Foro de elhacker.net

Seguridad Informática => Análisis y Diseño de Malware => Mensaje iniciado por: Timerlux en 7 Febrero 2012, 18:09 pm


Título: Evitar las firmas genericas de los ANTI
Publicado por: Timerlux en 7 Febrero 2012, 18:09 pm
hola a todos, me preguntaba si alguien sabe como conseguir esto, es muy facil modificar el code de un crypter, y que los AVs no puedan identificar que bicho es,
pero si saltan los AVs marcandolo como generico o sospechoso.

No estoy seguro pero creo que lo hacen viendo las Api  que usa el crypter,
la sección import del executable donde vienen todas las llamadas a funciones externas.
pero ni idea.

alguien sabe si es posible hacer un crypter fud fud, el visual basic es muy propenso a ser detectado como virus generico, alguien sabe si se puede hacer Fud un crypter VB?

gracias a todos y saludos.


Título: Re: Evitar las firmas genericas de los ANTI
Publicado por: Karcrack en 7 Febrero 2012, 21:52 pm
Hacer FUD un crypter de VB6 es difícil. Pero no imposible. Los pasos a seguir son:
  • No utilizar código quemado (como los RunPEs que circulan por ahí :rolleyes:...)
  • No tener muchos módulos (recomiendo unir todo el código en uno solo)
  • Añadir un formulario dummy con algunos controles y código inútil
  • Rezar para que Antivir no toque las narices con sus detecciones paranoicas

Ya está. Básicamente con que el código sea tuyo la cosa se facilita mucho.

Título: Re: Evitar las firmas genericas de los ANTI
Publicado por: Timerlux en 7 Febrero 2012, 22:19 pm
Gracias Karcrack

hace años q olvide el mundillo y la cuenta que tenia aqui aun sigue jajaj

he estado haciendo pruebas en un scaneador de archivos online y quitando codigo comprometedor y scaneo, quito y escaneo, quito y escaneo, hasta dejar el archivo casi sin nada, con un msgbox "hola" y no le he visto logica alguna al asunto, siempre hay algunos que detectan generico, incluso creo ha habido 2 AV que detectan solo por el nombre de archivo cuando este se llamaba stub, creo que al pobre VB6 lo han condenado

ahora estoy modificando un crypter no vb, por cierto sabeis si los antiguos bichos como flux, bifros y esos funcionan en vista y 7?

saludos otra vez ;)

Título: Re: Evitar las firmas genericas de los ANTI
Publicado por: Karcrack en 7 Febrero 2012, 22:49 pm
VB6 ha sido tristemente condenado por algunas compañías de AVs...

Respecto a lo que preguntas sobre esos viejos RATs... algunas funciones no funcionan correctamente, pero en esencia (ejecutado con privilegios de Admin) deben funcionar. Tal vez no el PoisonIvy ya que su sistema para sacar el puntero de KERNEL32 es obsoleto, pero parcheando debería ir bien.

Título: Re: Evitar las firmas genericas de los ANTI
Publicado por: Timerlux en 7 Febrero 2012, 22:59 pm
vale ya veo creo entenderlo pero yo no se parchear las llamadas a kernel y seria una aventura de demasiado tiempo, entonces cuales hay disponibles ahora me refiero a de los buenos, no Rats chorras de esos de te abro el cd y ahora te lo cierro jajajajaj
cuales son los populares ahora?

;)

Título: Re: Evitar las firmas genericas de los ANTI
Publicado por: Иōҳ en 12 Febrero 2012, 18:41 pm
Él dijo para sacar el puntero a kernel32, no para parchar las llamadas a kernel...
Nox.


Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines