elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Únete al Grupo Steam elhacker.NET


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  A que se debe ?? :D
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: A que se debe ?? :D  (Leído 6,085 veces)
Vaagish


Desconectado Desconectado

Mensajes: 875



Ver Perfil
A que se debe ?? :D
« en: 10 Mayo 2013, 00:33 am »

Buenas señores y señoras !! A que se debe esta deteccion ?

TR/Crypt.XPACK.Gen y Malware-Cryptor.Win32.Allblock

Que es lo que me detecta ? Puede ser una rutina de desencriptacion de cadenas quizas ??

Y ya que estamos.. si es eso lo que me detecta,, (la desencriptacion) alguien sabe de algun algoritmo para cifrar cadenas en asm ? uno mejor que sumarle un numero a los caracteres ascii, porque eso es lo que hago y esta muy simplote... Y con xor, la verdad que me da la misma mala espina.. no es nada muy elaborado..

Desde ya, Muchas gracias!!!
En línea

Vaagish


Desconectado Desconectado

Mensajes: 875



Ver Perfil
Re: A que se debe ?? :D
« Respuesta #1 en: 11 Mayo 2013, 23:19 pm »

Buenas tardes amigos,, sigo sin poder resolver este problema:

Malware-Cryptor.Win32.Allblock con el antivirus VBA32

Segun el sitio Dr.Web, lo que me esta descubriendo es:

Trojan.MulDrop.32703 (Dr.Web), Malware-Cryptor.Win32.General.3 (VirusBlokAda), TR/Crypt.ZPACK.Gen (Avira), New Malware.cc (McAfee), TROJ_DROPPER.ORX (Trend Micro), TrojanDropper:Win32/Alobtoe.A (Microsoft), Trojan-Dropper.Win32.Agent.ayfo (Kaspersky), Backdoor.Bot.100734 (BitDefender)

Lo cual es muy cierto,, me lo detecta un solo antivirus y la verdad, me estoy quedando sin ideas, ya cargo las apis dinamicamente, cifro las cadenas, hago algunos jumps, cambio el orden del programa y nada, me sigue detectando la app como un troyano..

Lo estoy haciendo en masm32, alguien tiene algun aporte para poder burlar este maldito antivirus ?? La verdad, nunca pense que ese av funcionara bien,, al parecer detecta mejor que el kaspersky :/

Muchas gracias!
En línea

Flamer


Desconectado Desconectado

Mensajes: 1.052


crack, crack y mas crack...


Ver Perfil WWW
Re: A que se debe ?? :D
« Respuesta #2 en: 13 Mayo 2013, 00:54 am »

Hola Vaagish como estas parece que nadie te ayuda asi que teboy a hechar una mano.

Tienes que buscar la linea de codigo que te detecta el AV y cambiarla por otra que haga lo mismo y para eso tienes que partir tu exe en dos y ver de esos dos cual es detectado y lugo volver a partilo y luego ver cual es detectado hasta que ubiques que pedaso del archivo es y buscar en el codigo fuente que linea es.

Saludos flamer y lo puedes hacer con un editor HEX o create un programa que divida el archivo en 2
En línea

Mi Canal De Youtube y Blog

https://elblogdeflamer.blogspot.com

Vaagish


Desconectado Desconectado

Mensajes: 875



Ver Perfil
Re: A que se debe ?? :D
« Respuesta #3 en: 13 Mayo 2013, 04:54 am »

Muy buena opcion flamer!! No lo habia pensado asi.. Se me habia ocurrido usar el ollydbg y cambiar parte por parte por nops, y probar uno por uno en novirusthnks, pero lo dejo como ultima opcion, porque me va a llevar mucho rato...

Siempre atento colega!! Muchas gracias! Y cualquier cosa, a las ordenes ;)
En línea

Vaagish


Desconectado Desconectado

Mensajes: 875



Ver Perfil
Re: A que se debe ?? :D
« Respuesta #4 en: 13 Mayo 2013, 08:49 am »

Bueno,, después de casi 4 hs de investigación me encuentro con este problema, lo posteo para no desperdiciar el tema que cree,, así, si en el futuro alguien se encuentra en esta misma situación, a lo mejor lo oriente a como encarar el asunto :)

El antivirus VBA32 detecta este codigo como Malware-Cryptor.Win32.Allblock

Código:
;Dinamic proc Libreria:DWORD, Funcion:DWORD

; push Libreria
; call LoadLibrary
; push Funcion
; push eax
; call GetProcAddress
; mov Hand, eax

; ret

;Dinamic endp

De echo, al parecer detecta la función LoadLibrary y GetProcAddress como algo peligroso.. tambien detecta la función si la quiero cargar de forma dinámica, porque (hasta donde yo se) la cargo con getprocaddress, o sea, usar getprocaddress, para obtener la dirección de getprocaddress.. ( Un dilema, no ? )

Bueno,, la solución al problema parecía lógico,, no usar esas funciones.. pero, no todo es tan color de rosas,, porque ahi aparecen otros problemas..

