Subseven nicht durch AV erkannt

#1 moin moin.
als ich vor ein paar tagen auf ein paar seiten umhergeirrt bin fand ich eine interessante sache.
es soll die möglichkeit bestehen trojaner durch crypter zu verschlüsseln um sie so vor dem AV "unsichtbar" zu machen.
ich hab das ausprobiert und mit erschrecken hab ich festgestellt, daß ein stinknormaler subseven server, der ja sonst erkannt wird, gar nicht als infiziert erkannt wurde.
und nun meine frage: wie kann man sich vor solchen sachen schützen?
ich habe schon gelesen daß es schwierig ist, aber vielleicht weiß ja jemand von euch etwas?

bin für tips dankbar!

#2 Hast du hier schonmal geschaut... ? http://return.to/scheinsicherheit
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#3 http://return.to/scheinsicherheit
Es war aber nicht zufällig diese Seite?

Nun ja man kann sich ganz einfach schützen indem man Scanner wie KAV oder AVK verwendet die eine Unpacking Engine mitbringen. Steht aber eigentlich alles sehr gut und ausführlich auf der obigen Seite.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#4 nein die seite war es nicht, aber die ist auch nicht schlecht.
ist wirklich interessant das alles nachzulesen.
was hat es mit der "heuristick" suchmethode auf sich (wenn ich es richtig geschrieben hab :-) ).
es wurde geschrieben daß nach trojanern nicht mit der suchmethode gesucht wird. somit würden trojaner die durch ein crypter gejagt wurden nicht erkannt werden.
ich weiß zwar nicht was damit gemeint ist, weil es nicht näher erklärt wurde.
vielleicht weiß ja jemand von euch was damit gemeint ist?

#5 Grundsätzlich versucht eine Heuristik, unbekannte Viren/Würmer/Trojaner o.ä. zu erkennen. Dabei wird i.d.R. der Code einer Datei nach verdächtigen Operationen durchsucht, und wenn darin ein bestimmter "Schwellenwert" erreicht wird, schlägt die Heuristik Alarm ("verdächtige Datei gefunden".)
Eine solche Heuristik besitzt praktisch jedes AV, und sie wird normalerweise auch immer beim Scannen eingesetzt.

Es hängt aber stark von der Schädlings-Art ab, wie erfolgreich eine Heuristik arbeitet: Macro-Viren können z.B. von einigen AVs zu über 90 % von der Heuristik erkannt werden, wogegen gegen Trojaner/Backdoors bisher erst wenige wirkungsvolle Heuristiken entwickelt wurden.

Aus diesem Grund ist eine Heuristik auch gegen gepackte/gecryptete Trojaner im Moment wenig hilfreich (ich hoffe, dass das einigermaßen deutlich wird, auf der o.g. Seite... ) - wirklich helfen kann da nur eine gute Unpack-Engine, die mit möglichst viele der unzähligen Packer/Crypter entpacken/-schlüsseln kann.
Welche Scanner in diesem Punkt herausragen, wurde hier schon gesagt (ich würde noch McAfee hinzufügen ), und kann hier und hier in Form von Tests nachgelesen werden.

Die Qualitätsunterschiede und die Nachlässigkeiten einiger sehr bekannter Scanner sind imho erschreckend... (hast du ja selber gesehen... )
Welches AV und welchen Crypter hast du denn für deinen Test benutzt?
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#6 hmm
ich habe einen pe crypter verwendet und habe dann diese datei mit norton av 2003 gescannt.
das ergebnis war ernüchternd-keine infektion gefunden.
die o.g. seite ist wirklich gut, nur muß ich mir estwas mehr zeit dafür nehmen :-)
ich hoffe nur, daß ich nicht jede datei die ich mir aus dem netz ziehe mit diversen decryptern behandeln muss, um eine halbwegs akzeptabele sicherheit zu erhalten.
also ich glaube in dieser hinsicht müssen die softwareentwickler noch was tun.

#7 Sagen wir mal so: wenn du vor gepackten/gecrypteten Trojanern geschützt sein willst, solltest du nicht auf Norton setzen...

