en visual basic, de un troyano, k me he descargado de una web, entiendo las funciones y demases, pero lo k quiero saber es k partes del codigo las detecta el AV, le he kitado funciones, basicamente lo k kiere es, poder ver el disco duro, descargar archivos de el, y ejecutar archivos, ademas de k tenga conexión inversa, bueno y como decia le he borrado funciones y aun asi me lo sige detectando el AV, espero k me ayuden, el codigo fuente es este http://www.Planet-Source-Code.com/vb/scripts/ShowCode.asp?txtCodeId=57746&lngWId=1 y en fin lo k quiero es saber cual es la parte del codigo k detecta el antivirus y como deberia modificarlo, de antemano gracias

S`pongo  que habra gente que tmb se hace la misma pregunta y voy a responder para que el post quede un poco mas actualizado.

Podrias probar de hacerlo indetectable cambiando la programacion del socket. Es decir cambia el codigo de la conexion. Los antivirus realmente no funcionan a partir de plantillas que si detectan algo igual signifique que sea un virus. Sino que trabajan en pequeñas cantidades aleatorioas de memoria que si coinciden lo detectara como troyano en este caso.

Normalmente los troyanos tienen funciones muy comunes, un claro ejemplo es la de abrir la bandeja de cd y claro. Pongamos que hayan 300 troyanos que usen ese mismo codigo para hacer eso, + 200 futuros que vaya a llevar ese codigo copiado. Entonces el antivirus ya detectaria 500 y eso en realidad no pasa. Por eso las funciones mas comunes como estas no són detecadas como "malware".

Conclusión Re-programa la conexion de sockets.

Un saludo

Srg. Skapunky

Eso es , al añadir mas funciones o recursos es muy posible que las firmas se desplazen de lugar asi que ya no te lo pillara el antivirus. Cambia a las funcioens de nombre, de lugar, haz las mismas cosas de diferente forma o distinto orden...