ok funzt !
[How-To] Undetected Virus/Trojaner finden
10/08/2010 17:55
hamburgerheanger#16
10/08/2010 20:39
admon395#17
ja gut ^^
-- edit nicht in WINRAR verpackt
-- edit nicht in WINRAR verpackt
10/10/2010 09:59
GoldTrader#18
Eines Tages werden wir alle nocheinmal sterben weil uns ein Riesiger Trojaner alle auffrisst :D
Ich hab ehrlich gesagt besseres zutun als Kasperky Trojaner und "vermeintliche" Trojaner zu schicken.
Ich hab ehrlich gesagt besseres zutun als Kasperky Trojaner und "vermeintliche" Trojaner zu schicken.
10/10/2010 17:12
admon395#19
ok deine meinung omg xD
10/15/2010 00:26
thetime#20
nützlicher thread, hilft jemadem weiter
#thx geb (:
#thx geb (:
10/15/2010 02:30
D'Arti#21
Naja die User dazu zu verpflichten kannst du nicht ;)
Jeder sollte selber wissen was er runter läd und was nicht. Es gibt genug Leute die ihren Ego durchziehen und trotz 20 posts wie "achtung virus" etc ... progs downloaden und sich ein virus einfangen ...
Jeder sollte selber wissen was er runter läd und was nicht. Es gibt genug Leute die ihren Ego durchziehen und trotz 20 posts wie "achtung virus" etc ... progs downloaden und sich ein virus einfangen ...
10/15/2010 16:31
admon395#22
Genau das ist das problem, dann sagen sie es war kein virus-.-
11/15/2010 15:43
chiiiler#23
Ich bin für melden^^
11/15/2010 23:01
boxxiebabee#24
hexxt? das bring absolut null. er ist dann vll. FUD (wenn man nicht den eigentlichen server corrupted) aber das schafft jeder X beliebige public crypter auch ohne viel aufwand.. und was hat der trojaner damit zu tun ob er gedected wird oder nicht? absolut nichts, da kommts ganz allein auf den crypter an.Quote:
omfg wen man nen trojaner richtig ud hexxt bringt dir auch ne quarantäne nichts xD ich sag nur scantime und runtime crypter nur die kiddys benutzen immer die free trojaner von 05 xD
einzigste was etwas bringt ist malewarebytes und anubis und natürlich nur auf vm öffnen
und malewarebytes & anubis soll helfen? ich lach mich tot :D
so ziemlich alle crypter haben anti's drin damit anubis, kaspersky, avira, nod32, malewarebytes etc. umgangen wird.
VMware bringt auch nur bedingt etwas. es gab schon trojaner die das durchbrachen und somit auf den hauptrechner landeten.. wie es jetzt aussieht, obs noch möglich ist, keine ahnung, schon länger nicht mehr mit botnetzwerken etc. beschäftigt.
und zum threadersteller, das mit der quarantäne und die dateien zu schicken ist sinnlos, bzw erhöhter aufwand. wenn man es auf virustotal hochläd reicht es. da werden die dateien automatisch an die AntiViren-Firmen weitergeleitet und dann überprüft.
Oder wieso denkst du das 90% der Viren mit novirusthanks.org gescannt werden? Weil dort die Option besteht das die Daten eben nicht an die Firmen übermittelt wird. Die restlichen 10% faken einfach nen Virustotal Bericht.
mfg.
11/21/2010 15:36
admon395#25
.. aber wenn die datei so fud ist.. und eig nicht erkannt wird, dann kann es ja nicht erkannt werden ob man es auch da bei virustotal hoch lädt?
es gibt mehr als millionen menschen, die kennen virustotal nicht, haben jedoch einen antivirus, es würde denen also nix bringen wenn nur virustotal geupdatedwird .,. nur mals so^^
es gibt mehr als millionen menschen, die kennen virustotal nicht, haben jedoch einen antivirus, es würde denen also nix bringen wenn nur virustotal geupdatedwird .,. nur mals so^^
11/22/2010 18:52
boxxiebabee#26
Ehm, ich fang mal mit letzteren Punkt an.Quote:
es gibt mehr als millionen menschen, die kennen virustotal nicht, haben jedoch einen antivirus, es würde denen also nix bringen wenn nur virustotal geupdatedwird .,. nur mals so^^
Das ergibt irgendwie keinen Sinn, meiner Meinung nach. Bei Virustotal wird nur
die Signatur-Datenbank geupdated, das ist einfach das tägliche update des
Anti-Viren Programms.
