Pues a mi también me recuerda mucho a la GUI del cactus, pero bueno, ya paso de todos. Con esto conseguís que no publique ningún source nunca más.

Si hago esto, me cargaré la config de los troyanos que utilicen su EOF para almacenar variables (por ejemplo Bifrost) es por eso que quiero implementar la opción de "añadir secciones al ejecutable", aunque sea complicado al menos lo intentaré

Exacto! podéis enviar los ejecutable modificados a Virustotal para comprobar si funciona, pues no usa stub ni añade ningún código/patrón estático a los ejecutables.

Que ni se le ocurra ... 

Shhhh!, pero déjame verlas antes! No quiero que pongas aquellas fotos donde salimos los 2 en pelotas

A ver... no es necesário ser un gurú de la programación para ser miembro del Lab. Yo, por ejemplo, sólo conozco VB6 como lenguaje de programación...

Para entrar en el Lab se necesita una mente clara, buenas ideas, originalidad, entusiasmo, iniciativa, etc... y si encima sabes programar ¡perfecto!

Actualmente hay miembros del Lab que NO programan, pero simplemente aportan, dan ideas y encabezan proyectos de una forma extraordinaria! Por mucho que sepas programas o por muy bueno que seas programando... no te asegura una entrada en el Lab.

A parte, los futuros miembros del Lab son elegidos por los actuales miembros del Lab, asi de facil.

Lo repito y no me canso, el saber programar mucho no es un requisito indispensable para entrar. Propongan proyectos, hagan PoC's, creen tutoriales o guias sobre algun concepto nuevo para un proyecto nuevo, etc... tampoco es necesario que digais: "esto para el lab (lo que sea)", simplemente hacer proyectos o codigos y los publicais, y poco a poco los miembros del Lab verán el interés en vosotros y os escogerán...

Por mucho que digais: "yo s eprogramar, quiero entrar" no lo cnoseguireis.

Saludos y suerte!!!

Advertencia - mientras estabas leyendo, una nueva respuesta fue publicada. Probablemente desees revisar tu mensaje.

No me han hechado, sencillamente estuve muy ausente en el Lab y tenia mis ideas e iniciativa estancada, nada que no arregle una nueva entrada de año 2008 con nuevas ideas y propósitos!!

Saludos!!

Soy MadAntrax, natural de Barcelona 21 años. Trabajo como Administrador de Sistemas Informáticos. Ex-miembro del Lab-ultra-privado

Hobbies: Programación en VB6, anuque me dedico profesionalmente a los Sistemas.

Me gustan: Rubias, Morenas y/o pelirojas
No me gustan: La prepotencia, los Trolls y la gente sin ética. Odio los mails_cadena del palo: "Hotmail se cierra si no me reenvias 500 veces!"

Saludos!

Usuario kichan baneado

El supuesto "moderador amenazador" era yo.

Cierro el post

ni los guisantes 

aaaaaaaaaaaaaa

el mejor Keylogger es el Cactus Keylogger (actualmente no está publicado, sólo 4 privilegiados lo tienen).

Tiene las opciones del propio Cactus, notificación por SMT, FTP, etc. Encriptación de logs, AV-Killer incorporado, FirewallXP ByPass, Melt, Mutex, etc, etc... ligero e indetectable porque usa Hooks a nivel de teclado (no usa AsyncKeyState xD)

Cuando termine el Metamorph 0.2 y el Cactus Joiner 3.0 publicaré el Cactus Keylogger 1.0 Public Version. (y luego el Cactus Downloader 1.0 Public Version). Actualmente estas aplicaciones están para uso privado

Se siente, es lo que hay

Utilizo un algoritmo casero (programado por mí) para detectar que offsets no son "vitales" para un ejecutable

Actualmente, el patrón de modificación viene dado por el diccionario que escojas, en la futura versión estará la opción de Clonación de Código que sirve para modificar esos offsets con los offsets de otra aplicación inofensiva, para despistar un poco a los AV.

No, como he dicho arriba el diccionario es el patrón de modificación. El número de offsets viene dado en el tamaño de la ofuscación. Cuanto más ofuscas, más offsets modificas (lo que conlleva más riesgo de cargarte el binario).

En la futura versión servirá para añadir una nueva sección al ejecutable para alterar su tamaño, agregando algunos bytes al final (esto sí que es peligroso, está en fase beta).

