Mimail.Q ITW |
Willkommen, Gast ( Anmelden | Registrierung )
Mimail.Q ITW |
26.01.2004, 19:38
Beitrag
#1
|
|
"Macro"- Master Gruppe: Virenexperten Beiträge: 567 Mitglied seit: 29.06.2003 Mitglieds-Nr.: 119 Virenscanner: Avira Internal Betas |
Laut Kaspersky ist die .Q Variante wohl ITW, ist polymorph verschluesselt. Habe gerade die Detection dafür gemacht. Seufz, wann lernen die Malware-Programmierer endlich mal richtige polymorphe Layer zu schreiben?
-------------------- Defining winds
The siren sings A shift within New discipline A second skin An origin that marks the point of no return |
|
|
26.01.2004, 21:17
Beitrag
#2
|
|
Threadersteller "Macro"- Master Gruppe: Virenexperten Beiträge: 567 Mitglied seit: 29.06.2003 Mitglieds-Nr.: 119 Virenscanner: Avira Internal Betas |
Michael hat zeitgleich das Removal Tool gemacht, das gibts jetzt auch zum Download.
-------------------- Defining winds
The siren sings A shift within New discipline A second skin An origin that marks the point of no return |
|
|
27.01.2004, 10:14
Beitrag
#3
|
|
Threadersteller "Macro"- Master Gruppe: Virenexperten Beiträge: 567 Mitglied seit: 29.06.2003 Mitglieds-Nr.: 119 Virenscanner: Avira Internal Betas |
Und "Grossmeister" Haak schafft es immer noch nicht den Mimail.Q zu erkennen. Ein Update für Mydoom.A hat er aber schon...
Wie, etwa Probleme mit polymorpher Malware? *g* -------------------- Defining winds
The siren sings A shift within New discipline A second skin An origin that marks the point of no return |
|
|
Gast_rock_* |
27.01.2004, 10:20
Beitrag
#4
|
Gäste |
das schreibt kaspersky über die Q variante:
Mimail.Q. Die neue Version verfügt über einen kryptographischen Schutz gegen Anti-Viren **und hat bereits einzelne Fälle von Infizierungen hervorgerufen. Kaspersky Labs prognostiziert eine epidemieartige Ausbreitung in den nächsten Tagen und empfiehlt den Anwendern, sofort ihr Anti-Viren-Programm zu aktualisieren. die meinen wohl antiviren-programme...** ist damit das polymorphe verschlüsselt gemeint?? Der Beitrag wurde von rock bearbeitet: 27.01.2004, 10:21 |
|
|
27.01.2004, 10:38
Beitrag
#5
|
|
Threadersteller "Macro"- Master Gruppe: Virenexperten Beiträge: 567 Mitglied seit: 29.06.2003 Mitglieds-Nr.: 119 Virenscanner: Avira Internal Betas |
Der Code zum Entschluesseln der Section 1+3 ist polymorph, die Verschluesselung ist "statisch". Deswegen ist es auch so einfach das Teil zu erkennen. Mit der gleichen Methode habe ich schon in SSC damals Encryption Layer geknackt.
-------------------- Defining winds
The siren sings A shift within New discipline A second skin An origin that marks the point of no return |
|
|
Gast_rock_* |
27.01.2004, 10:50
Beitrag
#6
|
Gäste |
also mit einem wort war das wieder ne Co-production von euch.
well,...in diesem bereich seit ihr sehr flott. gruss rock |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 20.05.2024, 16:34 |