So. erster Punkt nun.
Wenn man einen FUD Trojaner bei Virustotal hochläd, wird natürlich kein Fund
rauskommen. Aber Virustotal leitet alle Dateien an die Anti-Viren-Firmen weiter
und dort wert die zerlegt. D.h. wenn man heute einen FUD Virus hochladet auf
VT ist er möglicherweise schon in 3 Tagen detected deswegen ;)
Unseriöse Dateien sollte man generell nur auf einer VM-Ware / Sandboxie ausführen.
11/24/2010 21:26
admon395#27
naja aber das was hier im thread ist , ist ja nichts negatives, ich meine es muss mehrere abteilungen geben wo die hacks ausseinander genommenw erden
virustotal: da werden soviele ausseinander genommen dass es lange dauert und oberflächlich für alles dirrekt ein update gemacht..
bei kaspersky ist das eine eigene firma wo sie nur den update für kis produzieren, was ziemlich mehr bringt^^ und zeit sparrend ist
virustotal: da werden soviele ausseinander genommen dass es lange dauert und oberflächlich für alles dirrekt ein update gemacht..
bei kaspersky ist das eine eigene firma wo sie nur den update für kis produzieren, was ziemlich mehr bringt^^ und zeit sparrend ist
11/25/2010 04:23
Vizon#28
Die roten sachen sollen kein Angriff sein, wills lediglich verstehen ;)Quote:
und malewarebytes & anubis soll helfen? ich lach mich tot :D
so ziemlich alle crypter haben anti's drin damit anubis, kaspersky, avira, nod32, malewarebytes etc. umgangen wird. (Sinds nicht eher die Builder an sich die diese Funktion haben? Gibt sehr wenige Pub-crypter die diese funktion besitzen und wenn sie welche besitzen, sind die crypter meist FD)
VMware bringt auch nur bedingt etwas. es gab schon trojaner die das durchbrachen und somit auf den hauptrechner landeten.. wie es jetzt aussieht, obs noch möglich ist, keine ahnung, schon länger nicht mehr mit botnetzwerken etc. beschäftigt.
und zum threadersteller, das mit der quarantäne und die dateien zu schicken ist sinnlos, bzw erhöhter aufwand. wenn man es auf virustotal hochläd reicht es. da werden die dateien automatisch an die AntiViren-Firmen weitergeleitet und dann überprüft.
Oder wieso denkst du das 90% der Viren mit novirusthanks.org gescannt werden? Weil dort die Option besteht das die Daten eben nicht an die Firmen übermittelt wird. Die restlichen 10% faken einfach nen Virustotal Bericht.
mfg.
11/25/2010 18:21
boxxiebabee#29
Verstehe ich das richtig, Pub-crypter, crypten deinen Trojaner FUD?Quote:
Öhm ja. Weiß jetzt nicht wirklich was es da nicht zu verstehen gibt ;D
Public Crypter (also Crypter an die so ziemlich jeder kommt) adden einfach junk code, fake api's, scambeln den code encrypten sachen, ändern den namen von strings usw. dadurch wird halt der trojaner FUD "fully undetected".
Natürlich werden für diese dann schneller updates rausgebracht weil es eine größere Masse an Leute benutzt.
Hm, also zum verständnis: Nach der aussage wäre jeder "Roh-trojaner" FUD?
Nein, ein "Roh-Trojaner" ist generell detected, auser der Ersteller hat extra wert darauf gelegt das es nicht so ist, und hat den stub polymorphic gestaltet usw.
Aber auch dann ist er früher oder später nicht mehr FUD, und man muss zu nem crypter greifen ;)
Sinds nicht eher die Builder an sich die diese Funktion haben? Gibt sehr wenige Pub-crypter die diese funktion besitzen und wenn sie welche besitzen, sind die crypter meist FD
Builder (clientsoftware) haben sie Teilweise auch, aber zunehmend pub-crypter auch. das die crypter dann nicht FUD sind liegt daran das sie vom anfang an nicht fud waren oder einfach schon ein update dafür herausen ist.
Hier mal ein Bild eines guten (nicht public (aber es gibt für so ziemlich alles ne gecrackte version :p)) Crypters:
ps. Avira ist Müll ;D
11/25/2010 19:17
admon395#30
lizzaran studierst du sowas?
du scheinst ahnung zu haben
du scheinst ahnung zu haben