Pues eso, que consejos me dan para evadir kaspersky, más que nada el análisis heurístico, ya que logro analizar estáticamente el ejecutable y este no es detectado, pero al iniciar es suprimido.

PD: DarkCommet


Saludos

Intenta colocando un bucle desencriptador/delay de unos 3-5 segs.

El tracer/emulador de KAV tiene (a al menos tenia) ese timeout, antes de dejar correr un proggie...

Saludos!

Estoy haciendo mega estupideces ilógicas:
- Modificación de string.
- Detección de firma AV
- Semi emulación de API de WINSOCK (obtengo la dirección de la misma forma que las shellcode luego ejecuto 3 instrucciones iniciales de la API y luego salto hacia la API no desde la IAT si no desde la sección .DATA)
- Timmer (loop muchos loop).

Esto lo he echo durante todo este día, aun no lo pruebo, solo he verificado la potabilidad.

A ver a quien se le ocurre otra cosa, saludos.

Saludos

wuajajaja como descubrieron eso? que increíble, veré si puedo complementarlo aunque lo dudo pero si que vale para futuros análisis.

Muchas gracias Fly


por cierto existe una lista de API's Malas y Buenas?, sería bueno que en el troyano creara una ventana oculta o un dialogbox, quizás así la heurística crea que es un programa de asistencia remota legal como teamviewer, no sé denme ideas con la basura (que basura poner entre las llamadas de las APIs)

Saludos

Pero cuando se descargue el Troyano, este será detectado si no implemento los métodos comentados :S