Foro de elhacker.net

Seguridad Informática => Seguridad => Mensaje iniciado por: g4t0n3gr0 en 19 Noviembre 2012, 22:43 pm


Título: RAR: buen archivo para eludir antivirus?
Publicado por: g4t0n3gr0 en 19 Noviembre 2012, 22:43 pm
Buenas a todo, bueno soy nuevo en esto y me gustaria saber como puedo lograr esto que se meciona aqui, lo vi en un foro RAR: Este único (método de evasión (cambiar sus dos primeros bytes por MZ) en el formato permite eludir a la mayoría de los motores conocidos

el caso es que he estado leyendo acerca de como burlar antivirus, encriptadores,binder , etc...  he hecho de todo he estado haciendo ruebas con el server del Ardamax, y probando con microsoft security essentials, pero no he tenido exito y esta opcion en especifico me llamo mucho la atencion pero no tengo idea de como cambiar los 2 primeros bytes de un archivo rar por MZ, los programas automatizados no son muy de mi preferencia. con bactrack podria crear un Backdoor indetectable perfectamente, pero el caso es q quiero saber esta opcion ;D agradezco su ayuda.

Título: Re: RAR: buen archivo para eludir antivirus?
Publicado por: Crazy.sx en 22 Noviembre 2012, 21:24 pm
Los archivos rar son solamente archivos comprimidos. Todo lo que está dentro es legible si se descomprime. Los antivirus intentan descomprimir los archivos o identifican los archivos que tienen dentro y lo analizan. Si le pones una contraseña al archivo rar, entonces, para el antivirus sería difícil que lo analice.

El tema es que, cuando le ingreses la contraseña y extraigas los archivos, el antivirus obviamente saltará.

Saludos.

Título: Re: RAR: buen archivo para eludir antivirus?
Publicado por: g4t0n3gr0 en 24 Noviembre 2012, 20:16 pm
entiendo tu punto, lo que no entiendo es eso que puse que dice cambiar los dos primeros bytes de un archivo rar por MZ y asi los motores de lo antivirus no lo detectan, la mayoria incluyendo microsoft essentials

 Las vulnerabilidades encontradas están relacionadas con los intérpretes de las distintas  extensiones de ficheros. Así, han encontrado diferentes formas de manipular los formatos de ficheros para permitir que pasen desapercibidos para los motores.

    TAR: Con el número más alto de métodos encontrados, 13 en total, los intérpretes puede ser explotados de diferentes formas, modificando sus caracteres iniciales o ciertos campos del formato. 34 motores antivirus se ven afectados por este fallo.
       
    ELF: Se han encontrado un total de 12 métodos en este formato que pueden ser aprovechados modificando ciertos campos o añadiendo algunos caracteres. Este error afecta a 14 motores antivirus diferentes.
       
    EXE: Con un total de 6 métodos que pueden ser aprovechados igualmente añadiendo caracteres en ciertas posiciones o manipulando algunos campos del estándar. Cinco motores se ven afectados por este fallo.
       
    Ficheros Microsoft Office: Dos métodos pueden ser explotados a través de un fichero especialmente manipulado que contenga la secuencia de caracteres especiales. Afecta a los antivirus Comodo y Sophos.
         
    RAR: Este único (método de evasión (cambiar sus dos primeros bytes por MZ) en el formato permite eludir a la mayoría de los motores conocidos (35).


Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines