Identifikation von Packern, OPCode Filter, etc. Einstellungen

[Gast_Nautilus_*]

Bitte hier ( http://www.rokop-security.de/board/index.p...p?showtopic=698 ) weiterflamen ...

[Gast_Andreas Haak_*]

>Nicht von dir auf andere schliessen. Du bist schliesslich hier der TippEx-Schnueffler.

Ich mag Dich ja nur ungern dran erinnern (und wahrscheinlich wirst Du es auch gleich wieder vergessen):

Also, welche Droge nimmst du? Muss gutes Zeug sein, ich will auch was davon.

>Der Kandidat hat Null Punkte.

Ich hatte zuerst an Stefan Kurtzhals gedacht, die "Schreibe" könnte passen. Letztlich gibts nur noch die:

>Eric Chien (Symantec)
Ich glaub kaum, das der was posten wird hier. Zumal Roman sich ja permanent über den schlechten Kontakt zu Symantec aufregt.

>Toralv Dirro (Network Associates)

Maybe ...

>Howard Fuhs (Fuhs Security Consultants)

Hat nie ne Emu gemacht.

>Raimund Genes (Trend Micro Deutschland)

Auszuschließen.

>Stefan Kurtzhals (F/WIN)

92 würde passen (Suspicious) und schreibe auch. Wäre mein nächster Tipp.

>Rainer Link (Security Area)

Nie ne Emu gemacht.

>Felix Mannewitz

Ebenfalls.

>Andreas Marx (GEGA S&M, AV-Test)

War da noch etwas zu jung. TSCAN kam imho erst 94.

>Stefan Meisel

Kenn ich nicht.

>Lukas-Fabian Moser

Zu jung.

>Martin Rösler

Kein Coder.

>Ralph Roth (ROSE SWE)

Ralph hätte genug Anstand auf Spielchen zu verzichten.

>Thomas Tietz (Trojaner-Info.de)

Kein Coder.

>Thorsten Weber

Kenn ich nicht.

>Frank Ziemann (Hoax-Info Service)

Kein Coder.

>Vorhin klang das aber noch anders. Da war Unpacking noch voellig unwichtig. Ja
>was denn nun?

Unpacking in Bezug auf Viren ist es das auch meiner Ansicht nach.

>Erst unmotiviert Leute beschimpfen und sich dann wundern wenn das nicht gut
>ankommt.

Wann hab ich geschimpft?

>Man merkt's, unmotiviert Leute beschimpfen.

Ich dachte eher daran für Abwechslung zu sorgen - aber wie Du meinst.

[JoJo]

[off-topic]sach mal woher kennst du die denn alle ? Warst du mal mit den Saufen ? [/off-topic]

[Gast_Andreas Haak_*]

[off-topic]sach mal woher kennst du die denn alle ? Warst du mal mit den Saufen ? [/off-topic]

*rofl* ... ne ... mit einigen mal bissi zusammen gearbeitet, mit anderen bissi gestritten ... man kennt sich halt ....

[Gast_Nautilus_*]

Hab jetzt (auf Seite 2 des Threads) auch noch die Scanresultate von Dr.Web 4.30a hinzugefügt. Doh! Und TDS-3. Oh!

Der Beitrag wurde von Nautilus bearbeitet: 11.09.2003, 16:48

[JoJo]

@Nautilus:
Hast du mal andere Komprimierungsstufen ausprobiert..da strauchelt TDS auch schon und vorallem "Positive identification <Adv>: Possible WebDownloader" vielleicht veröffentliche ich mal ein paper nach was TDS sucht um etwas als possible Zeugs anzuzeigen . Das einzige was mich nervt und eine scheibenkleister Sucherei ist, ist halt den passenden String zu finden um eine malware undetect für tds zu machen

[Gast_Nautilus_*]

@JoJo Ich hatte kürzlich mit Gavin eine aufschlussreiche Unterhaltung und weiss jetzt ganz schlimme Dinge über TDS ;-) Aber die werden ich (und Forge) nicht sagen.

Bei der gegenwärtigen Testreihe geht es nur um OEP Modifikationen und da sind Scanner ohne Unpacking Engine offenbar nicht besonders anfällig.

Meines Erachtens ist daraus ausnahmsweise mal der Schluss zu ziehen: Viel hilft viel. Der Einsatz mehrerer unterschiedlicher Scanner macht es VXern erheblich schwerer. Denn dann müssen sie sich nicht nur mit Unpacking Engines, den harten Sigs von KAV&Konsorten, sondern auch mit heuristischen Erkennungsmethoden wie denen von TDS (die für sich allein genommen selbstverständlich leicht überwunden werden können -- es gibt aber zusätzlich noch den Mem Scanner!) auseinandersetzen.

ntl

Der Beitrag wurde von Nautilus bearbeitet: 11.09.2003, 17:34

[forge77]

@JoJo

vielleicht veröffentliche ich mal ein paper nach was TDS sucht um etwas als possible Zeugs anzuzeigen

Ich denke, ich weiß was du meinst...

[Gast_Nautilus_*]

Ach ja... und RAV 8 erkennt übrigens 0 von 11 Samples (siehe Seite 2 ;-).

ntl

P.S.: @Forge Ist unsere neue OEP Subsection des Testsets nicht geil ? ;-)

[wizard]

Ich frag' mich, was für einen Sinn es überhaupt wirklich macht so einen Aufwand zu betreiben. Ich schätze mal das 98% aller Homeuser folgende "Schutzmaßnahmen" haben:

a) keinen Virenscanner
b) einen Uraltvirenscanner ("der lässt sich seit 2 Jahren auch nicht mehr updaten...")
c) NAV oder AntiVirPE (beides bisher ja ohne unpacker, was sich aber in Zukunft ändern soll)

Das sind doch die potentiellen Opfer. Ich denke ein User, der eine Kombination aus KAV/TDS-3 (letzteres bitte nur als mögliche Beispielkonfiguration zu verstehen) einsetzt, hat doch sicherlich auch eine erhöhtes "Sicherheitsbewusstsein". Der klickt garantiert nicht mehr so einfach auf irgentwelche *.exe Dateien.

wizard