El programa abre el ejecutable en modo Binary Access Read, vuelca su contenido en una variable Array del tipo Byte y crea un bucle desde el inicio hasta el fin del código, convirtiendo cada valor en Hexadecimal y realizando todo el algoritmo para detectar si es un offset "vital" o no, esto como comprenderás conlleva unos milisegunso por offset, dependiendo del PC.

No los modifico a boleo, sigo un algoritmo casero. Dependiendo del ejecutable será más facil joderlo o no. Si se trata de un server del bifrost o poison ivy... te aseguro que por muchos offsets "no vitales" que modifiques, te seguirá siendo detectado, pues su firma está en los offsets vitales que no se llegan a modificar.

Hay otros ejecutables que por poco que los modifiques se joden, el algoritmo no se puede adaptar a todos ellos, pero abarca un gran abanico de posibilidades. Lo bueno es que tú puedes escoger cuantos offsets se modificarán a través del nivel de ofuscación. Si te peta una aplicación prueba de bajar esa barra y listos.

Próxima versión 0.2: 80% terminada

El Lab sirve para desarrollar aplicaciones bajo estrictas medidas de privacidad... ¿para que vas a crear un proyecto ultra secreto si luego lo publicas a los 4 vientos?

Me refiero que nunca verás a la luz ningún proyecto del Lab, o al menos no verás a la luz ninguno de los más importantes

Por cierto... yo ya no pertenezco al Lab

A mi me mola!

buen trabajo

Avance sobre la próxima versión:



Aquí tenéis una imagen de lo que será la próxima versión 0.2 de Cactus Metamorph. Se han solucionado algunos bugs y se han añadido nuevo módulos y mejoras, aparte, ahora el código está algo más optimizado y es más rápido y estable y dejo el listado de funciones:

• Nivel de ofuscación aumentado (de 15 a 25)
• Diccionarios más amplios y efectivos
• El Diccionario 'Estático' es ahora más dinámico. Permite seleccionar de forma aleatoria el carácter hexadecimal que se usará
• Añadido el módulo de 'Añadir secciones: EOF Virtual'. Permite falsear y aumentar el tamaño del ejecutable final
• Añadido el módulo de 'Clonación de Código'. Permite reemplazar el código del malware por código real de otra aplicación inofensiva, para confundir a los AV's
• Estadísticas mejoradas y más precisas
• Añadida hora del sistema que se utiliza para mejorar la semilla aleatoria (Random Seed)
• Añadida la opción de mostrar un informe al final del proceso con todos los cambios realizados al ejecutable
• Añadido botón de Detener, funciona a la perfección
• Añadido botón de minimizar. No SysTray
• Arreglado botón de cerrar (x). Ahora funciona y detiene el proceso
• Mejorada barra de %. Más precisa con archivos pequeños.
• Mejorada GUI, barra de texto animada y movible
• Añadido sistema de ayuda (Help). Muestra cuadros dinámicos en el centro
• Mejoras en el código interno. Mayor estabilidad y rapidez

Opciones que faltan:

• Preservar EOF original (para ejecutables tipo Bifrost que almacenan información en su EOF

Si alguien quiere incluir una nueva opción o mejorar una que ya existe que lo diga ahora!! Saludos y gracias!!

---

Otra cosa... ¿Queréis que publique el source de esta aplicación? o por el contrario pensáis que es mejor no publicarlo para evitar futuras copias ilegitimas (como sucedió con el Cactus Joiner y MSN Kick) 

Espero respuestas...

No consume CPU, consume tiempo de CPU al saltar los eventos de MouseOver, MouseClick, actualizar el icono, ponerlo, quitarlo, etc... Principalmente te diré que no pongo el SysTray porque no me gusta, ademas de las otras opciones.

Si algún usuario es algo observador sabrá que ninguna de mis aplicaciones lleva implementada la opción del icono en SysTray, hay que usar API's y estructuras, el código es algo extenso, consume demasiado tiempo de CPU para el efecto obtenido, y es muy feo para mi gusto xD.

Por eso no vereis unca ninguna aplicación mia con SysTray habilitado

(La nueva versión está al salir, nuevas funciones, mejoras en GUI y módulos, más rapido y estable)

Perfecto! La idea de Cactus Metamorph es ésta! Funciona de maravilla para el "malware doméstico" permitiendo modificar todos los offset's "inútiles" para tratar de cambiar la firma del Antivirus.

Dentro de un par de días sacaré la nueva versión con el módulo "Virtual EOF" funcionando. Se aceptan sugerencia sy mejoras para añadir al programa. Saludos!!