elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Trabajando con las ramas de git (tercera parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Como burlar advertencias de AV
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Como burlar advertencias de AV  (Leído 4,071 veces)
SockMon

Desconectado Desconectado

Mensajes: 29


Ver Perfil
Como burlar advertencias de AV
« en: 4 Septiembre 2010, 17:37 pm »

Hola, utilizo Kaspersky IS, logro hacer el server del Spy-net indetectable pero cuando lo ejecuto el AV me informa de que server.exe quiere tener acceso a datos del sistema (eso sale cada vez que abro alguna funcion del spy-net (keylooger, remote cam...) Y he puesto el server en la lista de excepciones del AV y ya no salen esos mensajes, pero claro ¿que puedo hacer para que no salga ese mensaje en una PC a la q no tenga acceso fisicamente?
« Última modificación: 4 Septiembre 2010, 19:54 pm por [Zero] » En línea

SnakingMax

Desconectado Desconectado

Mensajes: 167



Ver Perfil WWW
Re: Como vurlar advertencias de AV
« Respuesta #1 en: 4 Septiembre 2010, 18:11 pm »

Parece que la heurística del antivirus detecta el virus. Puedes hacer un código que cierre el proceso del antivirus y adjuntarlo a tu virus con un joinner.

Código que mate el antivirus es la solución que dan algunos virus al problema de que lo detecten una lista de antivirus comunes, aunque matar el proceso tiene un problema y es que el usuario se da cuenta de que se ha cerrado su antivirus.
Piensa que el virus que estás fabricando tiene código escrito que se parece a patrones de virus conocidos, por eso lo detecta el antivirus y aparece esa alarma.
Puedes camuflar el virus con algun comprensor/encriptador tipo UPX, protecciones anti-debugger... etc. Pero eso será efectivo hasta que se ejecute el virus.

Saludos
En línea

SockMon

Desconectado Desconectado

Mensajes: 29


Ver Perfil
Re: Como vurlar advertencias de AV
« Respuesta #2 en: 4 Septiembre 2010, 18:40 pm »

Pero eso será efectivo hasta que se ejecute el virus.

Saludos

Pero una vez que sea ejecutado volvera a salir esas notificaciones y apareceria de nuevo el problema.
En línea

Edu


Desconectado Desconectado

Mensajes: 1.082


Ex XXX-ZERO-XXX


Ver Perfil
Re: Como vurlar advertencias de AV
« Respuesta #3 en: 4 Septiembre 2010, 18:48 pm »

Pero como lograste hacer indetectable el server del spynet? usando crypters?
si es asi, talvez usaste un crypter scan time, busca otro q sea runtime, en realidad la mayoria q bajes van a ser runtime, pero bajate otro q sea nuevo y analizalo bien a ver si lo detecta
En línea

SockMon

Desconectado Desconectado

Mensajes: 29


Ver Perfil
Re: Como vurlar advertencias de AV
« Respuesta #4 en: 4 Septiembre 2010, 18:53 pm »

Si utilice un crypter y es tanto runtime como scantime, en realidad el AV no lo detecta como virus si no que me informa de que esta teniendo acceso a datos del sistema y eso lo pone a menudo cuando intento instalar un programa que no tiene firma digital.
En línea

[Zero]
Wiki

Desconectado Desconectado

Mensajes: 1.082


CALL DWORD PTR DS:[0]


Ver Perfil WWW
Re: Como burlar advertencias de AV
« Respuesta #5 en: 4 Septiembre 2010, 19:58 pm »

Es la proactiva del kaspersky, y no es una protección fácil de saltarse, desde modo usuario yo no conozco ninguna forma, lo más seguro sería programar algún módulo del kernel en ring0 y quitar los hooks que kaspersky pone a las apis.

Lo de matar el AV tampoco es tan sencillo, actualmente no creo que haya algún antivirus que se deje matar desde modo usuario con un simple TerminateProcess(), también sería necesario acceder a ring0.

Saludos
En línea


“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Falsas advertencias de Facebook contienen malware
Noticias
wolfbcn 0 1,982 Último mensaje 23 Mayo 2012, 22:52 pm
por wolfbcn
Busco cómo burlar una fecha
Ingeniería Inversa
Pingazo 3 3,668 Último mensaje 3 Octubre 2013, 16:37 pm
por .:UND3R:.
¿Como burlar applock?
Dispositivos Móviles (PDA's, Smartphones, Tablets)
MaaikyBlvck 1 5,032 Último mensaje 16 Septiembre 2017, 11:37 am
por alr7521
¿Como burlar el proxy de mi empresa?
Redes
voxserverhot 1 6,082 Último mensaje 5 Julio 2021, 12:20 pm
por el-brujo
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines