Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Stärke von Polymorphismus

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 06.03.2003, 16:19   #1
snooby
 
Stärke von Polymorphismus - Beitrag

Stärke von Polymorphismus



Hi an alle!

Weiß irgendwer von euch, wie "stark" ein polymorpher virus sein kann?
ich meine, wie viele verscheidene varianten es davon geben kann??

Dann noch eine frage:
Haben heutzutage polymorphe viren eigentlich noch eine chance gegen die AV programme. Ich meine, dauert die analyse länger als bei normalen?

Und noch was:
Wie werden polymorphe viren gefunden? Wird der "key" gesucht, dann entschlüsselt und gescannt, oder anders???

Fragen über Fragen, die snooby nicht ruhen lassen

schöne grüsse und vielen Dank für Antworten,
Mario
__________________
'Imagine all the people living life in peace' - - - John Lennon

Alt 06.03.2003, 17:46   #2
IRON
 
Stärke von Polymorphismus - Beitrag

Stärke von Polymorphismus



Definiere doch erstmal, was du unter STARK verstehst.
Was hat deiner Meinung nach die Eigenschaft der Polymorphie direkt oder indirekt mit der Funktionalität eines Virus zu tun?

Ein Virus hat eine primäre und potenziell mehrere sekundäre Aufgaben.
Primär: Selbstreplikation, also Verbreitung
Sekundär: Datenmanipulation oder Zerstörung

Polymorphie ist doch lediglich der Versuch, sich vor der Entdeckung zu schützen.
Zweifellos hängt der Erfolg dieses Versuchs zum einen ganz wesentlich vom Können des Programmierers ab, zum anderen aber natürlich auch vom Können und der Reaktionsgeschwindigkeit der AV-Hersteller. Dass es immer mal wieder ein Virus schaffen kann, sich erfolgreicher zu verbreiten als ein anderer, steht außer Frage. Ebenso aber auch, dass nichts so förderlich für die Verbreitung eines wie auch immer gearteten Schädings ist wie die Unvorsichtigkeit, Naivität und Unwissenheit der Normal-User.
__________________


Alt 06.03.2003, 18:38   #3
Bitmaster
 
Stärke von Polymorphismus - Beitrag

Stärke von Polymorphismus



Da außerdem hinreichend bekannt ist, warum Snooby immer wieder solche Fragen stellt, sollten wir ihn nicht noch mit vielleicht verwertbaren Infos füttern. Jedem Anderen würde ich vielleicht glauben, daß die Frage rein informativ sei. Snooby hat allerdings seine 385 Chancen verspielt und schreibt weiterhin fleissig Malware (die er selbstverständlich nicht selbst verbreitet, sondern nur offen zum Download stellt )
__________________

Alt 06.03.2003, 18:55   #4
blablabla
 
Stärke von Polymorphismus - Beitrag

Stärke von Polymorphismus



a) ohne snooby auf den schlips treten zu wollen, aber ich glaube nicht dass er in der lage ist eine polymorphe engine zu schreiben die den Av-Entwicklern kopfschmerzen bereiten könnte also is deine "angst" glaube ich unberechtig (@bitmaster)

b) der meiste polymorphe code wird von emulatoren erfolgreich emuliert und entweder tauchen danach feste bytefolgen auf oder es wird einfach nach verhalten gescannt (behaviour scanning)

Alt 06.03.2003, 20:55   #5
cruz
Administrator, a.D.
 
Stärke von Polymorphismus - Beitrag

Stärke von Polymorphismus



</font><blockquote>Zitat:</font><hr />Original erstellt von blablabla:
oder es wird einfach nach verhalten gescannt (behaviour scanning)</font>[/QUOTE]davon höre ich zwar immer, aber welcher scanner setzt denn wirklich behaviour-scanning ein?
ansonsten: ACK

.cruz

[ 06. M&auml;rz 2003, 21:55: Beitrag editiert von: cruz ]

__________________
"Ihre Meinung ist mir zwar widerlich, aber ich werde mich dafür totschlagen lassen, daß sie sie sagen dürfen."<br /><i>Voltaire</i>

Alt 06.03.2003, 22:43   #6
vampire
Gast
 
Stärke von Polymorphismus - Beitrag

Stärke von Polymorphismus



freut euch nicht zu früh, es sind trojaner server in arbeit ( polymorph natürlich) die undetectable bleiben werden...

Alt 06.03.2003, 22:50   #7
cruz
Administrator, a.D.
 
Stärke von Polymorphismus - Beitrag

Stärke von Polymorphismus



</font><blockquote>Zitat:</font><hr />Original erstellt von vampire:
freut euch nicht zu früh, es sind trojaner server in arbeit ( polymorph natürlich) die undetectable bleiben werden...</font>[/QUOTE]kühne these...und wieso nimmst du das an? weil es die programmierer derselbigen gesagt haben?

.cruz
__________________
"Ihre Meinung ist mir zwar widerlich, aber ich werde mich dafür totschlagen lassen, daß sie sie sagen dürfen."<br /><i>Voltaire</i>

Alt 07.03.2003, 00:18   #8
vampire
Gast
 
Stärke von Polymorphismus - Beitrag

Stärke von Polymorphismus



er nun wieder... [img]graemlins/huepp.gif[/img]

das soll heissen: die evolution macht auch vor rats nicht halt. schlicht und ergreifend, ne feststellung, sonst nix...

Alt 07.03.2003, 03:18   #9
AddBlocker
 
Stärke von Polymorphismus - Beitrag

Stärke von Polymorphismus



</font><blockquote>Zitat:</font><hr />Original erstellt von cruz:
</font><blockquote>Zitat:</font><hr />Original erstellt von vampire:
freut euch nicht zu früh, es sind trojaner server in arbeit ( polymorph natürlich) die undetectable bleiben werden...</font>[/QUOTE]kühne these...und wieso nimmst du das an? weil es die programmierer derselbigen gesagt haben?

.cruz
</font>[/QUOTE]ist vielleicht nicht die *passende* antwort, bin aber heute über einen interessanten artickel bei securityfocus gestolpert. handelt um (kommende) root kits unter windows (war bisher eher eine unix domäne).

Windows Root Kits a Stealthy Threat

Hackers are using vastly more sophisticated techniques to secretly control the machines they've cracked, and experts say it's just the beginning.
By Kevin Poulsen, SecurityFocus Mar 5 2003 5:12AM

Barron Mertens admits to being puzzled last January when a cluster of Windows 2000 servers he runs at an Ontario university began crashing at random. The only clue to the cause was an identical epitaph carved into each Blue Screen of Death, a message pointing the blame at a system component called "ierk8243.sys." He hadn't heard of it, and when he contacted Microsoft, he found they hadn't either. "We were pretty baffled," Mertens recalls. "I don't think that cluster had bluescreened since it was put into production two years ago."

Mertens didn't know it at the time, but the university network had been compromised, and the mysterious crashes were actually a lucky break -- they gave away the presence of an until-then unknown tool that can render an intruder nearly undetectable on a hacked system. Now dubbed "Slanret", "IERK," and "Backdoor-ALI" by anti-virus vendors, experts say the tool is a rare example of a Windows "root kit" -- an assembly of programs that subverts the Windows operating system at the lowest levels, and, once in place, cannot be detected by conventional means.

Also known as "kernel mode Trojans," root kits are far more sophisticated than the usual batch of Windows backdoor programs that irk network administrators today. The difference is the depth at which they control the compromised system. Conventional backdoors like SubSeven and BO2K operate in "user mode", which is to say, they play at the same level as any other application running on the compromised machine. That means that other applications -- like anti-virus scanners -- can easily discern evidence of the backdoor's existence in the Window's registry or deep among the computer's files.
...

mehr auf http://www.securityfocus.com/news/2879

Heiko

Alt 07.03.2003, 03:39   #10
cruz
Administrator, a.D.
 
Stärke von Polymorphismus - Beitrag

Stärke von Polymorphismus



</font><blockquote>Zitat:</font><hr />Original erstellt von AddBlocker:
ist vielleicht nicht die *passende* antwort, bin aber heute über einen interessanten artickel bei securityfocus gestolpert. handelt um (kommende) root kits unter windows (war bisher eher eine unix domäne).</font>[/QUOTE]mir gings eher um das scannen eines neuen, unbekannten binaries, nicht um schon kompromitierte systeme.

