 Autor
|
Tema: Evitar detección de anti virus. (Leído 26,284 veces)
|
APOKLIPTICO
 Desconectado
Mensajes: 3.871
Toys in the attic.
|
Hola!! Como va?
Bueno, estoy trabajando en un virus que está funcionando bien, el problema es que estoy tratando de hacerlo indetectable (más indetectable por ahora tengo un 5/42) pero ya no se como.
Lo está detectando por heurística, se que no es por emulación de código sino probablemente por firmas.
Hay alguna manera de obfuscarlo sin necesidad de recurrir a un crypter con su stub??
Gracias!!
|
|
|
|
|
En línea
|
AMD Phenom II 1075T X6 @ 290 Mhz x 11 (HT 2036 Mhz NB Link 2616 Mhz) 1.23 Vcore
ASUS M4A89GTD-PRO/USB3
2x2gb G-Skill RipjawsX DDR3 1600 Mhz CL7 (7-8-7-24-25-1T)
Seagate 500 Gb
XFX HD4850 512Mb GDDR3. 650 Mhz/995 Mhz 1.1 Tflops.
|
|
|
Karcrack
Desconectado
Mensajes: 2.416
Se siente observado ¬¬'
|
¿Tienes el código fuente? ¿Qué detecciones te saltan?
|
|
|
|
|
En línea
|
|
|
|
APOKLIPTICO
Desconectado
Mensajes: 3.871
Toys in the attic.
|
Si, tengo, me saltan estas:
BitDefender Gen:Trojan.Heur.RP.huW@auQStQj
DrWeb MULDROP.Trojan
Emsisoft Gen:Trojan.Heur.RP.huW@auQStQj (B)
F-Secure Gen:Trojan.Heur.RP.huW@auQStQj
GData Gen:Trojan.Heur.RP.huW@auQStQj
MicroWorld-eScan Gen:Trojan.Heur.RP.huW@auQStQj
Symantec Suspicious.Cloud.5
Osea, este es el que más salta, tiene un diseño modular el virus, este es el núcleo, el que menos quiero que se pueda detectar. Los otros tienen 1, 2, 0 y 5 detecciones.
|
|
|
|
|
En línea
|
AMD Phenom II 1075T X6 @ 290 Mhz x 11 (HT 2036 Mhz NB Link 2616 Mhz) 1.23 Vcore
ASUS M4A89GTD-PRO/USB3
2x2gb G-Skill RipjawsX DDR3 1600 Mhz CL7 (7-8-7-24-25-1T)
Seagate 500 Gb
XFX HD4850 512Mb GDDR3. 650 Mhz/995 Mhz 1.1 Tflops.
|
|
|
Danyfirex
Desconectado
Mensajes: 493
My Dear Mizuho
|
creo que cambiando la versión info salen esas firma. la verdad no recuerdo bien.
|
|
|
|
|
En línea
|
|
|
|
APOKLIPTICO
Desconectado
Mensajes: 3.871
Toys in the attic.
|
La qué??? Version info??
|
|
|
|
|
En línea
|
AMD Phenom II 1075T X6 @ 290 Mhz x 11 (HT 2036 Mhz NB Link 2616 Mhz) 1.23 Vcore
ASUS M4A89GTD-PRO/USB3
2x2gb G-Skill RipjawsX DDR3 1600 Mhz CL7 (7-8-7-24-25-1T)
Seagate 500 Gb
XFX HD4850 512Mb GDDR3. 650 Mhz/995 Mhz 1.1 Tflops.
|
|
|
Danyfirex
Desconectado
Mensajes: 493
My Dear Mizuho
|
si si eso de la CompanyName-ProductName-ProductVersion etc. no estoy seguro.
|
|
|
|
|
En línea
|
|
|
|
|
r32
|
Hola esa opción de editar la info del ejecutable no se si te servirá, hice esa prueba con el server del Darkcomet, modificando toda la info con PE Explorer y sólo cambia la identificación, entonces la heurística le caza una porción de código. Sin la info lo detecta como amenaza genérica. Hay varios tutoriales, mira este de Lostdead, edita el server con el hexa buscando la firma detectada: http://www.hackxcrack.es/forum/index.php?topic=1512.0Si no quieres utilizar crypter creo te tocará modificar código. No se si estará desactualizado pero el SignatureZero funcionaba bastante bien para detectar las firmas. No se si te servirá, Karcrack te orientará mucho mejor. Saludos. |
|
|
|
|
En línea
|
|
|
|
Karcrack
Desconectado
Mensajes: 2.416
Se siente observado ¬¬'
|
Sería de utilidad saber más sobre el ejecutable, importaciones y secciones por ejemplo. Apostaría que utilizas ShellExecute() o derivados.
Teniendo el código fuente es cuestión de buscar caminos alternativos.
|
|
|
|
|
En línea
|
|
|
|
APOKLIPTICO
Desconectado
Mensajes: 3.871
Toys in the attic.
|
La mayoría de los imports están hechas de manera dinámica y los strings que se le pasa a las funciones getprocaddress y getmodulehandle están cifrados.
Contame de esos caminos alternativos...
Para mi está detectando cosas como que por ejemplo se instala como servicio, o que modifica el registro.
PD: probé AVDevil y también ZeroDetection pero ninguno me dió buen resultado, estoy tratando de hacerlo pasar contra el F-Protect utilizando el Coranti, que es un AV que tiene varios engines de AV en uno.
|
|
|
|
« Última modificación: 17 Noviembre 2012, 17:10 pm por APOKLIPTICO »
|
En línea
|
AMD Phenom II 1075T X6 @ 290 Mhz x 11 (HT 2036 Mhz NB Link 2616 Mhz) 1.23 Vcore
ASUS M4A89GTD-PRO/USB3
2x2gb G-Skill RipjawsX DDR3 1600 Mhz CL7 (7-8-7-24-25-1T)
Seagate 500 Gb
XFX HD4850 512Mb GDDR3. 650 Mhz/995 Mhz 1.1 Tflops.
|
|
|
Karcrack
Desconectado
Mensajes: 2.416
Se siente observado ¬¬'
|
Olvídate de la evadir la detección parcheando firmas, si tienes el código trabaja con él. ¿En que lenguaje lo has programado? Si todas las cadenas están cifradas... ¿Que cifrado usas?
|
|
|
|
|
En línea
|
|
|
|
|
| Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Evitar las firmas genericas de los ANTI
Análisis y Diseño de Malware
|
Timerlux
|
5
|
4,776
|
12 Febrero 2012, 18:41 pm
por Иōҳ
|
|
|
|
Ayuda código heuristico detección de virus
Programación Visual Basic
|
Criscr21
|
1
|
2,234
|
23 Marzo 2013, 18:40 pm
por BlackM4ster
|
|
|
|
anti deteccion bat
Scripting
|
asdexiva
|
1
|
2,105
|
6 Mayo 2014, 15:23 pm
por PedroDJavier
|
|
|
|
Nacen los anti-anti-adblock, o cómo evitar el bloqueo de ciertas páginas a ....
Noticias
|
wolfbcn
|
0
|
3,012
|
11 Febrero 2016, 21:47 pm
por wolfbcn
|
|
|
|
Cómo puedo evitar la detección por los AV?
Análisis y Diseño de Malware
|
@XSStringManolo
|
5
|
58,221
|
1 Diciembre 2021, 22:56 pm
por Flamer
|
 |
