Zitat von
DGL-luke:
ich bitte dich, die
AV-Hersteller haben eine irrsinnige Manpower, und wenn die es nicht schaffen, zuverlässig Viren zu erknnen, wie sollen wir es schaffen das zu tun und gleichzeitig noch die Urheber zu verfolgen?
Und wie groß wäre wohl deren Interesse daran, daß alle VXer verschwinden? Na? Weiß es jemand?
Zitat von
DGL-luke:
Die Chance dazu sehe ich aber eher in der Analyse der Ausbreitungswege (Ich zitiere: "Malware Form: EXPLOIT ") des Virus.
Also man müßte es sich angucken, aber ich möchte bezweifeln, daß es ein echter Exploit ist. Vielmehr denke ich, daß es sich - da das Modul ein Treiber ist - um die übliche Rootkit-Masche handelt. Und es ist durchaus kein Exploit oder Sicherheitsloch, wenn ein Treiber alles machen kann. Auch Hoglund schreibt in seinem Buch "Exploiting Software" fehlerhafterweise, daß es bewiese, daß NT unsicher wäre, weil man mit der Änderung nur eines Bytes im Kernel die Sicherheitsmaßnahmen ausschalten könne. Das ist Quark, weil der Code zuvor in den Kernel gelangen muß - und daran muß, das kann man drehen und wenden wie man will, immer ein Admin beteiligt sein, es sei denn es handelt sich wirklich um den Exploit einer
echten Verwundbarkeit. In diesem Fall steht aber eine unabhängige Analyse wohl noch aus ...
Zitat von
DGL-luke:
Wenn man das den
AV-Herstellern zuspielt, können sie das in ihre Lösungen integrieren. Aber wenn es dieses PrevX hat, sollten es die anderen auch haben...
Irrtum. PrevX basiert auf einer P2P-ähnlichen Technologie. Die versorgen sich selber mit Samples. Ganz so einfach haben es die AVler nicht.
Zitat von
ritchietwo:
Ich will nix "kaputtmachen", nur entlarven und offenlegen! Meinst du die AVs setzen solche Trojaner in die Welt, um ihr Geschäft anzukurbeln?
Wäre durchaus möglich. Und die Abschottung, die in der
AV-Industrie herrscht, bestärkt mich nur in dieser Vermutung.