Erkennt ein AV eine FUD-Exec beim ausführen?

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von Coksnuss, 12. Juli 2009 .

Schlagworte:
Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. 12. Juli 2009
    Hallo, hab da mal ne kleine verständnisfrage.
    Und zwar ist ein FUD-Trojaner ja meistens (bzw. immer?!) ja immer nur eine veränderte server.exe die vom jeweiligen Trojaner erstellt wurde (BiFrost SharK oder sonstwas).

    Das heißt die FUD-Datei an sich wird nicht erkannt, aber beim ausführen müsste ja das Virusprogramm die ursprüngliche Signatur erkennen, oder ist dem nicht so? (Das Programm muss ja zum ausführen wieder "entschlüsselt" werden)

    Bitte um Aufklärung... Danke
     
  3. 12. Juli 2009
    AW: Erkennt ein AV eine FUD-Exec beim ausführen?

    Ich glaube man unterscheidet zwischen Scantime-UD und Runtime-UD.
    Wenn eine .exe Scantime-UD ist, wird sie solange man sie nicht ausführt auch nicht erkannt.
    Wenn sie jedoch Runtime-UD ist, wird sie auch beim Ausführen nicht erkannt.
    Jetzt weiß ich nicht ob es .exe'n gibt die Runtime-UD aber nicht Scantime-UD sind. Anders rum geht das aber ganz sicher. Also eine Scantime-UD Datei muss nicht auch Runtime-UD sein.

    Ich hab keine Ahnung ob das so stimmt, aber irgendwas in der Art hab ich mal gelesen.
     
  4. 12. Juli 2009
    AW: Erkennt ein AV eine FUD-Exec beim ausführen?

    Ahaaa.. also bedeutet FUD nicht gleich FUD ^^...

    Bzw. ich dachte bisher das "Full" in Bezug auf verschiedene Virenprogramme steht. Aber vll. steht das ja auch in Bezug auf Scan UND runtime-UD ...


    Weiß noch jemand mehr? ... Vor allem würe mich jetzt interessieren wie ein Runtime-UD umzusetzen ist.. Thx.
     
  5. 12. Juli 2009
    AW: Erkennt ein AV eine FUD-Exec beim ausführen?

    Scantime-UD:
    Das Programm wird verschlüsselt -> wird nicht von AV erkannt. Beim Starten (doppelklick auf exe) wird das Programm entschlüsselt und auf die Festplatte gespeichert (hier schlägt AV zu) UND schliesslich ausgeführt. (Nach dem beenden wird das entschlüsselte Programm wieder von der HDD gelöscht und zurück bleibt nur das verschlüsselte)

    Als Drop-Zone für das entschlüsselte Programm wird gerne das Windows Temp Verzeichnis ausgewählt.


    Runtime-UD:
    Das Programm wird verschlüsselt -> wird nicht von AV erkannt. Beim Starten (doppelklick auf exe) wird das Programm entschlüsselt und im RAM ausgeführt.
     
  6. 12. Juli 2009
    AW: Erkennt ein AV eine FUD-Exec beim ausführen?

    Super ^^ ... Instinktiv hatte ich genau das vor was du bei der Scantime-UD geschrieben hast...
    Das entschlüsselte Programm im TEMP verzeichnis ablegen und ausführen....

    Aber das werde ich dann nochmal überdenken^^. Vielen Dank euch beiden.
     
  7. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.