Aber auch der beste Scanner kann immer irgendwie umgangen werden - man sollte sich also definitiv nicht auf AV Scanner völlig verlassen.
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#8 wirklich ne gute seite, danke auch für den hinweis.

habe direkt mal meinen hersteller von av-software angeschrieben (centralcommand), ob die sich des problems bewusst sind bzw. eine unpacking-engine integriert haben. zumindest in den optionen des programms (vexira) ist davon nichts zu finden, was aber nicht heissen soll, das es das nicht gibt.

bin mal auf deren antwort gespannt.
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...

#9 "Vexira" ist identisch mit dem bekannten kostenlosen(!) Scanner AntiVir von H+BEDV - der einzige Unterschied ist (offenbar) der Name...
(ich hoffe, du hast nicht zuviel Geld dafür ausgegeben)

AntiVir/Vexira besitzt jedenfalls keine vernünftige Unpacking-Engine, wie du auch auf der o.g. Seite nachlesen kannst.

Allerdings munkelt man, dass sich das bald ändern könnte...
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#10 1. war das ein kostenloses update (von avx)
2. ist vexira NICHT identisch mit antivirPE, die scan-engine wurde von H+BEDV lizenziert, allerdings die engine, die in der kostenpflichtigen version verwendet wird. zusätzlich wurde die scan-engine noch von den vexira-programmieren modifiziert.
3. bisher noch keine antwort erhalten, na ja, ist ja auch sonntag
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...

#11 entschuldigt meine unwissenheit, aber von diesem av habe ich noch nicht gehört.
da ich jetzt erst mal keine zeit dafür habe mir testberichte durchzulesen, könntet ihr mir vielleicht einen kostenlosen av empfeheln der auch was taugt.
ich weiß daß ich keine trojaner habe (es sei denn sie benutzen port 80), aber hilfreich wäre es schon.
jetzt ohne weitere testberichte zu lesen, dachte ich daß norton av eigentlich gut ist-das gegenteil habe ich mir ja selbst bewiesen!
ich bin für alle vorschläge offen!

#12 @heptamer666

zu 2.: OK, kann sein - ich hab mir Vexira bisher nicht angeschaut, sondern nur (an verschiedenen Stellen) gelesen, dass die beiden Scanner praktisch identisch sein sollen.
Afaik gibt es aber keinen Unterschied zwischen der kostenlosen und der kostenpflichtigen Version von AntiVir - und die Modifikationen durch die Vexira-Leute wird sich angesichts der Komplexität einer richtigen Unpack-Engine _diesbezüglich_ vermutlich stark in Grenzen halten...
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#13 @KingPin

Einen kostenlosen Scanner mit guter Unpack-Engine wirst du im Moment nicht finden, sorry.
Davon abgesehen ist aber NortonAV als reiner _Viren_Scanner sicherlich gleich gut oder besser als die aktuellen kostenlosen AVs (AntiVir, AVG 6, Avast, F-Prot for DOS,...)

Zitat

ich weiß daß ich keine trojaner habe (es sei denn sie benutzen port 80), aber hilfreich wäre es schon.

Wie kommst du darauf? Mir ist der Zusammenhang mit Port 80 nicht ganz klar...
Davon abgesehen benutzen einige Trojaner remote-Port 80 für ausgehende Verbindungen...
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#14 @forge77: darum ja auch meine mail an centralcommand, um zu sehen, ob die vexira-leute an einer unpack-engine arbeiten bzw. diese schon implementiert haben.
zur scan-engine des antivir: hast da anscheinend recht, es gibt da keine unterschiede. habe aber mal gehört, das das update der signaturen unterschiedlich ist, bei der pe lädst du dir nicht nur die signaturen, sondern das ganze programm runter, während bei der kommerziellen version nur die signaturen geladen werden. habe das vermutlich damit verwechselt...
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...

#15 @kingpin: norton hat bei chip im letzten virenscannertest als schlechtester abgeschnitten, hier mal der link: http://www.chip.de/artikel/c_artikel_10257674.html?tid1=19495&tid2=16301

die aussage mit einem trojaner in verbindung mit port 80 versteh ich net so ganz...
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...