Subseven nicht durch AV erkannt

#0
03.08.2003, 19:20
Member

Beiträge: 647
#16 boah, das ging schnell (trotz sonntag). hier die antwort von centralcommand.com:

Zitat


Response (ADMIN) - 08/03/2003 11:14 AM
The article you read is not entirely correct. You see, a typical polymorphic virus in encrypted using a encryption tool and yes Vexira has a decryption engine built-in but so does most quality antivirus software today.

In this case a virus or trojan author can use a modified encryption engine to temporarily have his creation go undetected but this is only a temporary situation since once the antivirus companies obtain a sample the encryption will be broken and decryption/detection will be added.

Customer (xxxxxxxxxxx) - 08/03/2003 06:04 AM
Hi there,

I´m really concerned about an issue I have just read on a geman webpage.

If someone is crypting a trojaner or a virus with a crypting tool (e. g. with an upx-crypter), most of the Antivirus-Software will not be able to detect this virus/trojaner, even with an on-access-scanner.

Only the use of a decrypting engine will help in this case.

So my question is: Is there a decrypting engine within the VEXIRA antivirus-program, and if not, why?


oben die antwort, unten meine frage... was habe ich nun davon zu halten? wer hat recht?
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...
Seitenanfang Seitenende
03.08.2003, 21:34
Member

Beiträge: 813
#17 Im Prinzip beide... ;)

Es ist richtig, dass polymorphe Viren nur zuverlässig mit einer Decryptor-Engine erkannt werden können, die einer Unpack-Engine zum "Durchleuchten" von File-Packern und -Cryptern recht ähnlich ist. Ich weiß aber nicht, ob es einfach möglich ist, diese Polymorph-Scanengine auf Packer und Crypter "auszuweiten."
Jedenfalls hat AntiVir (und damit auch Vexira) keine Möglichkeit, Packer und Crypter zu durchleuchten - und das ist der Punkt... ;)

Es ist auch korrekt, dass man prinzipiell gepackte Malware mit speziellen, "gepackten" Signaturen erkennen kann - allerdings ist dies kein wirklicher Schutz bei Trojanern, wie wir hier auch erklärt haben.
Gerade bei Trojanern, die ganz "individuell" von Skript-Kiddies mit einem der unzähligen Packer/Crypter präpariert werden und sich ja _nicht_ selbstständig verbreiten (wichtiger Unterschied zu Viren/Würmern, die ebenfalls oft gepackt werden), kommt es sehr selten vor, dass überhaupt mal ein gepacktes Exemplar bei AV-Herstellern landet, und genauso unwahrscheinlich ist es, dass man durch die daraufhin erstellte 'gepackte' Signatur insgesamt besser geschützt ist (eben weil man gerade diesen speziell präparierten Schädling mit Sicherheit nicht "bekommen" wird.)

Man muss aber Antivir/Vexira zugute halten, dass sie im Vergleich zu anderen AVs noch einigermaßen viele "gepackte" Signaturen erstellt haben, so dass sie mit etwas Glück sogar mal einen gepackten Trojaner erkennen können (vgl. unseren Test.)
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Dieser Beitrag wurde am 03.08.2003 um 21:36 Uhr von forge77 editiert.
Seitenanfang Seitenende
08.08.2003, 02:12
Member

Beiträge: 15
#18 @asdrubael: es stellt keinerlei Schwierigkeit dar einen Server gegen KAV/AVK/RAV undetected zu machen, dasgleiche gilt für TDS im prescan.
Am Einfachsten zu überwinden sind Norton/McAffee/Panda/Chillin & co nur zur Info.

Eine wirkliche Sicherheit bieten wohl nur Kombi-Präparate :-D und das eigene wissende oder unwissende Gehirn.

Zum Thema AntiVir muß ich sagen, dass der Scanner so manche Dinge erkennt die die großen (KAV/AVK) gar nicht erkennen, vor allem veränderte Server.
Ein sehr sinnvoller Zusatzscanner in jedem Fall!
Dieser Beitrag wurde am 08.08.2003 um 02:16 Uhr von MEGAFREAK editiert.
Seitenanfang Seitenende
08.08.2003, 08:58
Member

Beiträge: 3306
#19 @MEGAFREAK:
Was theoretisch alles möglich ist und was in der Praxis passiert sind zwei paar Schuhe. Man kann mit AVK nicht 100% "sicher" sein, man kann aber zumindest sicherer sein als mit NAV und Co.

Virenscanner-Kombis halte ich für Unfug, weil die Scanner sich gegenseitig behindern. Zwei Engines wie bei AVK oder ein zusätzlicher Online-Scanner sind da sinniger.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Dieser Beitrag wurde am 08.08.2003 um 08:59 Uhr von asdrubael editiert.
Seitenanfang Seitenende
08.08.2003, 13:10
Member

Beiträge: 813
#20

Zitat

Zum Thema AntiVir muß ich sagen, dass der Scanner so manche Dinge erkennt die die großen (KAV/AVK) gar nicht erkennen, vor allem veränderte Server.
Äh, was genau meinst du mit "veränderte Server"? Natürlich kann auch mal ein blindes Huhn ein Korn finden, aber im Großen und Ganzen ist AntiVir durch Server-Modifikationen (wie auch immer die aussehen...: packen/crypten, hex-editieren etc.) wesentlich leichter auszutricksen als KAV/AVK...

Oder spielst du auf gezielte Patches "gegen" KAV an? ;)
http://scheinsicherheit.o-f.com/artofpatching.htm

Zu TDS-3: Der File-Scanner hat ja keine Unpack-Engine, und kann deshalb recht leicht überlistet werden (zusätzlich sind auch die Signaturen nicht die besten) - aber der Memory-Scanner findet erwartungsgemäß fast alles (dafür ist der sau-lahm, und deshalb nicht gerade ein zuverlässiger Schutz... ;) )
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Dieser Beitrag wurde am 08.08.2003 um 13:15 Uhr von forge77 editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: