elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Entrar al Canal Oficial Telegram de elhacker.net


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Evitar detección de anti virus.
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 3 4 5 Ir Abajo Respuesta Imprimir
Autor Tema: Evitar detección de anti virus.  (Leído 22,352 veces)
APOKLIPTICO


Desconectado Desconectado

Mensajes: 3.871


Toys in the attic.


Ver Perfil
Evitar detección de anti virus.
« en: 16 Noviembre 2012, 18:59 pm »

Hola!! Como va?
Bueno, estoy trabajando en un virus que está funcionando bien, el problema es que estoy tratando de hacerlo indetectable (más indetectable por ahora tengo un 5/42) pero ya no se como.
Lo está detectando por heurística, se que no es por emulación de código sino probablemente por firmas.
Hay alguna manera de obfuscarlo sin necesidad de recurrir a un crypter con su stub??
Gracias!!
En línea

AMD Phenom II 1075T X6 @ 290 Mhz x 11 (HT 2036 Mhz NB Link 2616 Mhz) 1.23 Vcore
ASUS M4A89GTD-PRO/USB3
2x2gb G-Skill RipjawsX DDR3 1600 Mhz CL7 (7-8-7-24-25-1T)
Seagate 500 Gb
XFX HD4850 512Mb GDDR3. 650 Mhz/995 Mhz 1.1 Tflops.
Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: Evitar detección de anti virus.
« Respuesta #1 en: 16 Noviembre 2012, 19:45 pm »

¿Tienes el código fuente? ¿Qué detecciones te saltan?
En línea

APOKLIPTICO


Desconectado Desconectado

Mensajes: 3.871


Toys in the attic.


Ver Perfil
Re: Evitar detección de anti virus.
« Respuesta #2 en: 16 Noviembre 2012, 19:58 pm »

Si, tengo, me saltan estas:
BitDefender    Gen:Trojan.Heur.RP.huW@auQStQj
DrWeb    MULDROP.Trojan
Emsisoft    Gen:Trojan.Heur.RP.huW@auQStQj (B)
F-Secure    Gen:Trojan.Heur.RP.huW@auQStQj
GData    Gen:Trojan.Heur.RP.huW@auQStQj
MicroWorld-eScan    Gen:Trojan.Heur.RP.huW@auQStQj
Symantec    Suspicious.Cloud.5

Osea, este es el que más salta, tiene un diseño modular el virus, este es el núcleo, el que menos quiero que se pueda detectar. Los otros tienen 1, 2, 0 y 5 detecciones.
En línea

AMD Phenom II 1075T X6 @ 290 Mhz x 11 (HT 2036 Mhz NB Link 2616 Mhz) 1.23 Vcore
ASUS M4A89GTD-PRO/USB3
2x2gb G-Skill RipjawsX DDR3 1600 Mhz CL7 (7-8-7-24-25-1T)
Seagate 500 Gb
XFX HD4850 512Mb GDDR3. 650 Mhz/995 Mhz 1.1 Tflops.
Danyfirex


Desconectado Desconectado

Mensajes: 493


My Dear Mizuho


Ver Perfil
Re: Evitar detección de anti virus.
« Respuesta #3 en: 16 Noviembre 2012, 20:48 pm »

creo que cambiando la versión info salen esas firma. la verdad no recuerdo bien.
En línea

APOKLIPTICO


Desconectado Desconectado

Mensajes: 3.871


Toys in the attic.


Ver Perfil
Re: Evitar detección de anti virus.
« Respuesta #4 en: 16 Noviembre 2012, 21:28 pm »

La qué??? Version info??
En línea

AMD Phenom II 1075T X6 @ 290 Mhz x 11 (HT 2036 Mhz NB Link 2616 Mhz) 1.23 Vcore
ASUS M4A89GTD-PRO/USB3
2x2gb G-Skill RipjawsX DDR3 1600 Mhz CL7 (7-8-7-24-25-1T)
Seagate 500 Gb
XFX HD4850 512Mb GDDR3. 650 Mhz/995 Mhz 1.1 Tflops.
Danyfirex


Desconectado Desconectado

Mensajes: 493


My Dear Mizuho


Ver Perfil
Re: Evitar detección de anti virus.
« Respuesta #5 en: 16 Noviembre 2012, 21:33 pm »

si si eso de la CompanyName-ProductName-ProductVersion etc. no estoy seguro.
En línea

r32
Ex-Staff
*
Desconectado Desconectado

Mensajes: 1.297



Ver Perfil WWW
Re: Evitar detección de anti virus.
« Respuesta #6 en: 17 Noviembre 2012, 12:35 pm »

Hola esa opción de editar la info del ejecutable no se si te servirá, hice esa prueba con el server del Darkcomet, modificando toda la info con PE Explorer y sólo cambia la identificación, entonces la heurística le caza una porción de código. Sin la info lo detecta como amenaza genérica.
Hay varios tutoriales, mira este de Lostdead, edita el server con el hexa buscando la firma detectada:
http://www.hackxcrack.es/forum/index.php?topic=1512.0

Si no quieres utilizar crypter creo te tocará modificar código. No se si estará desactualizado pero el SignatureZero funcionaba bastante bien para detectar las firmas.
No se si te servirá, Karcrack te orientará mucho mejor.

Saludos.
En línea

Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: Evitar detección de anti virus.
« Respuesta #7 en: 17 Noviembre 2012, 16:11 pm »

Sería de utilidad saber más sobre el ejecutable, importaciones y secciones por ejemplo. Apostaría que utilizas ShellExecute() o derivados.

Teniendo el código fuente es cuestión de buscar caminos alternativos.
En línea

APOKLIPTICO


Desconectado Desconectado

Mensajes: 3.871


Toys in the attic.


Ver Perfil
Re: Evitar detección de anti virus.
« Respuesta #8 en: 17 Noviembre 2012, 16:25 pm »

La mayoría de los imports están hechas de manera dinámica y los strings que se le pasa a las funciones getprocaddress y getmodulehandle están cifrados.
Contame de esos caminos alternativos...
Para mi está detectando cosas como que por ejemplo se instala como servicio, o que modifica el registro.

PD: probé AVDevil y también ZeroDetection pero ninguno me dió buen resultado, estoy tratando de hacerlo pasar contra el F-Protect utilizando el Coranti, que es un AV que tiene varios engines de AV en uno.
« Última modificación: 17 Noviembre 2012, 17:10 pm por APOKLIPTICO » En línea

AMD Phenom II 1075T X6 @ 290 Mhz x 11 (HT 2036 Mhz NB Link 2616 Mhz) 1.23 Vcore
ASUS M4A89GTD-PRO/USB3
2x2gb G-Skill RipjawsX DDR3 1600 Mhz CL7 (7-8-7-24-25-1T)
Seagate 500 Gb
XFX HD4850 512Mb GDDR3. 650 Mhz/995 Mhz 1.1 Tflops.
Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: Evitar detección de anti virus.
« Respuesta #9 en: 17 Noviembre 2012, 17:44 pm »

Olvídate de la evadir la detección parcheando firmas, si tienes el código trabaja con él. ¿En que lenguaje lo has programado? Si todas las cadenas están cifradas... ¿Que cifrado usas?
En línea

Páginas: [1] 2 3 4 5 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Evitar las firmas genericas de los ANTI
Análisis y Diseño de Malware
Timerlux 5 4,159 Último mensaje 12 Febrero 2012, 18:41 pm
por Иōҳ
Ayuda código heuristico detección de virus
Programación Visual Basic
Criscr21 1 1,891 Último mensaje 23 Marzo 2013, 18:40 pm
por BlackM4ster
anti deteccion bat
Scripting
asdexiva 1 1,635 Último mensaje 6 Mayo 2014, 15:23 pm
por PedroDJavier
Nacen los anti-anti-adblock, o cómo evitar el bloqueo de ciertas páginas a ....
Noticias
wolfbcn 0 1,899 Último mensaje 11 Febrero 2016, 21:47 pm
por wolfbcn
Cómo puedo evitar la detección por los AV?
Análisis y Diseño de Malware
@XSStringManolo 5 53,103 Último mensaje 1 Diciembre 2021, 22:56 pm
por Flamer
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines