Autor
Como estais mis queridos newbies, les tengo una pregunta, 8) desearia saber como hacen para que el antivirus no detecte un troyano entrante y lo elimine.
Lean este articulo, aun no la he probado.
Hay varias formas de esquivar la acción de los antivirus. Si tenemos los suficientes conocimientos de programación, podremos variar el código fuente del troyano hasta hacerlo indetectable a los principales antivirus. Este método depende de nuestra habilidad como programadores y de que el código fuente del troyano esté disponible. Como es muy complicado unir ambas cualidades y esta web está más bien orientada hacia los principiantes que quieren aprender, voy a descartar este procedimiento.
Otro método muy usado (y bastante funcional en muchos casos) consiste en la cifrado del código del troyano hasta que el antivirus no sea capaz de conocerlo. Explicaré cómo se consigue esto aunque hay antivirus muy difíciles de engañar como McAfee.
El método más fácil de aplicar consiste en la utilización de un parche para hacer indetectable el servidor de un troyano. Para ello vamos intentar hacer nuestra prueba con el troyano Optix Pro 1.2.
Empecemos descargando el troyano desde:
http://cdeath.zoomph.net/illcommunity/progs/OptixPro.zip
Ahora busquemos el parche:
http://www.inicia.es/de/coolvibes/OptixPro1.2-ServerPatch.zip
Vamos a abrir el archivo OptixPro.zip y a continuación vamos a extraer a una carpeta el archivo SERVER.exe. Antes habremos tenido la precaución de desactivar nuestro antivirus para que no detecte la presencia de Optix Pro 1.2.
Ahora vamos a abrir el archivo OptixPro1.2-ServerPatch(1).zip. Extraigamos el ejecutable que encontremos dentro a la misma carpeta donde pusimos el archivo SERVER.exe. Hagamos doble clic sobre el archivo OptixPro1.2-ServerPatch.exe.
Si nos damos cuenta, este parche sólo está indicado para el servidor del troyano Optix Pro 1.2. El servidor sólo puede llamarse SERVER.exe, su tamaño ha de ser de 907,776 bytes y la fecha de publicación ha de ser el 28 de agosto de 2002. Si Usted se baja el troyano de otra parte y no coinciden estos datos, entonces el parche no funcionará.
Ahora vayamos a "Target File" y seleccionemos el archivo SERVER.exe (tal y como ven en pantalla). Si no les apareciera el archivo automáticamente, tendrían que buscarlo manualmente pulsando sobre el botón marcado con tres puntos (...).
Si marcan la casilla "Make a backup when possible", Ustedes tendrán una copia de seguridad del servidor original (esto se hace para evitar que un error en el parcheado corrompa el servidor). La copia de seguridad del servidor se llamará SERVER.exe.bak y su antivirus la detectará. Si la desea recuperar, sólo habrá de renombrarla a SERVER.exe.
Cuando tengamos el servidor seleccionado procedamos a su parcheado pulsando sobre "Start".
Ahora mismo el servidor ya es indetectable para KAV. Seguidamente habremos de proceder a su edición utilizando el editor y luego sería conveniente comprimirlo con UPX, habida cuenta de su gran tamaño.
Primero consigamos un buen compresor UPX desde
http://www.geocities.com/upxgui/UPX-GUI_1_20w.zip
Ya lo han descargado?. Instalen el compresor en su ordenador y ábranlo.
En la pestaña "Open File" pulsen sobre "Open" y busquen el archivo SERVER.exe que ya hemos parcheado. Luego vayan a la pestaña "Options" y fíjense.
Marquen todas las casillas tal y como las ven aquí. Sobre todo es conveniente que marquen la casilla "Force compression". Ahora acudan a la pestaña "Compress" .
Esta pantalla está capturada en pleno proceso de compresión y muestra la progresión y la compresión. Cuando "Progression Progress" llegue al 100%, se habrá comprimido el servidor. "Compression File Size" muestra el tanto por ciento de compresión del archivo final. Para iniciar todo este proceso de compresión previamente a todo lo explicado habremos pulsado el botón "Pack!".
Ya tienen Ustedes su troyano comprimido e indetectable a la mayoría de los antivirus.
Antes de terminar he de advertirles que McAfee es capaz de detectar en su análisis heurístico profundo el archivo comprimido como New Backdoor1. Pero curiosamente podemos engañar a McAfee si no comprimimos el archivo. En este último caso no lo llega a reconocer como una amenaza.
Como vemos, un método muy simple que cualquiera puede aplicar, es capaz de hacer indetectable (y por tanto, peligroso) un troyano que ya estaba en la base de datos de los antivirus.
¿Entienden ahora por qué nadie está completamente seguro aunque actualice su antivirus constantemente?.
La seguridad total es una quimera.
|
 |
Bienvenido(a), Visitante. Por favor Ingresar o Registrarse ¿Perdiste tu email de activación?. |
|
23 Mayo 2012, 06:11 |
En línea
