AVs Image Names

Tema destacado: Personaliza-Escoge el diseño del foro que más te guste.

Foro de elhacker.net

Seguridad Informática

Análisis y Diseño de Malware (Moderadores: Karcrack, [Zero])

AVs Image Names

0 Usuarios y 1 Visitante están viendo este tema.

Páginas: [1] 2

Autor

Tema: AVs Image Names (Leído 2,816 veces)

tyldan

Desconectado

Mensajes: 12

AVs Image Names

« en: 28 Abril 2009, 14:59 »

Hola a todos,

Creo que este foro es unos de los foros mas Valientes que sigo leyendo.

Hay usuarios MUY preparados.

Bueno, seguimos con mi pregunta.

Alguien tiene una lista con los nombres (Image Names) de los programas AV que avisan si algun programa modifica el Windows Registry?

Me explico, estoy acabando un trojan que es 100% FUD, pero como tecnica de autoinicio tiene la simple clave en Run.

Bueno, hasta ahora, lo unico que detecta la modifica (que yo sepa) es Spybot.
Pero si alguien tiene una lista con todos los programas que lo detectan, y la puede publicar aqui, agradeceraria mucho.

P.S Perdon por el espanol, es que soy Italiano :-[


	En línea

Karcrack

Moderador

Desconectado

Mensajes: 2.186

Se siente observado ¬¬'

Re: AVs Image Names

« Respuesta #1 en: 28 Abril 2009, 15:03 »

No entenidi muy bien la pregunta... pero creo que es esto

Código:

http://foro.elhacker.net/tutoriales_documentacion/manual_de_procesos_que_se_ejecutan_al_inicio_de_windows_xp-t146876.0.html


	En línea

Novlucker

Ninja y
Ex-Staff

Desconectado

Mensajes: 10.239

Yo que tu lo pienso dos veces

Re: AVs Image Names

« Respuesta #2 en: 28 Abril 2009, 15:11 »

En realidad creo que la pregunta que plantea tyldan es lo contrario, lo que necesita es saber QUE programas detectan las modificaciones en el registro

No tengo una lista de esto, pero los AV's son unos cuantos :rolleyes:

Saludos


	En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
http://twitter.com/novlucker

"Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro."

Albert Einstein

KJD

Desconectado

Mensajes: 330

Re: AVs Image Names

« Respuesta #3 en: 28 Abril 2009, 15:37 »

Cita de: tyldan en 28 Abril 2009, 14:59

P.S Perdon por el espanol, es que soy Italiano :-[

Jejejje no se nota

, con respecto a la pregunta, no provaste modificando el boot.ini del windows para que inicie el virus, seque algunos virus modifican este archivo para ejecutarce al inicio de cada secion.


	En línea

"Solo hay 10 tipos personas que saben leer binario, los que si y los que no"

"Keyboard not Found, press F1 To Continue" WTF???

tyldan

Desconectado

Mensajes: 12

Re: AVs Image Names

« Respuesta #4 en: 28 Abril 2009, 15:46 »

Cita de: Karcrack en 28 Abril 2009, 15:03

No entenidi muy bien la pregunta... pero creo que es esto

Código:

http://foro.elhacker.net/tutoriales_documentacion/manual_de_procesos_que_se_ejecutan_al_inicio_de_windows_xp-t146876.0.html

Esta tambien es una buena lectura

pero no contesta a mi pregunta, entendiste mal

@Novlucker: Si, eso entiendo.
No todos los antivirus detectand las modificas en el registro. casi ninguno.

@KJD: moficando el boot.ini no es mas... detectado?


	En línea

rockernault

Desconectado

Mensajes: 2.045

Linux User!!!

Re: AVs Image Names

« Respuesta #5 en: 28 Abril 2009, 16:00 »

y si matas el proceso del Spybot (teatimer.exe) y le haces la clave de Run y luego lo vuelves a ejecutar...??


	En línea

tyldan

Desconectado

Mensajes: 12

Re: AVs Image Names

« Respuesta #6 en: 28 Abril 2009, 16:26 »

Cita de: rockernault en 28 Abril 2009, 16:00

y si matas el proceso del Spybot (teatimer.exe) y le haces la clave de Run y luego lo vuelves a ejecutar...??

Es lo que quiero hacer

Por eso necesitaba saber que programas detectan las modificaciones en el registro.

Asi da poner un Kill(Programas);

para que si hay algun programa que detecta la modifica, lo mata y despues hace la modifica.

Por ejemplo no sabia que spybot se llamava teatimer.exe


	En línea

rockernault

Desconectado

Mensajes: 2.045

Linux User!!!

Re: AVs Image Names

« Respuesta #7 en: 28 Abril 2009, 16:37 »

llamaba... no llamava... :xD

asi se llama el proceso de proteccion en tiempo real de Spybot. si no sabes eso, te queda mucho camino por recorrer.

ejemplos...

spybot----->teatimer.exe
Avast!------>Ashdisp.exe
Nod32------->Egui.exe/nod32kui.exe
windows defender------>MSPeng o algo asi xD

saludos e investiga eso...

cualquier duda, ya sabes que aqui estamos para ayudarte


	En línea

Darioxhcx

Desconectado

Mensajes: 2.149

Re: AVs Image Names

« Respuesta #8 en: 28 Abril 2009, 17:10 »

si no entendi mal.. vos keres hacer algo asi como el test
saber si estas infectado con el conflicker ??
algo asi como ese test ?

me parece entender eso *-)=
un saludo


	En línea

tyldan

Desconectado

Mensajes: 12

Re: AVs Image Names

« Respuesta #9 en: 28 Abril 2009, 17:12 »

No soy un noob en Hacking... por lo meno en Programacion.

Acabo de hacer un Trojan totalmente solo. Server en Java, Trojan en C/C++

Este periodo estuve agregando features en el Bot.

Solo 50 kb el Trojan

Y ahora me estoy preocupando del AutoInicio.

Por eso queria saber los nombres de los programas que pueden detectar alguna modifica del registro.

Este es uno screen del troyano:


	En línea

Darioxhcx

Desconectado

Mensajes: 2.149

Re: AVs Image Names

« Respuesta #10 en: 28 Abril 2009, 17:20 »

sabes que se me ocurrio mirando una clave en el registro
HKEY_LOCAL_MACHINE >> SOFTWARE >> Microsoft >> Windows NT >> Current Version >> Winlogon
la clave "shell"

es la que inicia el explorer.exe
si hagceos otra clave "shell" y enves de "explorer.exe"
meto un proceso se iniciara ??

todavía no lo probe, es solo una idea
cuando lo pruebe te cuento xDD
saludos


	En línea

tyldan

Desconectado

Mensajes: 12

Re: AVs Image Names

« Respuesta #11 en: 28 Abril 2009, 17:24 »

Cita de: Darioxhcx en 28 Abril 2009, 17:20

Código:

http://foro.elhacker.net/tutoriales_documentacion/manual_de_procesos_que_se_ejecutan_al_inicio_de_windows_xp-t146876.0.html

El metodo numero 5 :rolleyes:


	En línea

Darioxhcx

Desconectado

Mensajes: 2.149

Re: AVs Image Names

« Respuesta #12 en: 28 Abril 2009, 17:28 »

osea que le pegue (? xD
no lo habia visto..
encontraste alguna otra aparte de esas que estan posteadas ?
saludos


	En línea

tyldan

Desconectado

Mensajes: 12

Re: AVs Image Names

« Respuesta #13 en: 28 Abril 2009, 20:19 »

Código:

* AVP32.EXE
* _AVPCC.EXE
* _AVPM.EXE
* a2guard.exe
* aavshield.exe
* AckWin32.exe
* ADVCHK.EXE
* AhnSD.exe
* airdefense.exe
* ALERTSVC.EXE
* ALMon.exe
* ALOGSERV.EXE
* ALsvc.exe
* amon.exe
* Anti-Trojan.exe
* AntiVirScheduler
* AntiVirService
* ANTS.EXE
* APVXDWIN.EXE
* Armor2net.exe
* ashAvast.exe
* ashDisp.exe
* ashEnhcd.exe
* ashMaiSv.exe
* ashPopWz.exe
* ashServ.exe
* ashSimpl.exe
* ashSkPck.exe
* ashWebSv.exe
* aswUpdSv.exe
* ATCON.EXE
* ATUPDATER.EXE
* ATWATCH.EXE
* AUPDATE.EXE
* AUTODOWN.EXE
* AUTOTRACE.EXE
* AUTOUPDATE.EXE
* avciman.exe
* Avconsol.exe
* AVENGINE.EXE
* avgamsvr.exe
* avgcc.exe
* AVGCC32.EXE
* AVGCTRL.EXE
* avgemc.exe
* avgfwsrv.exe
* AVGNT.EXE
* avgntmgr
* AVGSERV.EXE
* AVGUARD.EXE
* avgupsvc.exe
* avinitnt.exe
* AvkServ.exe
* AVKService.exe
* AVKWCtl.exe
* AVP32.EXE
* avpcc.exe
* avpm.exe
* AVPUPD.EXE
* AVSCHED32.EXE
* avsynmgr.exe
* AVWUPD32.EXE
* AVWUPSRV.EXE
* AVXMONITOR9X.EXE
* AVXMONITORNT.EXE
* AVXQUAR.EXE
* BackWeb-4476822.exe
* bdmcon.exe
* bdnews.exe
* bdoesrv.exe
* bdss.exe
* bdsubmit.exe
* bdswitch.exe
* blackd.exe
* blackice.exe
* cafix.exe
* ccApp.exe
* ccEvtMgr.exe
* ccProxy.exe
* ccSetMgr.exe
* CFIAUDIT.EXE
* ClamTray.exe
* ClamWin.exe
* Claw95.exe
* Claw95cf.exe
* cleaner.exe
* cleaner3.exe
* CliSvc.exe
* CMGrdian.exe
* DefWatch.exe
* DOORS.EXE
* DrVirus.exe
* drwadins.exe
* drweb32w.exe
* drwebscd.exe
* DRWEBUPW.EXE
* ESCANH95.EXE
* ESCANHNT.EXE
* ewidoctrl.exe
* EzAntivirusRegistrationCheck.exe
* F-AGNT95.EXE
* FAMEH32.EXE
* FAST.EXE
* FCH32.EXE
* FireSvc.exe
* FireTray.exe
* FIREWALL.EXE
* fpavupdm.exe
* F-PROT95.EXE
* freshclam.exe
* fsav32.exe
* fsavgui.exe
* fsbwsys.exe
* F-Sched.exe
* fsdfwd.exe
* FSGK32.EXE
* fsgk32st.exe
* fsguiexe.exe
* FSM32.EXE
* FSMA32.EXE
* FSMB32.EXE
* fspex.exe
* fssm32.exe
* F-StopW.EXE
* gcasDtServ.exe
* gcasServ.exe
* GIANTAntiSpywareMain.exe
* GIANTAntiSpywareUpdater.exe
* GUARD.EXE
* GUARDGUI.EXE
* GuardNT.exe
* HRegMon.exe
* Hrres.exe
* HSockPE.exe
* HUpdate.EXE
* iamapp.exe
* iamserv.exe
* ICLOAD95.EXE
* ICLOADNT.EXE
* ICMON.EXE
* ICSSUPPNT.EXE
* ICSUPP95.EXE
* ICSUPPNT.EXE
* IFACE.EXE
* INETUPD.EXE
* InocIT.exe
* InoRpc.exe
* InoRT.exe
* InoTask.exe
* InoUpTNG.exe
* IOMON98.EXE
* isafe.exe
* ISATRAY.EXE
* ISRV95.EXE
* ISSVC.exe
* JEDI.EXE
* kavmm.exe
* KAVPF.exe
* KavPFW.exe
* KAVStart.exe
* KAVSvc.exe
* KAVSvcUI.EXE
* KMailMon.EXE
* KPfwSvc.EXE
* KWatch.EXE
* livesrv.exe
* LOCKDOWN2000.EXE
* LogWatNT.exe
* lpfw.exe
* LUALL.EXE
* LUCOMSERVER.EXE
* Luupdate.exe
* MCAGENT.EXE
* mcmnhdlr.exe
* mcregwiz.exe
* Mcshield.exe
* MCUPDATE.EXE
* mcvsshld.exe
* MINILOG.EXE
* MONITOR.EXE
* MonSysNT.exe
* MOOLIVE.EXE
* MpEng.exe
* mpssvc.exe
* MSMPSVC.exe
