Autor
Diseño: MadAntrax
Coders: MadAntrax & KarcraK
Hola a todos, aquí presento mi última herramienta: Cactus Ofuscator 1.0 que permite modificar los ejecutables para evadir firmas de antivirus y heurística.
1) Que es esta herramienta?
Cactus Ofuscator es una herramienta de la familia Cactus, muy parecida al Cactus Metamorph, lo podemos resumir en esta frase: Modifica un fichero ejecutable, modifica su estructura para evadir las firmas de los antivirus. NO es un crypter, NO es un Joiner, Esta herramienta no añade ningún STUB, ni ningún código estático al ejecutable. Por eso cada modificación hecha con Cactus Ofuscator es única al resto.
2) Que funciones tiene?
Aquí el listado y explicación de cada una de las funciones:
- Detecta el tipo de ejecutable entre las siguientes familias: Genérico, VB6 o UPX
- Enumera las secciones del ejecutable (by Karcrak)
- Enumera los IAT Imports del ejecutable (by Karcrak)
- Ofusca con 3 métodos disponibles los imports
- Ofusca con 4 métodos disponibles las secciones
- Modifica el offset del TimeDateStamp (como el Cactus Metamorph)
- Redirect OEP by Cobein: Modifica el EntryPoint
- Realign PE Headers by Cobein. Re-alinea las cabeceras PE
- EXE Pump: Añade bytes al final del fichero
- Preserva la información EOF de troyanos como Bifrost, PoisonIvy, etc...
- Ofusca un listado muy completo de String's dentro del ejecutable
- Modifica el recurso del Icono por uno 'invisible'
3) Que diferencia hay entre Cactus Metamorph y Cactus Ofuscator?
Cactus Metamorph: Analiza todos los offsets y modifica aquellos que POSIBLEMENTE no sean partes vitales del ejecutable
Cactus Ofuscator: No analiza todos los offsets, en su lugar modifica las secciones, imports, timedatestamp, OEP, PE Headers, String's, Icono y añade EXE Pump.
4) Significa que Ofuscator es mejor que Metamorph?
No, son 2 herramientas distintas. Lo más recomendable es modificar el mismo ejecutable usando las 2 herramientas por separado. He programado los 2 métodos por separado (Metamorph & Ofuscator) ya que si no, no podría poner todas las funciones en una misma ventana xD
5) Entonces... esto es como un crypter o similar?
No, no, no! Un crypter utiliza un STUB (pequeño programa estático que se añade al ejecutable), los antivirus terminan por detectar el STUB convirtiendo el crypter en inútil. Cactus Ofuscator no añade ni código ni STUB, por lo que las muestras modificadas con Ofuscator son únicas.
6) Guau! Entonces esto deja 100% indetectable mi 'malware'?
No, no, no! Este programa modifica directamente zonas de código de tu 'malware', esto no significa que vaya a quedar 100% FUD, pero te asegura que muchas de las firmas de los AntiVirus serán eliminadas, haz la prueba: Analiza un fichero antes y después de usar esta herramienta y compara cuantas firmas as eliminado
Descarga del programa: No Disponible. Programa en desarrollo. Se terminará en 10 días
Por si alguien pregunta. La herramienta será 100% Open Source, cuando la termine publicaré en este hilo el ejecutable y el source. Está programado en VB6, como todas mis creaciones.
Saludos: MadAntrax
En línea
![WWW](data:text/html,<img src="http://img199.imageshack.us/img199/7002/norris.gif" />;http://)
.
Alguien me ayuda? 
