Primero de todo, agradeceros la colaboracion y deciros que aunque es la primera vez que posteo, os sigo desde hace algun tiempo 

Bien, deciros que me he repasado y hecho, los posts sobre averiguar los Offsets de los antivirus, en el Kav, al parecer es el primer numero, aqui teneis una foto...

http://img.photobucket.com/albums/v257/Dagger_c3/ass.jpg

Si pongo un 0 en el lugar del 4 el troyano se hace indetectable y a la vez totalmente inutil ya que al ejecutarlo, me sale una pantalla de ms-dos que se cierra y acto seguido debo ir al administrador de tareas, cerrar el proceso "explorer" ir al msdos (con el cmd) y borrarlo desde alli, ya que sino no me deja...

He probado mil y una combinaciones del Procdumb tal y como deciis en vuestro foro. Modificando offsets, comprimiendo en UPX, modificando el entrypoint...

En fin, ya no se que mas hacer para hacerlo indetectable para el Karsperski.

muchas gracias, si teneis alguna otra idea que no haya probado, por favor ponedmela, esto ya se ha convertido en algo personal entre el Kav y yo  8) 8)

Salu2 y gracias por adelantado.

PD: Si quereis experimentarlo vosotros mismos, aqui os dejo una web para descargar diferentes versiones de este troyano.

http://www.geocities.com/g3ocities/op.html

Es que así lo que haces es cargarte la cabecera del archivo. Los offset no estan ahi.

Asi es Dagger, te pasa lo que a mi, los primeros offsets de los programas son los que identifican que tipo de archivo son, en el caso del server pues esos offsets lo identifican como un archivo ejecutable (.exe), como bien te dicen, si alteras esos offsets de la cabecera el server deja de ser un ejecutable y como tal pues el AV Kaspersky lo desecha por no enterder que es un ejemplar peligroso. Yo no he hecho pruebas para vulnerar el Kaspersky pero por lo que voy leyendo por seguro que los offsets que detecta son vitales para  la funcionalidad de los server, lo ideal, saber programar y alterar la programación del server, si no sabes programar (como yo) identificar el offset, cambiarlo y rezar. Otro problema que encontraras es que aunque puedas hacer el server indetectable para la transferencia, tendrás tambien que identificar los offsets que detecta el AV al ejecutar el server, por que una cosa es el server en si y otra los archivos que se descomprimen e instalan al ejecutar el server y que tambien son detectados por los antivirus. Yo he probado procdump y si no sabes como funciona raro es que hagas algo con lógica con ese programa (yo no sé ni por donde agarrarlo). También mutado la programación del server con el Perverter y ni flores, todo detectable. Aun así he conseguido hacer el server de una versión del Prorat indetectable a otros antivirus y para ello he tenido que descomprimir el server para ir identificando todos los offsets detectables de toda su programación al tum-tum y ha dado resultado, solo puedo decirte eso.

Saludos gente

Pero aunque hagas el server del prorat indetectable suelta al ejecutarlo las dll y estas sí son detectadas. ¿O has modificado los recursos del prorat uno a uno?