Was schützt vor PE Packern, AV, Verhaltensblocker oder HIPS? Einstellungen

[subset]

Hi,

ich habe das MULTI ADMIN TOOL (Multi-Admin-Tool.exe) aus dem Thread
http://www.rokop-security.de/index.php?showtopic=16627
genommen und mit drei verschiedenen PE Packern komprimiert:

• MAT_Upack.exe wurde mit WinUpack erstellt.
• MAT_PEC2.exe wurde mit PECompact v2 erstellt.
• MAT_ PeP.exe wurde mit dem Private exe Protector erstellt.

An diesen PE Packern ist an sich nichts Illegales oder Verwerfliches, sie dienen primär zum Schutz gegen Reverse Engineering, Analyse, Veränderung, Cracking oder einfach nur zur Komprimierung.

Sehr beliebt sind sie aber eben auch bei Malware Herstellern, um die Erkennung durch AVs zu erschweren (gewöhnliche Packer) bzw. nahezu unmöglich zu machen (private Packer).

Die von mir gepackten Dateien habe ich unter XP alle auf ihre Lauffähigkeit hin untersucht.
Funktioniert haben alle, nur bei der MAT_ PeP.exe (Private exe Protector) kommt beim Start ein Hinweisfenster (wurde mit der Trialversion von Private exe Protector erstellt).
Dieses Fenster ist mit OK zu bestätigen, dann wird der Trojaner aber ganz normal ausgeführt.

Die folgenden Aussagen über einzelne Programme beziehen sich natürlich nur auf diesen Tests.

Erster Versuch: wie verhalten sich AVs bei diesen PE Packern?

Ich habe die vier Dateien (Multi-Admin-Tool.exe, MAT_Upack.exe, MAT_PEC2.exe und MAT_ PeP.exe) bei Virustotal.com hochgeladen und untersuchen lassen.
Die Kommandozeilen Scanner dort sind zwar nicht die zuverlässigsten, aber im Schnitt wird sich das ziemlich ausgleichen.
Nur über vereinzelte Anomalien sollte man sich keine grauen Haare wachsen.
Von 32 Scannern untersucht ergibt das also 128 Ergebnisse, vier mal fehlte ein Scanner, bleiben also 124 konkrete Ergebnisse für die Auswertung.

 VirusTotal.png ( 67.04KB ) Anzahl der Downloads: 143


Grün: der Trojaner wurde erkannt bzw. auch gepackt als genau dieser Trojaner erkannt.
36 von 124 entspricht 29 % Erkennungsrate.
Alle vier Dateien erkannte kein AV als gleichen Trojaner, bei dreimal Grün kann man also von einem soliden Packer Support ausgehen.
Das ist bei dem Test mit AVG, BitDefender, DrWeb, F-Secure, Kaspersky und VBA32 der Fall, aber selbst bei diesen reichte ein kommerzieller(!) Packer wie der Private exe Protector für die Täuschung von mehr als der Hälfte dieser AVs, drei von fünf erkannten nichts mehr.

Gelb: es wurde etwas erkannt, aber was im Speziellen erkannt wurde, ist hier äußerst fragwürdig.
31 von 124 entspricht 25 % Erkennungsrate.
Avira oder Sophos sind nach diesem Test anscheinend frei von jeglichem echten Packer Support, nur die Multi-Admin-Tool.exe wird nach der Signatur erkannt.
Alle gepackten Varianten werden aber in diesem Fall anscheinend nach der Methode: "is a Packer is böse" behandelt und somit eine vorgeblich hohe Erkennungsleistung mit äußerst unsauberen und fragwürdigen Methoden quasi erschwindelt.
Die Folge sind sicher jede Menge FP bei gepackten Anwendungen.
Kurios auch Panda: hier wird überhaupt jede Datei als verdächtig bewertet, deswegen auch alles gelb, weil Panda offensichtlich kein einziges Schadprogramm anhand der Signatur erkennen konnte.
McAfee, Symantec und VirusBuster finden auch ohne Signaturerkennung der Multi-Admin-Tool.exe jeweils eine Variante verdächtig, anscheinend wieder der "böse Packer" Effekt.
Das Ergebnis von Symantec habe ich mit NAV selbst nachgeprüft, nur die MAT_ PeP.exe wird als Schadprogramm gebrandmarkt, warum auch immer.
Ergebis aus dem NAV Protokoll: Packed.Generic.52, Virus-ID: 19137, Typ: Anomalie, Risiko: Gering (Gering Stealth, Gering Entfernen, Gering Leistung, Gering Datenschutz), Kategorien: Heuristikvirus.
Nix genaues weiß man nicht und so werden viele gelbe "Treffer" bei anderen AVs auch zustande kommen.

Rot: überhaupt nichts gefunden bzw. in der gepackten Datei nichts mehr gefunden.
57 von 124 entspricht 46 % Versagen.
NOD32 findet selbst an der Multi-Admin-Tool.exe nichts verdächtiges, obwohl ich die Datei schon lange bei denen hochgeladen habe, auch der Rest wird ignoriert.
Ähnliches gilt auch für avast!, gepackte Dateien werden vollkommen vernachlässigt.
Insgesamt ist das Ergebnis hier wenig vertrauenerweckend, mit sinkender Bekanntheit der PE Packer sinkt auch die Erkennungsrate der AVs.
Bei der mit dem Private exe Protector erzeugten MAT_ PeP.exe sind es gerade noch 8 von 29 AVs, also rund 28 %, die überhaupt noch irgendetwas erkennen.
Das ist dann aber peinlicherweise offensichtlich nur das bloße Vorhandensein eines Packers.
Wie schon gesagt: "is a Packer is böse".
Das Packen und Hochladen der Notepad.exe führt sicher zu einer ähnlichen Erkennungsrate.

Zusammenfassung:
In fast der Hälfte aller Fälle würde das Unglück seinen Lauf nehmen.
Ein Viertel wird mit mehr oder weniger unseriösen Tricksereien erkannt, leider wird hier sicher oft das Kind mit dem Bad ausgeschüttet.
Etwas mehr als ein Viertel wird erkannt bzw. eindeutig durch den Packer Support der AVs erkannt, wie es eigentlich sein soll.

Zweiter Versuch: wie verhalten sich Verhaltensblocker bei diesen PE Packern?

Getestet habe ich Antibot und ThreatFire und um es kurz zu machen, beide lassen sich durch die Packer überhaupt nicht beeindrucken.
Das liegt an ihrer Funktionsweise, sie suchen (mit einer Ausnahme...) nicht nach einer bekannten Signatur in einer Datei sondern erkennen gefährliches Verhalten von Anwendungen.
Deswegen spielt der verwendete Packer hier eigentlich überhaupt keine Rolle, weil nämlich nach dem Start der Anwendung immer das gleiche passiert:
Die Multi-Admin-Tool.exe (bzw. deren gepackte Varianten) erstellt eine multiadmin.exe im TEMP Verzeichnis, diese wird gestartet und erzeugt das erwartete Programmfenster.
Dann wird der eigentliche Trojaner, die sys32.exe im SYSTEM32 Verzeichnis erstellt, gestartet und verseucht den Windows Explorer.

Antibot erkennt die Gefahr in allen vier Varianten.

 Antibot.png ( 21.51KB ) Anzahl der Downloads: 71


Das fast gleiche Ergebnis mit ThreatFire, das Programm erkennt nur einmal Upack als Virus...

 ThreatFire.png ( 37.55KB ) Anzahl der Downloads: 55


Zusammenfassung:
Sobald Antibot oder ThreatFire an den beabsichtigten Vorgängen einer Anwendung etwas Schädliches erkennen, ist es vollkommen egal wie die Anwendung ursprünglich gepackt war.

Weiter mit den HIPS

[SkeeveDCD]

Ich bin mit der Erkennung von AntiVir bei der EXE voll zufrieden. Passt. Ralf, der eine war ATRAPS. ;-)

Es ist völlig abwegig, auf diese Art testen zu wollen, ob AV-Programme einen bestimmten Packer entpacken können oder nicht.

Überhaupt, die ganze Diskussion ist derart weit ab von der Realität was an der "Front" abgeht, naja.
Lassen wir den Leuten ihren Spass. Es gibt wichtigeres zu tun.

Andreas, da hast du aber kein original NOTEPAD.EXE genommen? Das wird nicht mit Doppel-Extension gemeldet.

Der Beitrag wurde von SkeeveDCD bearbeitet: 03.05.2008, 12:21

[subset]

Überhaupt, die ganze Diskussion ist derart weit ab von der Realität was an der "Front" abgeht, naja.
Lassen wir den Leuten ihren Spass. Es gibt wichtigeres zu tun.

Wichtigeres wie seriös arbeiten etwa?
Avira erkennt eine gepackte Variante vom Test hier als TR/Crypt.XPACK.Gen
Beschreibung aus den Virusinfos von Avira:

Eine generische Erkennungsroutine um gemeinsame Familienmerkmale der verschiedenen Varianten zu erkennen.
Diese generische Erkennungsroutine wurde entwickelt um unbekannte Varianten zu erkennen. Sie wird kontinuierlich weiterentwickelt.

http://www.avira.com/de/threats/section/fu....xpack.gen.html

Das sind nur leider keine Infos über einen Trojaner sondern nur Blabla über Erkennungsroutinen.

Wenn man in "Viren und andere Sicherheitsrisiken" nach TR/Crypt.XPACK.Gen sucht findet man einige sehr seltsame Dinge.
http://forum.avira.com/board.php?boardid=91
Alles mögliche wird von Avira offensichtlich mit dem Label TR/Crypt.XPACK.Gen versehen.
Und das man dem irgendwann besondere Aufmerksamkeit zukommen ließ, kann man wohl hieran erkennen:
Sebastian Lienau:

Und in Zukunft bitte die *.Gen (nur die mit großem G) Funde direkt an Stefan Kurtzhals senden: heuristik2 at avira.com

http://forum.avira.com/thread.php?postid=348840#post348840

Das ist dann wohl die Realität, die an der "Front" abgeht, neben Diensten die nicht starten.

MfG

[diddsen]

Das ist dann wohl die Realität, die an der "Front" abgeht, neben Diensten die nicht starten.

MfG

gut regerchiert, wie immer vom feinsten in text gepackt

Der Beitrag wurde von diddsen bearbeitet: 05.05.2008, 21:34