WICHTIG!! BitDefender 7.2 free, prüft keine Laufzeitpacker mehr!!! ???? Einstellungen

[Internetfan1971]

Hallo,

mir ist etwas sonderbares bei Bitdefender 7.2 free aufgefallen und ich werde daraus nicht schlau!

Ich weiß nicht seit wann dieses Problem besteht, es muß aber schätzungsweise etwas mit einem der letzten Programmupdates zu tun haben. Gab es in den letzten Wochen eins?

Zumindest noch vor einigen Wochen war es bisher normal das Bitdefender bei laufzeitkomprimierten Programmen soweit es den Komprimierer kennt dieses auch mit anzeigt.

Beispiel

C:\=>Master Boot Record 80 OK
C:\=>Partition Boot 1 (primary) (active) OK
C:\=>Partition Boot 2 OK
C:\=>Partition Boot 3 OK
D:\Test\3D Christmas in the City.exe OK
D:\Test\3D Christmas in the City.exe=>(ASPack 2.11) OK
D:\Test\stinger-1.exe OK
D:\Test\stinger-1.exe=>(Upx) OK

Statistiken

Pfad prüfen : D:\Test
Ordner : 1
Dateien : 8
Archive : 0
Komprimierte Dateien : 2

Seit einer mir unbekannten Zeit (Tage, Wochen?) werden die Komprimierer nicht mehr mit angezeigt was ja nicht so schlimm wäre, aber ganz offensichtlich werden die Komprimierer nicht mehr durchleuchtet!!!

Geprüfte DateienC:\=>Master Boot Record 80 OK
C:\=>Partition Boot 1 (primary) (active) OK
C:\=>Partition Boot 2 OK
C:\=>Partition Boot 3 OK
D:\Test\3D Christmas in the City.exe OK
D:\Test\stinger-1.exe OK

Statistiken

Pfad prüfen : D:\Test
Ordner : 1
Dateien : 6
Archive : 0
Komprimierte Dateien : 0

Komprimierte Dateien in Worten NULL (!!)

Warum auch immer. Keine Ahnung ob das jetzt nur das UPX- und Aspack-Format betrifft, keine Ahnung ob nur die 7.2 free betroffen ist oder auch die 7er Standard oder Pro.

Vielleicht ja auch die 8er?

Hier findet man z. B. stinger, upx-gepackt

http://vil.nai.com/vil/stinger/

Stört euch nicht daran das die bei mir stinger-1.exe heißt, das ist bei mir schon die richtige.

Kann das einer bei euch prüfen und dies für seine Version bestätigen??

[Gast_Witti_*]

Ich kann das nicht nachprüfen, aber hast Du nachgeschaut, ob vielleicht ein Einstellung in den Optionen die Ursache dafür sein könnte (auch wenn Du nichts bewusst verändert hast)?

[Internetfan1971]

Hallo,

das ist alles wie vorher!

- Alle Dateien prüfen
- Komprimierte Programme prüfen
- Archive öffenen und Inhalt prüfen


etc.

Hab ich natürlich vorher geprüft! Ich will ja nicht die Pferde unnötigerweise scheu machen!

Der Beitrag wurde von Internetfan1971 bearbeitet: 02.02.2005, 01:19

[Gast_Faith_*]

hm.... das wäre mir aber neu, wenn der Biti das machen würde .... ich glaubs nicht ganz, ich vermute, das da bei er installation was schief lief ( meine Vermutung ) .... den damit würde sich Biti ins eigene Fleisch schneiden.

Frag doch mal unseren Stefan, der kennt sich mit dem Biti sehr gut aus, vielleicht weiß er da was.


Faith

Der Beitrag wurde von Faith bearbeitet: 02.02.2005, 02:29

[Stefan]

Also bei meiner 8er Standard Version wird die Stinger.exe auch nicht als gepackt erkannt, andere Formate hingegen schon.
Leider weiß ich nicht, ob ich überhaupt irgendwelche Dateien auf meinem Rechner habe, die mit dem UPX- oder Aspack-Format gepackt worden sind und kann daher nicht weiter testen.

Wie sieht es denn mit Cyberpeter aus?

[cyberpeter]

Hallo,

da ich Moment in der Arbeit bin, habe ich leider kein mit UPX gepacktes Testsample zur Hand. Aber ich vermute, das dies eher ein Fehler in der Stastik ist. Werde es heute Abend mal ausprobieren.

[Internetfan1971]

Hallo,

ich hatte gestern Bitdefender deinstalliert und nach einem Neustart wieder installiert. Dann hatte ich den Test mit D:\Test\ gemacht und kam zum Ergebnis das alles normal wie sonst war, d. h. Laufzeitpacker wurden angezeigt und wurden in der Statistik aufgeführt.

Erst danach habe ich BD upgedatetet noch nochmals geprüft bei gleichen Einstellungen.

