¿Que es Poliformic Small joiner?

Es un joiner que tiene capacidades para generar varios stub diferentes y unir infinitos archivos.

Caracteristicas

• Cambiador de icono{

- En el caso de la seleccion de esta opción se crea una sección de resource en el stub para contener el icono de caso contrario no tendra sección de resource el stub , aparte que tiene soporte para 16x16 ,32x32,etc..
}

• Forma de obtener nuestra ruta {

- Esta es la forma de que el stub obtendra su ruta que por cierto si se selecciona una de las opciones en el stub solo estara esa opción al contrario de otros joiner que en el stub hace una comparacción para saber que hacer teniendo en el stub mismo todas las posibilidades , son 3 las opciones para obtener nuestra ruta que son :

• Api GetModuleFileNameW
• Api GetCommandLineW
• Mediante FS

}

• Modificar un poco el stub {

Lo que hace esta opción es cambiar mediante un sistema aleatorio algunas instrucciones de el stub,
}

• cifrar nuestro codigo {

Lo que hace esta opcion mediante un xor o un not (a elegir) todo el codigo de el stub haciendolo mas dificil de detectar por los AV.
}

---

Descargar:
La descarga está temporalmente deshabilitada

---

Esta versión es basica , cada dia se le agregaran nuevas opciones y se le mejoraran otras.



No subir ni a virustotal ni a ningun scanner que no sea http://novirusthanks.org con la casilla de no mandar muestras.

---

Muestra de stub conteniendo un archivo de texto con las opciones

• cifrar nuestro codigo = MEdiante NOT
• Forma de obtener nuestra ruta = Api GetCommandLineW
• Modificar un poco el stub= Si
• Con icono? = Si

File Info

Report generated: 20.5.2009 at 11.35.03 (GMT 1)
Filename: rrp3.exe
File size: 11 KB
MD5 Hash: 4CF141CE8CC2D4BDE697D9D377103C87
SHA1 Hash: D8D090CDBE3A02FDD49B31D5C1342F28DDC00922
Packer detected: Nothing found [Overlay] *
Self-Extract Archive: Nothing found
Binder Detector:  Nothing found
Detection rate: 0 on 24

Detections

a-squared - Nothing found!
Avira AntiVir - Nothing found!
Avast - Nothing found!
AVG - Nothing found!
BitDefender - Nothing found!
ClamAV - Nothing found!
Comodo - Nothing found! 
Dr.Web - Nothing found!
Ewido - Nothing found!
F-PROT 6 - Nothing found!
G DATA - Nothing found!
IkarusT3 - Nothing found!
Kaspersky - Nothing found!
McAfee - Nothing found! 
MHR (Malware Hash Registry) - Nothing found!
NOD32 v3 - Nothing found! 
Norman - Nothing found!
Panda - Nothing found!
Quick Heal - Nothing found!
Solo Antivirus - Nothing found!
Sophos - Nothing found!
TrendMicro - Nothing found!
VBA32 - Nothing found!   
Virus Buster - Nothing found!

Scan report generated by 
NoVirusThanks.org

Jaja, haciendo publicidad de nuestro soft? Me alegro que te haya gustado, cuento contigo para la 1 y 2 final en verano  .

Bueno YST al final ya no te hace falta la gui no? Gran trabajo, me gustan todos los trabajos de "polimorfismo"  .

Lo de pasarle el metamorph puede ser buena idea, pero aún no. Por ejemplo, cualquier herramienta en C/C++ y no se si en ASM también que se la pases mínimo el a-squared se va agregar, pusto que detecta el código estático que puse en el EntryPoint, pronto supongo que todos los antivirus se centrarán en ese código estático, pero se puede volver random facilmente, lo ideal sería que intetes traducir o usar el código de RedirectCalls, eso si puede darte buen resultado  .

Saludos

para l de la ruta http://undocumented.ntinternals.net/UserMode/Undocumented%20Functions/NT%20Objects/Process/PEB.html y en el peb el campo interante es esta struct http://www.nirsoft.net/kernel_struct/vista/RTL_USER_PROCESS_PARAMETERS.html . mucho software peca de eso ya que esos datos son modificables y puedes falsificar tanto el nombre del ejecutable como la ruta.

Buen trabajo, pero por favor, lee las normas, se tiene que publicar el código, esto es análisis y diseño de malware no uso de aplicaciones (me toca hacer el papel de moderador xD)

Exacto, pero esta información también es modificable... Hace unos meses, Lympex y yo estábamos programando un pequeño rootkit que hacia exactamente esto, modificar estructuras (estas y algunas más) para intentar lograr invisibilidad ante el RootkitUnhooker. Haber si retomamos el proyecto 

Buena información ctlon 

Un Saludo