El antivirus Fprot detecta las funciones copyfile y getmodulefilename como algo peligroso ( detección por heuristica, mas precisamente: W32/Heuristic-400!Eldorado (not disinfectable) )

Haa,, vale destacar que las cadenas importantes del programa, estaban cifradas, pero cifradas o no, al parecer al Fprot, no lo engaña con eso.. ¬¬

Otra cosa importante es hacer un jmp al final del programa, y regresar al inicio, esto elude a 2 o 3 antivirus jejeje

Bueno, de poder resolver el problema sin herramientas externas, no creo que ponga la solución.. eso va a quedar para mi, si el código que implemente funciona para eludir Av's mejor me hago de alguna rutina propia para tal propósito :p

Saludos!
En línea

Иōҳ


Desconectado Desconectado

Mensajes: 563


Ver Perfil
Re: A que se debe ?? :D
« Respuesta #5 en: 15 Mayo 2013, 17:58 pm »

Pero si lo partes en dos el exe, acaso el parser del formato pe del av no detectaría eso? y lo tomaría como un binario inválido? o aún sí, aunque sea un binario inválido de igual manera lo tira contra su db de firmas?

Saludos,
Nox.
En línea

Eres adicto a la Ing. Inversa? -> www.noxsoft.net
Vaagish


Desconectado Desconectado

Mensajes: 875



Ver Perfil
Re: A que se debe ?? :D
« Respuesta #6 en: 15 Mayo 2013, 19:27 pm »

Hola Иōҳ ! Puede ser si que pase eso que dices tu.. yo al final fui comentanto el codigo hasta que acorrale "la firma" que me detectaba el AV. No probe cortando el archivo porque el hacha no corta archivos tan pequeños y me daba pereza buscar otro spliter..

Saludos !
En línea

Иōҳ


Desconectado Desconectado

Mensajes: 563


Ver Perfil
Re: A que se debe ?? :D
« Respuesta #7 en: 15 Mayo 2013, 22:07 pm »

Yo también lo haría como tú, quitaría módulos hasta dar con el que detecta ...

Saludos.
En línea

Eres adicto a la Ing. Inversa? -> www.noxsoft.net
Flamer


Desconectado Desconectado

Mensajes: 1.052


crack, crack y mas crack...


Ver Perfil WWW
Re: A que se debe ?? :D
« Respuesta #8 en: 16 Mayo 2013, 23:09 pm »

hola Vaagish si usas el algoritmo de xor deja avisarte que algunos antivirus los detecta, nose muy bien pero si usas muncho la instruccion xor tambien pienso yo que lo detecta, llaque mi Keygenme en ASM uso muncho la instruccion xor antes de cada bucle y me lo detecta el avast como un malware

saludos flamer
En línea

Mi Canal De Youtube y Blog

https://elblogdeflamer.blogspot.com

fary
Moderador
***
Desconectado Desconectado

Mensajes: 1.075



Ver Perfil WWW
Re: A que se debe ?? :D
« Respuesta #9 en: 17 Mayo 2013, 18:06 pm »

Si partes el archivo en partes en algunas ocasiones lo deja de detectar el antivirus pero porque sabe que el programa no funciona... Yo tambien quitaría modulos y iría provando combinaciones.

suerte!
En línea

Un byte a la izquierda.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
No me asigna IP ¿a que se debe?
Hacking Wireless
dave33 2 3,866 Último mensaje 24 Mayo 2011, 12:46 pm
por dave33
¿Debe de dar placer?
Foro Libre
dimitrix 9 4,172 Último mensaje 28 Mayo 2011, 22:15 pm
por leogtz
arp dns envenenado, a que se debe?
Hacking Wireless
igusi2008 4 3,285 Último mensaje 18 Febrero 2012, 21:01 pm
por igusi2008
cosas que un programador debe y no debe hacer (codigos con ej incluidos)
Programación General
robertofd1995 0 2,105 Último mensaje 3 Marzo 2014, 19:59 pm
por robertofd1995
¿A que se debe esto?
Redes
Machacador 2 4,869 Último mensaje 22 Agosto 2018, 04:55 am
por El_Andaluz
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines