Frage: Sammelthread zu geheimen Packer/Crypter-Kombinationen sinnvoll?

Gladiator the green guy

</font><blockquote>Zitat:</font><hr />Original erstellt von wizard:
Jein. Es wird der Header nach dem "Dateityp" geprüft und dann entschieden, ob und wo in der Datei gescannt wird.</font>[/QUOTE]Wo in der Datei gescannt wird ist von Scanner zu Scanner kaum unterschiedlich.
Du kannst dies mit folgendem testen:

COPY /B clean.exe+virus.exe SIMPLEJOIN.EXE

Dann lass den Scanner drueber rauschen und 90% aller (guten) Scanner finden den Virus.

Sie lesen den Exe Header aus der Clean Datei aus und stellen fest es handelt sich um ein ausfuehrbares PE Programm.

Wenn die noch festlegen wuerden AB WO der Virus (offset) gescannt wird dann wuerden 90% das nicht finden.
Das funktioniert uebrigens auch, wenn man den 2. PE Header der Virus Datei weglaesst - man also nur den PE Header der uninfizierten Datei inside hat. Was veranschaulicht, das bei den meisten Viren der Einsprungspunkt aus dem Header voellig irrelevant ist.

</font><blockquote>Zitat:</font><hr />Ich hatte erwartet, dass wir solche Malware öfter sehen, aber scheinbar ist NTFS immer noch nicht interessant/weit verbreitet genug für Malwarecoder. Proof-of-concepts gab es dazu ja genug.</font>[/QUOTE]Es wird immer zuerst das genutzt, was am weitesten verbreitet ist und so ziemlich ueberall funktioniert.

Ein hausuebliches Win98, WinME kann kein NTFS.
Um es fuer alles lauffaehig zu machen (den Schaedling) muss man dementsprechend auf solche "Scherze" verzichten.
Mit steigendem Einsatz von NT basierenden Systemen (XP) wird sich dies allerdings vermutlich aendern.
ADS zu scannen ist weiss Gott keine Schwierigkeit vom Scanner her gesehen.

Gladiator