Das Ergebnis war das die Packer nicht genannt und aufgeführt wurden...

Merkwürdig ist ja jetzt das auch bei Stefan stinger nicht als upx-gepackt angezeigt wird.


Die Free ist ja nur On-Demand-Scanner, noch schlimmer wäre es ja wenn der On-Access-Scanner ebenfalls betroffen wäre...

[olli]

Moin.

Auch bei mir BD 8 Pro wird der Stinger nicht als gepackt erkannt.
Da bei Internetfan gepackte Dateien ja direkt nach der Installation erkannt wurden, und nach den Updates nict meht, vermute ich, dass BD da bei einem Update etwas geändert hat.
Die FRage ist nun, ob sich nur die Zählweise geändert hat, oder ob gepackte Programme wirklich nicht mehr gescannt werden.

Das wäre ja ein echter Rückschrit...

Gruß
Olli

[forge77]

Keine Sorge, die Unpack-Engine von BD funktioniert noch. Auf den ersten Blick scheint es jedenfalls keine bedeutsamen Veränderungen in der Erkennung von gepackter Malware zu geben.
Trotzdem natürlich komisch, dass die gepackten Sachen plötzlich nicht mehr angezeigt bzw. gezählt werden...

[olli]

Hi Forge!

Das ist ja beruhigend. Aber wie kann ich das testen?

Gruß
Olli

[Stefan]

Trotzdem natürlich komisch, dass die gepackten Sachen plötzlich nicht mehr angezeigt bzw. gezählt werden...

Es werden andere Packformate immer noch angezeigt und gezählt, nur halt die von Internetfan1971 angegebene Stinger.exe als UPX nicht.

Der Beitrag wurde von Stefan bearbeitet: 02.02.2005, 21:22

[cyberpeter]

Hallo,

habe 4 mit UPX und 2 mit FSG gepackte Samples gescannt, Virus wurde gefunden und wurde auch in der Statistik gezählt.

Wieso das mit Stinger nicht so ist ...

[Manu]

Was passiert, wenn ihr Stinger entpackt und dann wieder mit UPX packt?
Bin zu faul meine Images aufzuspielen und zu testen...

[Stefan]

@ cyberpeter: Danke erstmal Peter für die Entwarnung.

[Internetfan1971]

Also es ist nicht nur stinger betroffen! Soviel ist schon mal Fakt!

Ich habe das gerade mal ein wenig weiter ausprobiert mit f-prot (DOS)

In Auszügen

Kerio 2.x

fprot
E:\TEST\KERIO-~1.EXE->\Disk1\ikernel.ex_->(PackWord)

BD
E:\Test\kerio-pf-2.1.5-en-win.exe=>(CAB Sfx o)=>\Disk1\ikernel.ex_=>(MS-Compress 5) OK

Ist doch wahrscheinlich ein Laufzeitpacker? Wird erkannt!

Das Programm HijackThis

fprot
E:\TEST\HJT.EXE->(UPX)

BD
E:\Test\hjt.exe OK

UPX wird nicht angezeigt und nicht gezählt!

Naja, die Sache ist wirklich sehr, sehr komisch!!

Das sollte man mal im Auge behalten!

So wie ich das getestet habe ist mindestens das Format UPX und Aspack betroffen.

Zumindest insofern das es nicht (bei mir) mehr angezeigt und in der Statistik gezählt wird...

Der Beitrag wurde von Internetfan1971 bearbeitet: 02.02.2005, 22:59

[forge77]

@ntvolli

Aber wie kann ich das testen?
[right][snapback]76503[/snapback][/right]

Naja, indem du dir halt ein paar ungepackte Malware-Samples nimmst, sie packst oder cryptest und anschließend mit BD scannst.


@Stefan

Es werden andere Packformate immer noch angezeigt und gezählt, nur halt die von Internetfan1971 angegebene Stinger.exe als UPX nicht.

Nein, es ist nicht nur die "Stinger.exe". In unserem alten Testset (http://home.arcor.de/scheinsicherheit/testprozedere.htm) sind knapp hundert mit verschiedenen Packern/Cryptern behandelte Samples enthalten: nach dem letzten BD-Update wird in der Statistik nur noch ein(!) Sample als gepackt erkannt - dazu noch angeblich mit einem Packer, den wir gar nicht benutzt haben...
Dennoch ist die Erkennungsrate (ohne dass ich einen genauen vorher/nachher-Vergleich gemacht habe) etwa gleich hoch geblieben. Die Unpack-Engine funktioniert also noch, nur die Zählweise, die Statistik oder sonstwas ist "kaputt"...

Der Beitrag wurde von forge77 bearbeitet: 02.02.2005, 22:57

[Internetfan1971]

@forge77 und cyberpeter


Vielen Dank das ihr das getestet habt!

Im Moment stellt sich das "nur" als ein Anzeige und Statistikproblem dar.

Schon beruhigend, aber trotzdem alles sehr komisch...