Foro de elhacker.net

Seguridad Informática => Análisis y Diseño de Malware => Mensaje iniciado por: ahaugas en 6 Enero 2013, 14:24 pm



Título: Como evitar o suprimir el escaneo al ejecutar el archivo?
Publicado por: ahaugas en 6 Enero 2013, 14:24 pm
Hola a todos estoy haciendo un software, uso un malware para crear un software de carga y ejecucion.

no tengo intenciones de aplicarlo para ningun fin malo solo que encontre un codigo fuente y me gusto.

pero a la hora de compilarlo y ejecutarlo el archivo modificado me saltaba el antivirus con lo cual tambien tuve que hacer un encryptador y un stub para leer el archivo cifrado mediante run PE

al estar sin ejecucion solo archivado en el disco duro no detecta nada cuando pasa el escaneo del antivirus u cuando se hace manualmente.

pero cuando voy a ejecutarlo se pone un mensaje que es un programa sospechoso y tarda unos segundos en analizar pero que todavia no lo ha ejecutado y salta un mensaje de es un malware.

me tuve que poner windows para poder usar el visual studio 2010 express ya que en linux y wine no podia emularlo me consumia muchos recursos.

es una decepcion despues de tanto esfuerzo para hacer un programa corriente con la fuente de un malware.

alguien me podria indicar como podria quitar esos mensajes del antivirus o evitar el escaneo al ejecutarlo sin hacer nada al antivirus?

Antivrus - > Avast
Cortafuegos - > Comodo
Sistema Operativo -> Windows 7
Lenguaje de Programacion - > C++ .NET

gracias


Título: Re: Como evitar o suprimir el escaneo al ejecutar el archivo?
Publicado por: burbu_1 en 6 Enero 2013, 20:40 pm
el autosandbox de avast?  :xD
es una movida.... si lees el mensajito te dice el motivo de analizarlo (escudo de archivos/avanzado/autosandbox) y el tiempo que lo ejecuta en la autosandbox (incluidos sleeps)

comentan que con una firma digital se evita la baja reputación.... pero no tiene mucho sentido firmar un malware  :laugh:


Título: Re: Como evitar o suprimir el escaneo al ejecutar el archivo?
Publicado por: 0xDani en 6 Enero 2013, 21:17 pm
pero no tiene mucho sentido firmar un malware  :laugh:

Si asi tiene menos rango de deteccion...  ;)


Título: Re: Como evitar o suprimir el escaneo al ejecutar el archivo?
Publicado por: ahaugas en 6 Enero 2013, 23:54 pm
ok

se podria hacer algo como....:
¿si esta en un sandbox de un av que no lo ejecute o que ejecute otra cosa? porque no solo es avast si no tambien gdata, o aumentar el tiempo del sleep aunque es una muy mala idea ya que pueden tener tambien el escaner de comportamiento.

he pensado en un certificado digital pero no me convenció la idea al principio y si no queda otra pues lo tendre que hacer si no hay mas ideas.

gracias


Título: Re: Como evitar o suprimir el escaneo al ejecutar el archivo?
Publicado por: Karcrack en 7 Enero 2013, 07:21 am
Si la detección te salta por el sandbox lo que debes hacer es hacer saltar el timeout del mismo.

Teniendo en cuenta que los AVs hace tiempo que emulan Sleep() y derivados te sugiero que te crees un hash y crackees antes de hacer cualquier cosa con el código. Eso mantendrá al proceso ocupado lo suficiente para que al AV se canse de emularlo.


Título: Re: Como evitar o suprimir el escaneo al ejecutar el archivo?
Publicado por: ahaugas en 7 Enero 2013, 14:48 pm
lo que he hecho por ahora es implementar anti emuladores de sandbox, anti debbugers, anti dessemblers y anti maquinas virtuales y por ahora parece que no me lo pone en la sandbox tambien he aumentado el sleep() de 3000 a 5000 y seria ver si en mi maquina ejecutarlo en modo administrador salta el aviso o no, pero por ahora parece que va bien.


Título: Re: Como evitar o suprimir el escaneo al ejecutar el archivo?
Publicado por: ahaugas en 7 Enero 2013, 22:09 pm
bueno esto ya esta resuelto,
tal y como dije las medidas de seguridad que he implementado al código funcionan de maravilla aparte de cambiar las rutas de acceso.

tanto en windows xp como windows 7 la ejecucion normal tampoco pide permiso para ejecutarlo luego automaticamente se une al proceso del stub el archivo que esta dentro del stub y coge permisos administrativos saltandose la seguridad uac.

seguire haciendo la otra parte del programa que es la de cargar modulos si no existen... tipo radia y software manager de hp.

bueno gracias