Hola hace algunos meces me paso algo muy raro usando el conocido troyano bifrost resulta que lo deje abierto toda la noche después de haber subido el server a visrustotal.com y se conecto una victima de origen estadounidence y alcance a tomarle algunas capturas pocas ya que no entubo mas de 10 segundos online, estaba con un programa de tipo DOS viendo lo que precisamente hacia mi server, ahí comprendí que lo habían distribuido a las empresas de AV

Ahora el truco:

Resulta que pensandolo bien si distrubullen las muestras estas deben de ejecutarlas para ver el efecto que produce esta hacia el equipo, entonces que pasaria si modificamos un troso que no sea de firma de ningún antivirus lo guardamos y lo subimos a virus total???, simplemente dejaríamos inservible el server para que ellos lo puedan abrir y de esta forma nosotros veremos que tan indetectable se encuentra nuestro server y sin que ellos puedan ver el efecto que produce este dejandolo como archivo inofensivo, esto es solo una teoria y entiéndase bien que el archivo que enviaríamos a virus total no es el mismo que nosotros estamos dejando indetectable con cualquier método conocido...

Programas a utilizar

SignatureZero = Programa para revisar las firmas ya detectadas para que podamos modificar otro sector

Hex WorkShop = Editor hexadecimal


Ambos los pueden encontrar en el pack que nuestro amigo octalh puso para la ejecusion del metodo RIT abajo el link directo 

http://www.megaupload.com/pt/?d=GOQQS0W6    PROGRAMAS

PASS: http://www.octalh.mx.gs

igual el analisis no seria del todo seguro.
mejor haz un programa en VB y lo unes con un server de algun troyano conocido; en el programa de VB pones un aviso de "Fuck VirusTotal y su distribucion", de ese modo; cuando lo prueben; pues tendra un mensajillo...

claro es que en ese caso seria mejor hacer un crypter, segun como lo expones tu es como un joiner

mi idea es inutilizar el server modificando los offest de manera que quede inservible y no puedan ejecutarlo, que es la manera de clasificar si un archivo es o no virus

Bueno eso es cierto de solo enviar la firma pero no podremos usar crypters porq uno utilisa ya la encriptacion aunque la verdad si es buena idea sera cosa de probar.

PD: K-19 si nunca aporta nada si hico un post para vender sus productos (mi alegria)

Para alguien que sepa mas del tema de las empresas antivirus y su análisis de archivos que podría decir sirve esto o no??

Es 10000 veces mejor tener una maquina virtual y hacerle unas 4 snapshots y meterle los av mas comunes nod32,kaspersky,panda,avast etc y infectarlas y ver cuanto tiempo dura el troyanisamiento etc eso para mi es lo mejor