Título: Cómo hacer indetectable un .exe Publicado por: gulabyte en 22 Enero 2010, 16:03 pm Wenas a todos!
Viendo los reportes de virusnothanks que andan apareciendo ahora me ha dado por scanear mi server con el Multi-Engine Scanner y resulta que me lo detectan nada más que CUATRO antivirus! File Info Report generated: 22.1.2010 at 15.40.36 (GMT 1) Filename: svchost.exe File size: 266424 bytes MD5 hash: 28dadc95537f1ec96688afaf463afcaf SHA1 hash: D195C7649C892EE586713338A91DB5E84AA2C578 Detection rate: 4 on 24 Status: INFECTED Detections a-squared - - Avira AntiVir - TR/Crypt.FKM.Gen Avast - - AVG - - BitDefender - Gen:Trojan.Heur.qm1@Xqk1Qthi ClamAV - - Comodo - - Dr.Web - - Ewido - - F-PROT6 - W32/VB-Backdoor-PSVR-based!Maximus G-Data - - Ikarus T3 - - Kaspersky - - McAfee - - NOD32 v3 - - Norman - - Panda - - QuickHeal - - Solo Antivirus - - Sophos - Mal/Behav-035 TrendMicro - - VBA32 - - VirusBuster - - ZonerAntivirus - - Scan report generated by NoVirusThanks.org (http://novirusthanks.org) ¿Cómo hacer para saltarse la heurística? PD: Los strings ASCII del ejecutable son lo más cantoso, tienen en cuenta estos strings los antivirus? Si hay un par de strings concretos en un ejecutable lo declara como troyano¿ (por ejemplo si existe "Server" "Remote" y "KeyLogger" meterlo en alerta roja y asi??) y Se conservan los nombres de las variables? No tendría que codificarlos el compilador?? Por ejemplo con números? Puedo admitir que es el server más DETECTABLE de todos los que habéis visto, tampoco me he dedicado a ello en esencia.. (eso me digna ;D) pero no puedo negar que me ha bajado la moral bastante.. mucho Hacer este scan ha sido mi perdición, agradecería que aclarárais las dudas genios!! ;D Título: Re: Cómo hacer indetectable un .exe Publicado por: The Swash en 22 Enero 2010, 16:47 pm Bien primero parece ser un BackDoor(server de troyano), no lo has especificado.
Los antivirus trabajan deteccion por Heuristica(Generalmente APIs) & por deteccion de Strings. Apis generalmente detectadas URLDownloadToFile WriteProcessMemory ReadprocessMemory ShellExecute WinExec GetProcAddress CreateProcessA Strings Stub Deberias provar un Crypter Run-Time, no puedo certificarte que funcione por que no se que servidor es ni la forma que ingresa los datos con o sin EOF. Busca informacion sobre undeteccion mediante firmas, te ayudara ^^ Salu2! Título: Re: Cómo hacer indetectable un .exe Publicado por: gulabyte en 22 Enero 2010, 17:06 pm Gracias The Swash por responder, El server lo he creado yo y sí es un servidor de troyano (lo que no sé es cómo ingresa los datos..ahí me he perdido) Si se detectan API's como ShellExecute (este lo tengo ;D) como lo hacen otros programas para ejecutar aplicaciones? Bueno está claro que el tema de encryptar no es cosa de un par de posts... mejor si lo miro por mi cuenta, además en el foro sé que se ha escrito mucho sobre esto. agradecería un par de links.. ;D Título: Re: Cómo hacer indetectable un .exe Publicado por: The Swash en 22 Enero 2010, 17:51 pm En cuanto al ShellExecute creo que te servira esto :P
Código: http://foro.elhacker.net/programacion_vb/source_shellexecute_sin_declaracion_api-t281057.0.html En cuanto al ingreso de datos me refiero a que si tiene informacion en la parte final del archivo o no, de acuerdo a eso puedes usar Crypter con EOF o sin EOF" Salu2 ;D Título: Re: Cómo hacer indetectable un .exe Publicado por: BlackZeroX en 22 Enero 2010, 18:38 pm .
Esto deberias preguntarlo en Analisis y Diseo de Malware este foro dejalo a dudas explicitas sobre de vb6 Temibles Lunas!¡. . Título: Re: Cómo hacer indetectable un .exe Publicado por: ssccaann43 © en 22 Enero 2010, 18:59 pm Si posteo acá supongo que esta buscando la manera de hacerlo en VB BlackZeroX...!
Título: Re: Cómo hacer indetectable un .exe Publicado por: gulabyte en 24 Enero 2010, 12:50 pm Si bueno yo quería hacer lo posible en visual basic para que el código no fuera detectado... de todas formas tienes razón BlackZero la próxima vez me dirigire a este tipo de cosas en Analisis y Diseño de Malware.. ;D Gracias the Swash de nuevo por el link, salu10! |