Autor
|
Tema: A que se debe ?? :D (Leído 6,111 veces)
|
Vaagish
Desconectado
Mensajes: 875
|
Buenas señores y señoras !! A que se debe esta deteccion ?
TR/Crypt.XPACK.Gen y Malware-Cryptor.Win32.Allblock
Que es lo que me detecta ? Puede ser una rutina de desencriptacion de cadenas quizas ??
Y ya que estamos.. si es eso lo que me detecta,, (la desencriptacion) alguien sabe de algun algoritmo para cifrar cadenas en asm ? uno mejor que sumarle un numero a los caracteres ascii, porque eso es lo que hago y esta muy simplote... Y con xor, la verdad que me da la misma mala espina.. no es nada muy elaborado..
Desde ya, Muchas gracias!!!
|
|
|
En línea
|
|
|
|
Vaagish
Desconectado
Mensajes: 875
|
Buenas tardes amigos,, sigo sin poder resolver este problema:
Malware-Cryptor.Win32.Allblock con el antivirus VBA32
Segun el sitio Dr.Web, lo que me esta descubriendo es:
Trojan.MulDrop.32703 (Dr.Web), Malware-Cryptor.Win32.General.3 (VirusBlokAda), TR/Crypt.ZPACK.Gen (Avira), New Malware.cc (McAfee), TROJ_DROPPER.ORX (Trend Micro), TrojanDropper:Win32/Alobtoe.A (Microsoft), Trojan-Dropper.Win32.Agent.ayfo (Kaspersky), Backdoor.Bot.100734 (BitDefender)
Lo cual es muy cierto,, me lo detecta un solo antivirus y la verdad, me estoy quedando sin ideas, ya cargo las apis dinamicamente, cifro las cadenas, hago algunos jumps, cambio el orden del programa y nada, me sigue detectando la app como un troyano..
Lo estoy haciendo en masm32, alguien tiene algun aporte para poder burlar este maldito antivirus ?? La verdad, nunca pense que ese av funcionara bien,, al parecer detecta mejor que el kaspersky :/
Muchas gracias!
|
|
|
En línea
|
|
|
|
Flamer
Desconectado
Mensajes: 1.052
crack, crack y mas crack...
|
Hola Vaagish como estas parece que nadie te ayuda asi que teboy a hechar una mano.
Tienes que buscar la linea de codigo que te detecta el AV y cambiarla por otra que haga lo mismo y para eso tienes que partir tu exe en dos y ver de esos dos cual es detectado y lugo volver a partilo y luego ver cual es detectado hasta que ubiques que pedaso del archivo es y buscar en el codigo fuente que linea es.
Saludos flamer y lo puedes hacer con un editor HEX o create un programa que divida el archivo en 2
|
|
|
En línea
|
|
|
|
Vaagish
Desconectado
Mensajes: 875
|
Muy buena opcion flamer!! No lo habia pensado asi.. Se me habia ocurrido usar el ollydbg y cambiar parte por parte por nops, y probar uno por uno en novirusthnks, pero lo dejo como ultima opcion, porque me va a llevar mucho rato... Siempre atento colega!! Muchas gracias! Y cualquier cosa, a las ordenes
|
|
|
En línea
|
|
|
|
Vaagish
Desconectado
Mensajes: 875
|
Bueno,, después de casi 4 hs de investigación me encuentro con este problema, lo posteo para no desperdiciar el tema que cree,, así, si en el futuro alguien se encuentra en esta misma situación, a lo mejor lo oriente a como encarar el asunto El antivirus VBA32 detecta este codigo como Malware-Cryptor.Win32.Allblock ;Dinamic proc Libreria:DWORD, Funcion:DWORD ; push Libreria ; call LoadLibrary ; push Funcion ; push eax ; call GetProcAddress ; mov Hand, eax ; ret
;Dinamic endp De echo, al parecer detecta la función LoadLibrary y GetProcAddress como algo peligroso.. tambien detecta la función si la quiero cargar de forma dinámica, porque (hasta donde yo se) la cargo con getprocaddress, o sea, usar getprocaddress, para obtener la dirección de getprocaddress.. ( Un dilema, no ? ) Bueno,, la solución al problema parecía lógico,, no usar esas funciones.. pero, no todo es tan color de rosas,, porque ahi aparecen otros problemas.. El antivirus Fprot detecta las funciones copyfile y getmodulefilename como algo peligroso ( detección por heuristica, mas precisamente: W32/Heuristic-400!Eldorado (not disinfectable) ) Haa,, vale destacar que las cadenas importantes del programa, estaban cifradas, pero cifradas o no, al parecer al Fprot, no lo engaña con eso.. ¬¬ Otra cosa importante es hacer un jmp al final del programa, y regresar al inicio, esto elude a 2 o 3 antivirus jejeje Bueno, de poder resolver el problema sin herramientas externas, no creo que ponga la solución.. eso va a quedar para mi, si el código que implemente funciona para eludir Av's mejor me hago de alguna rutina propia para tal propósito :p Saludos!
|
|
|
En línea
|
|
|
|
Иōҳ
Desconectado
Mensajes: 563
|
Pero si lo partes en dos el exe, acaso el parser del formato pe del av no detectaría eso? y lo tomaría como un binario inválido? o aún sí, aunque sea un binario inválido de igual manera lo tira contra su db de firmas?
Saludos, Nox.
|
|
|
En línea
|
|
|
|
Vaagish
Desconectado
Mensajes: 875
|
Hola Иōҳ ! Puede ser si que pase eso que dices tu.. yo al final fui comentanto el codigo hasta que acorrale "la firma" que me detectaba el AV. No probe cortando el archivo porque el hacha no corta archivos tan pequeños y me daba pereza buscar otro spliter..
Saludos !
|
|
|
En línea
|
|
|
|
Иōҳ
Desconectado
Mensajes: 563
|
Yo también lo haría como tú, quitaría módulos hasta dar con el que detecta ...
Saludos.
|
|
|
En línea
|
|
|
|
Flamer
Desconectado
Mensajes: 1.052
crack, crack y mas crack...
|
hola Vaagish si usas el algoritmo de xor deja avisarte que algunos antivirus los detecta, nose muy bien pero si usas muncho la instruccion xor tambien pienso yo que lo detecta, llaque mi Keygenme en ASM uso muncho la instruccion xor antes de cada bucle y me lo detecta el avast como un malware
saludos flamer
|
|
|
En línea
|
|
|
|
fary
|
Si partes el archivo en partes en algunas ocasiones lo deja de detectar el antivirus pero porque sabe que el programa no funciona... Yo tambien quitaría modulos y iría provando combinaciones.
suerte!
|
|
|
En línea
|
Un byte a la izquierda.
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
No me asigna IP ¿a que se debe?
Hacking Wireless
|
dave33
|
2
|
3,873
|
24 Mayo 2011, 12:46 pm
por dave33
|
|
|
¿Debe de dar placer?
Foro Libre
|
dimitrix
|
9
|
4,187
|
28 Mayo 2011, 22:15 pm
por leogtz
|
|
|
arp dns envenenado, a que se debe?
Hacking Wireless
|
igusi2008
|
4
|
3,289
|
18 Febrero 2012, 21:01 pm
por igusi2008
|
|
|
cosas que un programador debe y no debe hacer (codigos con ej incluidos)
Programación General
|
robertofd1995
|
0
|
2,114
|
3 Marzo 2014, 19:59 pm
por robertofd1995
|
|
|
¿A que se debe esto?
Redes
|
Machacador
|
2
|
4,905
|
22 Agosto 2018, 04:55 am
por El_Andaluz
|
|