Een beetje AV die scant ook het geheugen van de PC zelf.
Dus alhoewel het bestan wel gedownload kan worden, wordt het wel na het decrypten gestopt.

Overigens is het ook zo dat de malware downloader zelf wel in .exe formaat is

Het probleem is vooral om te voorkomen dat malware die al aanwezig is op een PC nog meer malware gaat downloaden. En dat is een irritant probleem omdat malware onder allerlei vormen verborgen kan worden. Goede AV zal ook het geheugen controleren en bewaken wat voor bestanden worden weggeschreven naar de schijf. Toch kan dit door malware worden omzeild.

Maar het wordt wel lastig voor AV software omdat real-time scanning het systeem vertraagt en diverse gebruikers dit mogelijk uitzetten. Daarnaast is er software die executables aanmaakt, zoals Visual Studio, dan moet de AV slim genoeg zijn om dit onderscheid te zien.

Ik zie het probleem niet echt, de dropper komt binnen als exe, vang je exe's goed af dan zal de .ENC nooit gedownload worden. Loop je de dropper op dan heb je al verloren, zet men de .ENC optie dicht dan verstopt een aanvaller bijvoorbeeld de code in een afbeelding (stego) etc

Ik snap niet hoe men dit nieuw kan noemen het is er zeker al heel lang.. Je anti-virus oplossing onder Windows monitort gewoon de tcp/udp(denk aan bekende rats, bots, listed domains ..) als jij via een website download en een download functie activeert (op bvb een download.php pagina of whatever je doet) zal deze zou een stream header sturen of in het simpelste geval jouw browser maakt een get request en dan zal je av zien welke content-type je download zoals bvb javascript, octet-stream, pdf etc dan zal hij dit scannen op de plek van je browser waar die tijdelijk de .part file neerzet of via de stack. Nog iets leuks is als je de na mz in de pe header de string *!This program cannot be run in DOS mode* verwijderd/vervangt dat bijna elk av systeem hem als veilig doet flagged omdat deze dan "onschadelijk" zou zijn en dat klopt ook maar hoe moeilijk is het om zoiets terug te zetten? Helemaal niet.. Zoals bbecko al zei bijna iedere anti-virus oplossing van de dag van vandaag heeft wel een zogeheten "memory scanner". Dat klopt die scant je memory address space, en zoekt naar bekende of verdachte instructies en code sections/function/modules etc. En kijkt naar wat je systeem doet (soort heuristic detection). Dit is vaak niet efficiënt veel malware is tegenwoordig al metamorphic of polymorphic en dan is je anti oplossing ook game-over. Als je gaat kijken naar emulators dan zou dat misschien wel iets beter werken alleen die kun je ook vaak zeer eenvoudig belazeren....

De encryptie is over duidelijk enc is de afkorting van "enc|ryption". Ik snap niet wat hier zo nieuw aan moet zijn er zijn al zeker een jaar of 2 geleden of zelfs al veel langer terug varianten geweest van zeus die zodanig aangepast zijn dat ze ook de plugins encrypted downloaden en dan alles in een bytearray zetten decryption erover dan runpe of injection in ander pocess(ligitiem process zoals je browser) voor denk aan een fbw te omzeilen.

Kijk ik ben ook geen professional maar heb zelf wel al genoeg onderzoek gedaan en weet met zekerheid dat dit in ieder geval zeker de basis is waarop dit soort zaken te werk gaan..

Het kan aan mij liggen maar dit is toch niet geavanceerd te noemen? Zip bestanden worden standaard gescand en als daar een exe inzit wordt de bijlage geblokkeerd. Als het nu in een script in een Word of PDF bestand was verstopt... ok, dan was het gevaarlijker, maar dit wordt door standaard beveiligingsinstellingen van bv Exchange al tegengehouden.

Ik ben het helemaal eens met je post.

Wel is het zo dat bij polymorphic code e.d. dat er een stuk code is dat altijd hetzelfde zou moeten blijven om de rest van de malware draaiende te houden.

Nu zou ook dit weleens kunnen veranderen met instructies die geen effect op elkaar hebben, maar een goede AV leverancier kan dit ook detecteren en hierop z'n database aanpassen.
Weliswaar kan dit nog betekenen dat er non-malware als malware wordt gezien (false positives)
Maar ik heb liever wat extra false positives dan false negatives (malware waarvan wordt verdacht dat het geen malware is)