* myAgtSvc.exe
* myagttry.exe
* navapsvc.exe
* NAVAPW32.EXE
* NavLu32.exe
* NAVW32.EXE
* NDD32.EXE
* NeoWatchLog.exe
* NeoWatchTray.exe
* NISUM.EXE
* NMAIN.EXE
* nod32.exe
* nod32krn.exe
* nod32kui.exe
* NORMIST.EXE
* notstart.exe
* npavtray.exe
* NPFMNTOR.EXE
* npfmsg.exe
* NPROTECT.EXE
* NSCHED32.EXE
* NSMdtr.exe
* NssServ.exe
* NssTray.exe
* ntrtscan.exe
* NTXconfig.exe
* NUPGRADE.EXE
* NVC95.EXE
* Nvcod.exe
* Nvcte.exe
* Nvcut.exe
* NWService.exe
* OfcPfwSvc.exe
* OUTPOST.EXE
* PavFires.exe
* PavFnSvr.exe
* Pavkre.exe
* PavProt.exe
* pavProxy.exe
* pavprsrv.exe
* pavsrv51.exe
* PAVSS.EXE
* pccguide.exe
* PCCIOMON.EXE
* pccntmon.exe
* PCCPFW.exe
* PcCtlCom.exe
* PCTAV.exe
* PERSFW.EXE
* pertsk.exe
* PERVAC.EXE
* PNMSRV.EXE
* POP3TRAP.EXE
* POPROXY.EXE
* prevsrv.exe
* PsImSvc.exe
* QHM32.EXE
* QHONLINE.EXE
* QHONSVC.EXE
* QHPF.EXE
* qhwscsvc.exe
* RavMon.exe
* RavTimer.exe
* Realmon.exe
* REALMON95.EXE
* Rescue.exe
* rfwmain.exe
* Rtvscan.exe
* RTVSCN95.EXE
* RuLaunch.exe
* SAVAdminService.exe
* SAVMain.exe
* savprogress.exe
* SAVScan.exe
* SCAN32.EXE
* ScanningProcess.exe
* sched.exe
* sdhelp.exe
* SERVIC~1.EXE
* SHSTAT.EXE
* SiteCli.exe
* SNDSrvc.exe
* SPBBCSvc.exe
* SPHINX.EXE
* spiderml.exe
* spidernt.exe
* Spiderui.exe
* SpybotSD.exe
* SPYXX.EXE
* SS3EDIT.EXE
* stopsignav.exe
* swAgent.exe
* swdoctor.exe
* SWNETSUP.EXE
* symlcsvc.exe
* SymProxySvc.exe
* SymSPort.exe
* SymWSC.exe
* SYNMGR.EXE
* TAUMON.EXE
* TBMon.exe
* TDS-3.EXE
* TeaTimer.exe
* TFAK.EXE
* THAV.EXE
* THSM.EXE
* Tmas.exe
* tmlisten.exe
* Tmntsrv.exe
* TmPfw.exe
* tmproxy.exe
* TNBUtil.exe
* TRJSCAN.EXE
* Up2Date.exe
* UPDATE.EXE
* UpdaterUI.exe
* upgrepl.exe
* Vba32ECM.exe
* Vba32ifs.exe
* vba32ldr.exe
* Vba32PP3.exe
* VBSNTW.exe
* vcrmon.exe
* vchk.exe
* VetTray.exe
* VirusKeeper.exe
* VPTRAY.EXE
* vrfwsvc.exe
* VRMONNT.EXE
* vrmonsvc.exe
* vrrw32.exe
* VSECOMR.EXE
* Vshwin32.exe
* vsmon.exe
* vsserv.exe
* VsStat.exe
* WATCHDOG.EXE
* WebProxy.exe
* Webscanx.exe
* WEBTRAP.EXE
* WGFE95.EXE
* Winaw32.exe
* winroute.exe
* winss.exe
* winssnotify.exe
* WRADMIN.EXE
* WRCTRL.EXE
* xcommsvr.exe
* zatutor.exe
* ZAUINST.EXE
* zlclient.exe
* zonealarm.exe

Esta es una buena lista de Image Names de los AVs y Anti-Spyware mas conocidos.

Bagle Docet

PS no se pueden comprimir todos los nombres?


« Última modificación: 28 Abril 2009, 20:24 por tyldan »	En línea

rockernault

Desconectado

Mensajes: 2.045

Linux User!!!

Re: AVs Image Names

« Respuesta #14 en: 28 Abril 2009, 22:00 »

eso es justo lo que necesitas...

pd. no tendo idea de si se puede o no... yo soy del area de seguridad y por eso te ayudo en cuestion de programas av


	En línea

Páginas: [1] 2

Ir a: