@vampire: loooooooooooooooooool... ich bin froh, dass ich nicht (mehr) über solche 1-Dimensionalen Blickwinkel verfüge. Wenn du glaubst, ich weiß nicht, wie man poly-sachen macht, dann schau auf meine HomePage. Und wenn du mich schon mit allen mitteln versuchst anzugreifen, dann informiere dich doch zuerst ein wenig über mich. Sonst schaffst du es vielleicht noch ein paar mal, dich derartig vor mir zu blamieren. Also: bevor du nochmal etwas gegen mich schreibst, schau auf meine HP, ok??

@wizard: weil ich nicht informationen über das erstellen solcher sachen haben will, sondern nur nur Informationen über den derzeitigen Stand des Möglichen. (ich glaube, dass hab ich oben mit ca 5 zeilen schon beschreiben). Nomal: ich weiß, dass ich mit den hier gewonnenen information kein poly-engine schreiben kann -> Ich will kein poly-engine schreiben.

@DrSeltsam: Es ist nach der Theorie schon möglich, poly-trojans zu machen (der trojan muss sich nur nach jeder ausführung selbst ersetzen, und wie ein poly-virus sich verändern) Nur bringt das genau NICHTS.
Dann wegen dem behavior scanning: wie erkennt KAV zB den "MetaPHOR" von Mental Driller?? Ist metamorph, wird trotzdem erkannt.

>Nach der Entschlüsselung - ja. Davor? Nicht immer. Bei Polylevel eins oder zwei vielleicht noch.
>Ab 4 oder 5 - vergiss es.
Naja, aber wenn auch der decrypter variable ist, wird auch die größe irgendwann mal enorm in die Höhe schießen.

>Das Betriebssystem muss in der Lage sein ihn auszuführen - also ihn zwangsläufig auch entschlüsseln kann.
>Folglich ist auch ein Emulator der AV Programme dazu in der Lage.
Ich nehme an, du weißt was trute-force encryption ist. Es wird kein schlüssel gespeichert. Der virus versucht alle möglichen schlüssel durch. Da kann ein emulator dann, wenn die verschlüsslung gut ist, schon verdamt lange brauchen.

>Na des können schon noch mehr - aber wozu?
Ich habe gemeint, es haben bisher 3 leute gemacht.

>Siehe auch NGVCK ... .
Die letzte version ist vor mehr als einem jahr erschiehnen, und noch immer nicht erkannt. hab ich recht? Das wär ja was für dich, Doc! mal ne schöne, interessante und sicher nicht leichte übung. Könntest ja dann den source des A-NGVCK an die AVs verkaufen

nochmal @vampire:
>komm ich noch drauf...
Pseudo....

>95% aller mir bekannten trojaner versehen ihren dienst sehr zufriedenstellend...
>und wie kommst du darauf, daß trojaner etwas tun was sie nicht sollen..???
>es gibt einen der sich selbstständig wie ein virus über outlook verbreitet. der ist allerdings nicht polymorph...

pooooaaa... +kopf-ganz-viel-schüttel+
ein trojaner, der sich über outlook verbreitet das ist ja dann noch ein trojaner, richtig?!

>ein guter polymorpher server ( vielleicht noch ne "Infect_IRON_Function" )
>und alle beteiligten wären zufrieden...

Glaubs mir, mit ihm würd ich mich nicht anlegen. Geht SICHER nich gut aus für dich! (siehe April-Mai 2002)

@JoJo:
>Für jede Technik gibet immer eine Gegen-Technik
Ganz meine Ansicht!!

von vampire noch ganz verblüffte Grüsse,
Mario

</font><blockquote>Zitat:</font><hr />Original erstellt von vampire:
so ganz gleichgültig kann ich dir nicht sein...</font>[/QUOTE]Du vermischt da unzulässigerweise zwei Dinge, nämlich deine Person und deine Ansichten. Deine Ansichten sind es, die mir nicht gleichgültig sind. Ob DU die äußerst oder irgend ein anderer Vertreter deiner "Zunft", ist gehupft wie gesprungen. Namen sind Schall und Rauch.

Also jetzt mal Baelle flach halten Vampire und Snoopy

Ihr "ruehmt" Euch hier mit Dingen die ihr nicht mal selber gemacht habt geschweige denn ueberhaupt in der Lage waert sie tiefgruendig zu verstehen so dass man Euch beide ernst nehmen (muss).

Vampire, bist Du der Typ aus dem RAT Board mit dem Tunten Bild ?
Es amuesiert mich immer wenn ich dort lese "ja bestimmt lesen hier auch AV Hersteller mit" - das ist grundlegend falsch - die posten dort sogar auch !

Der Etap aka Mental Driller hat einen verschluesselten Textstring (fuer eine Messagebox) drin die *nur* die Groesse der Buchstaben zufaellig aendert - sprich ein kleines m wird mal Gross geschrieben oder mal klein - je nachdem. Der erste Ansatz waere hier bsw. diesen encrypted section zu suchen und ueber ein TOUPPER zu jagen was dann NUR IN GROSSBUCHSTABEN resultiert womit man dann den Vergleich starten koennte - es gibt aber auch noch wesnetlich andere Wege Der Virus nutzt beispielsweise auch EPO wo die Heuristik anschlagen sollte

Michael

@Gladiator:
Ich schreibe über polymorphismus, und das habe ich sehr wohl schon selber gemacht!

nochmal der tipp: bevor jemand einen Flamewar beginnt, zuerst über den andern informieren!

Mario

Ich wuerde mir nie anmassen das zu tun

ein witziger thread!
vampire und snooby streiten sich darum, wer nun das größere script-kiddie ist *fg*

leute, das thema ansich ist eigentlich interessant, also lasst doch das geflame.

.cruz

</font><blockquote>Zitat:</font><hr />Original erstellt von Gladiator the green
Vampire, bist Du der Typ aus dem RAT Board mit dem Tunten Bild ?
</font>[/QUOTE]ja, ich bin vampire vom ratboard... aber "tunten bild"..????...könntest du ein paar erklärende worte nachliefern..?

@cruz,

charaktere wie IRON (gross geschrieben...!!!!) und snooby sind berechenbar, das heisst man kann sie an und ausknipsen wie das licht, gibt kein flamewar...

[ 08. M&auml;rz 2003, 18:22: Beitrag editiert von: vampire ]

Genau. Gerade haste mich eingeknipst. Inwiefern bin ich berechenbar? Insofern, dass ich dagegenhalte, wenn ein Script-Kiddie Dummfug postet?
Insofern, dass ich ein Diskussionsforum so nutze, wie beabsichtigt, nämlich aktiv, also indem ich etwas zur Diskussion beitrage?
Na dann knips mal schön.
Weißte, Trolle zu füttern, kann manchmal ganz lustig sein, wenn, wie in deinem Fall der Troll schmatzt und ihm die Krümel aus dem Mund fallen.

Wie cruz schon schrieb: Solange snooby und du derart unterhaltsam seid, lass ich mich gerne mal anknipsen.

na dann ist die welt ja in ordnung...

wer sich noch für das eigentliche thema interessiert
(und nen bisl englisch kann)

http://securityresponse.symantec.com...e/metamorp.pdf

&gt;95% aller mir bekannten trojaner versehen ihren
&gt;dienst sehr zufriedenstellend...und wie kommst
&gt;du darauf, daß trojaner etwas tun was sie nicht
&gt;sollen..???

*ROFL* ... alsooooooo ...

Ein Trojaner ist ein Programm das etwas tut was das Opfer nicht erwartet. Der User erwartet ein Spiel und in Wirklichkeit installiert sich ein Backdoor.

Verstanden?

Das ist es auch warum man bei einem BEWUSSTEN Einsatz von RAT's nicht von Malware sprechen kann.

&gt;es gibt einen der sich selbstständig wie ein
&gt;virus über outlook verbreitet. der ist allerdings
&gt;nicht polymorph...

Das ist aber kein Trojaner mehr sondern ein Hybrid.

&gt;etwas anders funzt das z.b. mit assasin 1.1
&gt;es gibt keinen schon vorhanden server...!!!

Doch - als binäre Ressource im Clienten *lol*.

&gt;da ist die editserver datei in den client integriert.
&gt;man trifft also die gleichen entscheidungen,
&gt;clickt "make server" und ein völlig neues
&gt;exemplar wird compiliert.

*lol* ... na gut wenn du das glaubst *g*. Armer Troll ... .

&gt;diese methode ,polymorph kultiviert, erstellt mit
&gt;jedem server auch gleichzeitg die nächste
&gt;generation. das heisst der server wäre eben
&gt;doch undetect.

Ahja - Assassin 1.1 ist undetected? *g* Träum weiter.

Defacto extrahiert der Client den Server aus den ressourcen, packt da dir Konfiguration rein und das wars. Nix compilieren. - nix undetected.

&gt;aber es gibt mit sicherheit eine ganze reihe von
&gt;personen die das sehrwohl können. einen
&gt;davon kenn ich...

In der RAT Szene? Na das wage ich mal zu bezweifeln. In der Viirus Szene - ok - aber RAT Szene? Die meisten bekommen es nicht einmal hin für die WinSock Kommunikation nicht die VCL Routinen zu nehmen, was dann in 400 KB Servermonstern endet.

&gt;@DrSeltsam: Es ist nach der Theorie schon
&gt;möglich, poly-trojans zu machen (der trojan
&gt;muss sich nur nach jeder ausführung selbst
&gt;ersetzen, und wie ein poly-virus sich verändern)
&gt;Nur bringt das genau NICHTS.

Das wäre bereits eine Selbstverbreitung. Wäre schon kein Trojaner mehr sondern ein Hybrid.

&gt;Dann wegen dem behavior scanning: wie
&gt;erkennt KAV zB den "MetaPHOR" von Mental
&gt;Driller?? Ist metamorph, wird trotzdem erkannt.

Je nachdem wie "metamorph" der Virus ist greifen noch andere Suchverfahren. Siehe den Link von Tobias.

&gt;Naja, aber wenn auch der decrypter variable ist,
&gt;wird auch die größe irgendwann mal enorm in
&gt;die Höhe schießen.

Nö. Kannst die größe ja begrenzen [img]smile.gif[/img] .

&gt;Ich nehme an, du weißt was trute-force
&gt;encryption ist. Es wird kein schlüssel
&gt;gespeichert. Der virus versucht alle möglichen
&gt;schlüssel durch. Da kann ein emulator dann,
&gt;wenn die verschlüsslung gut ist, schon verdamt
&gt;lange brauchen.

Jo ... oder der emulator ist so intelligent das er mit bekommt das er in nem true force decryptor steckt ... . Du hast nicht wirklich eine Vorstellung wie schnell gute Emulatoren so sind. 80 - 90 Millionen Instruktionen pro Sekunde sind da keine Seltenheit.

&gt;Ich habe gemeint, es haben bisher 3 leute
&gt;gemacht.

Dann schreib das auch *g*

&gt;Die letzte version ist vor mehr als einem jahr
&gt;erschiehnen, und noch immer nicht erkannt. hab
&gt;ich recht? Das wär ja was für dich, Doc! mal
&gt;ne schöne, interessante und sicher nicht leichte
&gt;übung. Könntest ja dann den source des
&gt;A-NGVCK an die AVs verkaufen

Doch ... IKARUS erkennt so ziemlich alle Varianten via Heuristik (hatte damals 30.000 samples mit unterschiedlichen Optionen erstellt und compiliert sowie repliziert. Wurden alle erkannt ;o).

DocSeltsam:
&gt;Du hast nicht wirklich eine Vorstellung wie &gt;schnell gute Emulatoren so sind.

Sehr richtig. Hab sowas noch nie gemacht. Kann mir nur vorstellen, wie sowas funktioniert.
KAV zB hab einen Emulator für mein erstes programm geschreiben (kann in der Virenliste als Crypt.BWG gefunden werden). Hab da mal getestet, wie schnell der ist, und es werden 20 Viren in 21 sek.(!!!) durchsucht. Weiß nicht, ob sie es jetzt verändert haben, jedenfalls ist der wert früher wirklich extrem gewesen.

&gt;Doch ... IKARUS erkennt so ziemlich alle Varianten via Heuristik (hatte damals 30.000 samples
&gt;mit unterschiedlichen Optionen erstellt und compiliert sowie repliziert. Wurden alle erkannt ;o).

Ich hab mir IKARUS noch gar nicht angeschaut. Hab nur mit KAV und TrendMicro getestet. Und da ist nichts erkannt worden. Und solange es nur von der Heuristic erkannt wird, ist es nicht wirklich erkannt. (my opinion)

Noch was:
Was meinst du mir Polymorphismus Stufen? Hast von 5 verschiedenen geschrieben? Kannst die mal aufzählen? Ich kann mir nähmlich nur 2 vorstellen (Code durchmixen und variabel verschlüsseln)

ein, alle beiträge gegen ihn ignorierender,
Mario

@ andreas haak,

glaubst du wirklich ich wüsste nicht, daß assasin von jedem scanner entdeckt wird...???

ich habe lediglich spekuliert was möglich wäre wenn jeder server mit polymorphen algorithmus neu compiled werden würde...

es ist völlig egal ob du ein sich selbstverbreitendes programm trojaner oder hybrid nennst, solche unterscheidungen sind nur für den fachmann von interesse, was wirklich zählt ist das ergebnis...

du willst mich mißverstehen und unterliegst damit der auf diesem board herrschenden gruppendynamik. hier ist noch jede interessante diskussion mit ignoranter arroganz kaputtgemacht worden.
das ist schade und damit tut ihr euch keinen gefallen.
so verpasst ihr die chance den wirklich zahlreich hier erscheinenden besuchern echte information und aufklärung über ein brisantes thema zubieten...

&gt;glaubst du wirklich ich wüsste nicht, daß
&gt;assasin von jedem scanner entdeckt wird...???

Dann bring ein richtiges Beispiel bzw. sag das es theoretischer Natur ist.

&gt;ich habe lediglich spekuliert was möglich wäre
&gt;wenn jeder server mit polymorphen algorithmus
&gt;neu compiled werden würde...

EIN SERVER WIRD VON EINEM SERVEREDITOR GENERELL NICHT COMPILIERT. COMPILIERT WIRD QUELLTEXT - UND ERGEBNIS IST EIN BINÄRES PROGRAMM.

WENN DU EIN BINÄRES PROGRAMM NEU GENERIERST DANN LÄSST DU ES MUTIEREN, MANIPULIERST ES ODER VERSCHLÜSSELST ES - ABER DU COMPILIERST ES GARANTIERT NICHT.

Das ist ein ELEMENTARER Unterschied.

Ich will Dir auch nochmal das was Du geschrieben hast in Erinnerung rufen:

die weitaus meisten trojaner sind mit einer editserver.exe versehen. die datei dient dazu den server mit port, PWD, startmethode, notify usw. zu editieren.
man trifft also seine entscheidungen und saved die daten in den schon vorhandenen server ab.

etwas anders funzt das z.b. mit assasin 1.1
es gibt keinen schon vorhanden server...!!!

da ist die editserver datei in den client integriert. man trifft also die gleichen entscheidungen, clickt "make server" und ein völlig neues exemplar wird compiliert.

diese methode ,polymorph kultiviert, erstellt mit jedem server auch gleichzeitg die nächste generation. das heisst der server wäre eben doch undetect. die selbstständige weiterverbreitung ist in diesem kontext ein weiterer luxus aber nicht bedingung.

Sag Du mir mal wo ein normaler Leser dort erkennen soll das es sich nur um ein fiktives Beispiel handeln soll? Es ist schlichtweg nicht ersichtlich.

&gt;es ist völlig egal ob du ein sich
&gt;selbstverbreitendes programm trojaner oder
&gt;hybrid nennst, solche unterscheidungen sind
&gt;nur für den fachmann von interesse, was
&gt;wirklich zählt ist das ergebnis...

Du wirst mir recht geben das wir wenn wir uns über ein Thema unterhalten wir bestimmte elementare Begriffe festmachen müssen. Und der Unterschied zw. Virus/Wurm und Trojaner ist nunmal die Tatsache das er sich eben NICHT weiter verbreitet.

Du kannst natürlich einen Trojaner mit einer Selbstreplizierung ausrüsten. Das Ergebnis wäre ein Wurm/Virus mit Trojanerkomponente (oder kurz ein Wurm/Virus-Trojaner Hybrid) - kein Trojaner. Das ist ein Fakt. Die Idee an sich ist auch nichts Neues - siehe Hybris, Randon, Sockets de Troje usw. .

&gt;du willst mich mißverstehen und unterliegst
&gt;damit der auf diesem board herrschenden
&gt;gruppendynamik.

Das ist Schwachsinn. Wenn Du ein theoretisches Beispiel bringen willst wie Du es nach eigener Aussage wolltest bei Asassin, dann solltest Du es auch als solches Kennzeichen. Ansonsten wird Dich jeder für einen Spinner halten der Asassin kennt. Weil Asassin eben absolut gar nichts compiliert.

&gt;hier ist noch jede interessante diskussion mit
&gt;ignoranter arroganz kaputtgemacht worden.

Nein. Hier sind einige Leute nur nicht in der Lage sich so auszudrücken das sie von anderen auch verstanden werden. Das ist ein kleiner aber feiner Unterschied.

&gt;so verpasst ihr die chance den wirklich zahlreich
&gt;hier erscheinenden besuchern echte
&gt;information und aufklärung über ein brisantes
&gt;thema zubieten...

Es wurden eine Fülle von Informationen geliefert. Ich werde auch gleich noch ein paar Informationen zu den Polymorhphic Leveln nachreichen.