.cruz
__________________
"Ihre Meinung ist mir zwar widerlich, aber ich werde mich dafür totschlagen lassen, daß sie sie sagen dürfen."<br /><i>Voltaire</i>

Alt 07.03.2003, 05:56   #11
wizard
 
Stärke von Polymorphismus - Beitrag

Stärke von Polymorphismus



</font><blockquote>Zitat:</font><hr />Original erstellt von vampire:
freut euch nicht zu früh, es sind trojaner server in arbeit ( polymorph natürlich) die undetectable bleiben werden...</font>[/QUOTE]*gähn* Das wird aus Scriptkiddiekreisen schon seit Jahren propagiert...

wizard
__________________
"If you think safety is expensive, try an accident!"

Alt 07.03.2003, 06:40   #12
snooby
 
Stärke von Polymorphismus - Beitrag

Stärke von Polymorphismus



ok, dann mal danke an die antworten der frage nummer 2 und 3!

das hab ich mir schon wieder gedacht, aber, was solls!

@blablabla: wie kommst du eigentlich aus die idee, dass ich ein poly engine schreiben will??
davon gibt es nun wirklich schon mehr als genug!

die frage war für mich nun wirklich, obs ihr glaubt oder nicht, nur informativ!

@iron: also, die erste frage wegen der stärke: wie viele varianten kann ein poly virua haben!

grüsse,
Mario
__________________
'Imagine all the people living life in peace' - - - John Lennon

Alt 07.03.2003, 07:54   #13
raman
 
Stärke von Polymorphismus - Beitrag

Stärke von Polymorphismus



</font><blockquote>Zitat:</font><hr />Original erstellt von snooby:

Weiß irgendwer von euch, wie "stark" ein polymorpher virus sein kann?
</font>[/QUOTE]Damals zu Doszeiten gab es mal einen Zoo-Virus, der sehr stark Polymorph war. Ich erinnere mich noch wage, das KAV da7 Sek. am Scannen war, bevor er ihn erkannt hat. KAV und Dr. Web waren AFAIK die einzigen, die ihn "emulieren"(nennt man das so?) konnten.

Die anderen AV-Firmen sind einfach hingegangen und haben fuer jedes Sample welches sie bekamen eine eigene Signatur erstellt. War auch nicht besonders aufwendig, da das Ding so buggy war, das er sich nur unter ganz bestimmten bedingungen vermehrt hat.
Ich habe nur diese Beschreibung noch gefunden. http://www.viruslist.com/eng/viruslist.html?id=2638

Es gab noch eine andere, die sich mehr mit dem Polymorphen teil diese Virus beschaeftigte, aber die kann ich nicht mehr finden.
__________________
MfG Ralf

Alt 07.03.2003, 08:39   #14
snooby
 
Stärke von Polymorphismus - Beitrag

Stärke von Polymorphismus



hey raman!

voll cool!
danke für den link, wirklich interessant!

grüsse,
Mario
__________________
'Imagine all the people living life in peace' - - - John Lennon

Alt 07.03.2003, 11:08   #15
IRON
 
</font><blockquote>Zitat:</font><hr />Original erstellt von vampire:
freut euch nicht zu früh...</font>[/QUOTE]Wer schreibt hier was von "freuen"? Nur weil ein paar fehlgeleitete Coder was Neues ausbrüten, muss ein Verehrer derselbigen doch nicht gleich prophetierend herumunken.
LOL...Klasse Statement vampire...

Antwort

Themen zu Stärke von Polymorphismus
analyse, antworten, chance, dauert, frage, gefunde, gescannt, gesuch, gesucht, länger, nicht, normale, normalen, polymorpher, schlüssel, snooby, stark, variante, vielen dank, viren, virus, worte




Zum Thema Stärke von Polymorphismus - Hi an alle! Weiß irgendwer von euch, wie "stark" ein polymorpher virus sein kann? ich meine, wie viele verscheidene varianten es davon geben kann?? Dann noch eine frage: Haben heutzutage - Stärke von Polymorphismus...
Archiv
Du betrachtest: Stärke von Polymorphismus auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.