Unpacking Routine für Armadillo zu entwickeln. Hatte Gladiator nicht in Bezug auf seinen GAV Armadillo-Unpacker bereits einen Entwicklungsstand von 85% vermeldet?

ntl

Der Beitrag wurde von Nautilus bearbeitet: 21.11.2003, 08:32

[Gast_Nautilus_*]

@Gladi

"Und WAS BITTESCHOEN erhoffst Du Dir mit diesem Thread im Rokop Forum ? "

Hab ich doch schon gesagt (und Du fragst schon zum zweiten Mal). Siehe oben.

"Das wir jetzt alle geschockt sind und sich zig User melden weil sie jetzt verunsichert sind ob sie vielleicht so einen Armadillo Trojaner auf dem PC haben ?"

Auch hier gilt: Siehe oben. (TH oder TDS-3 Trialversionen mit Memscanner haben mit Armadillo kein Problem. Also kein Grund in Panik zu verfallen.)

"Es gibt bei allen AV Herstellern gewisse PRIORITAETEN und die wirst Du lieber Nautilus und selbst wenn Du mit 20 Leuten bei den AV Firmen deswegen auf der Matte stehst auch nicht aendern. Und das hat nichts mit "Buerokratie" oder nicht wissen/koennen zu tun sondern einfach mit normalen Vorgaengen."

Ich habe kein grosses Problem damit, wenn ich insoweit "nichts ändern" kann. Die Welt dreht sich auch ohne mich oder Dich ganz gut.

"Ist das ein umfassendes Problem wenn eine AV Software - und sei es Kaspersky - einen mit Armadillo gecrypteten Trojaner nicht erkennt - NEIN."

Ich gebe Dir Recht. Aber wenn man diesen Gedanken konsequent zu Ende denkt, ist sich nicht replizierende Malware eigentlich nie ein sehr grosses Problem (Ausnahme: Tauschbörse, Usenet etc. als Infektionsvektor - siehe unten). Es trifft bei Trojanern oft nur relativ wenige Leute. Diejenigen, die es dann trifft, sind aber trotzdem dumm dran.

"Ist es ein Problem wenn eine AV Software Trojaner / Wuermer / Viren die ITW sind (und ich bin mal so frei und beziehe mich nicht nur auf das Wildlist gelistete Zeug, sondern auch das was man ueber Kazaa / Emule oder per IE Explorer Bug auf den Rechner gehaemmert bekommt) nicht erkennt ? JA.
Wie hoch ist den die Quote das ZIELGERICHTET Trojaner eingesetzt werden - die ist nicht so hoch wie Du glaubst."

Ich glaube gar nicht, dass der zielgerichte Einsatz (bezogen auf ein vorher bekanntes Opfer) so häufig ist.

" Und wie Stefan schon richtig schrieb - wenn es einer wirklich drauf abgesehen hat der kriegt das Teil egal ob mit oder ohne Armadillo sowieso undetected."

Das sind wir alle drei der gleichen Meinung.


"Da ich eine gute Auffassungsgabe besitze greife ich gleich Deinem naechsten Einwand vor - naemlich dass es damit relativ einfach ist ohne Wissen solchen Zeug undetected zu machen. ---> Trotzdem muessen die es dann noch irgendwie an den "Herrn / Frau" bringen. Und sobald das dann irgendwo in P2P oder als "gefaktes" Setup von Webseiten downloadbar ist wird es eh in die Signaturen eingepflegt. Weil dann ist es "ohne Probleme" zugaenglich und die Chance dass sich wirklich jemand mit dem Mist infiziert ist dann so gross, dass man hier wirklich von einer ernstzunehmenden Gefahr FUER DIESEN EINEN BACKDOOR TYPEN der mit Armadillo gecrypted wurde ausgeht. Und der wird dann ganz einfach gepackt eingepflegt. Fertig ist der Husten."

An Deinem Argument ist definitiv etwas dran. Wenn eine Tauschbörse als Infektionvektor dient und sich deshalb sehr viele User mit dem gleichen Trojaner infizieren, ist die Chance recht hoch, dass der Trojaner entdeckt und eine spezielle Signatur für ihn erstellt werden kann.

Wenn man einen Trojaner dagegen per Email an einzele Personen schickt oder ihn seinem Chatpartner "aufschwätzt", sieht die Sache schon anders aus.


"Weil ich koennte auch in's Ratboard latschen und dort eine Liste mit wenigstens paar hundert undetected Crypter/Binder/Packer posten. Anschliessend hat Kaspersky dann fast mehr Packer als Virussignaturen wenn man dort alles einpflegen will. Sollte Armadillo wirklich ein ERNSTHAFTES PROBLEM WERDEN so wird man dort zwangsweise reagieren. Den Zeitpunkt legst aber nicht Du fest Nautilus."

Kann es sein, dass Du nur sauer bist, weil Du den Eindruck hast, dass ich Dir oder anderen Vorschriften machen will?

"Auch nicht dann wenn es bereits 1000 Backdoors mit Armadillo gibt. Weil solange es die in Script Kiddie Samlungen gibt interessiert das keine Sau. Koennen die sich halt freuen dass sie einen undected Server haben. Ich habe jedenfalls bisher so gut wie noch nie die ernsthafte Backdoor / Trojaner "Armadillo-Schwemme" gehabt, und glaub mir ich analysiere sehr viel Malware."

Insoweit liegen wir wohl nicht weit auseinander. Weder Du, noch ich behaupten, dass es eine regelrechte Armadillo-Schwemme geben wird.

Wo wir unterschiedlicher Meinung sind, ist wohl die Frage, ob es sich lohnt, auch eine - im Vergleich zu Virusattacken - relativ kleine Zahl von Personen zu schützen.


Gruss,

Nautilus

P.S.: Welche Laus ist Dir schon wieder über die Leber gelaufen? Warum ärgert Dich mein Posting so?

Der Beitrag wurde von Nautilus bearbeitet: 22.11.2003, 15:00