Foro de elhacker.net

Muy buenas bro's,

Probablemente este tema es muy polémico y ha sido difundido, debatido, comentado y muchas cosas de problemas y dudas.
Pero mi pregunta  va, ¿que los antivirus nos protegen?, no me la respondan que es un tema inicial.
Desde hace un tiempo he dejado a un lado los antivirus, ya que no son del todo protectores de nuestra seguridad y privacidad. Dependiendo el que tengas sera el mayor protector y analista de archivos indeseables.
http://subefotos.com/ver/?ce0aca471408ba9483b995c5c4004c57o.png (http://subefotos.com/ver/?ce0aca471408ba9483b995c5c4004c57o.png)

En este caso solo tube que usar un crypther, sin volverlo a cifrar con otro, para hacerlo indetectable completamente.

Pero ahora, pues se que son de utilidad para quitar archivos basura "malwares indeseados o virus que molestan". O siplemente para dar una sencilla advertencia de peligro.
Viendo el comportamiento de la botnet Atrax. Me doy cuenta que el Tor no es tan importante como la difunidicion de su codigo en especial. Es decir, que no es lo mismo que una botnet vieja.
De alli viene el peligro que muchos temen.
¿Entonces. Los crypthers jamas van a desaparecer?

Asi que nada, los crypthers son un peligro, ya que rondan en internet sin saber que uso se les dara. Es decir he probado armar una botnet con 1 solo infectoado y hasta ahora me sorprende la cifra. Es decir suficiente para tumbar una web comun.
No me gusta como va esto. Sigue en aumento.

Gracias a todos por su tiempo y Saludos.

recuerda también que el cripter lo hace "FUD" por ahora, pero un algunas semanas lo detectarán más rápido aún si el archivo es distribuido, es como afirmar "la policía no nos protege porque si un ladrón, te sigue, ve tu rutina hasta que un día sale y te apuñala, entonces la policía es inútil" recuerda que hablamos de un ataque preciso con una herramienta "limpia"

opino que no, sea cual sea el malware, la lucha contra estos está perdida si la forma más común de identificarlos es a travez de un hash.

Tomas el mismo código de malware, lo inyectas en otra aplicación y ya tienes otro hash.

Hasta cierto punto sí, pero es bueno combinar el antivirus con otro métodos de seguridad.

Depende de tu conocimiento sobre aplicaciones o métodos defensivos. El impacto del ataque está directamente relacionado con la seguridad o defensa de la víctima.

A mi me gusta más el término anti-malware, pues en este caso yo no utilizo sólo un AV, también ago uso de: HIPS, FW y Sandbox.

El tema de los crypters ha sido ya analizado aquí numerosas veces, está claro que cuando codeas y liberas un malware, éste todavía no habrá sido detectado por las compañías de AVs, por lo que pasará desapercibido hasta que sea analizado por otros medios. Lo mismo para el crypter, si es detectado todos los ejecutables cifrados por el mismo darán positivo.

Imaginemos que tu crypter es nuevo y mi AV no lo detecta, si el crypter descifra el malware y lo guarda en disco, lo más probable es que de positivo si el malware ya es conocido por los AVs. Para eso el crypter debe descifrar y guardar el binario (malware) en memoria y ejecutar su método de entrada (RunPE). Aquí ya el AV queda inservible, pero tenemos un Firewall que bloquea conexiones dudosas y un HIPS que nos avisa de cualquier cambio relevante en nuestro equipo.

Un buen método de infección para bypassear este tipo de medidas es juntar dos ejecutables, un instalador y el malware, para que el usuario lo añada como excepción en su solución anti-malware, pues el instalador requiere de permisos y el usuario confía. Sino con escalar privilegios y subvertir el SO bastaría.

Saludos.

Aquí hay un si! Y un No!

Si: Si para los trolls que solo quieren infectar para ver unas tetas y robarte 4 fotos y si pueden tu CC para hacer alguna compra.

NO: No sirven de nada ante la gente que realmente sabe, una persona cualificada te la puede colar muy muy facil.

PD: Ten encuenta que solo te hizo falta encryptar tu fichero para hacerlo indetectable al SCANEO. Ahora... No lo ejecutes porque un 90% de los AV's se lo cepillan, porque? Porque todos los crypters que hay publicos, son miles de copias de uno mismo, solo hay unos 4 que se libran de no copiar codigo ya publico.  Entonces no pasan mas que la proteccion de Scaneo. Yo de hecho ni tengo AV instalado asi que mira que eficacia les veo yo jeje

Saludos

Pues, yo no tengo tetas, si no petorales. Pero si soy trollero  :xD

Ye tengo muchos crypters FUD 100%, y derivados de eso.

Pero indetectables:
http://www.refud.me/results.php?id=lfbue4xswkcovgrcbpuihogqq5rvpjbmebc (http://www.refud.me/results.php?id=lfbue4xswkcovgrcbpuihogqq5rvpjbmebc)

Y verle las tetas a una mujer de esa manera se me hace absurdo  :laugh:, ninguna mujer que conozco se baña con lap encendida o eso creo.

Pero bueno. Ya sabras si eres un trollero.

Saludos.

+1, totalmente cierto.

Recuerda que hay personas que usan su PC y se limitan a usar Internet o programas que sé yo. Escuchar música ejemplo.

No todos van a hacer como nosotros, no van a ponerse a buscar el virus/malware manualmente y encerrarlo en un sandbox, hacerle pruebas, estudiar el código y etcétera etcétera.

Saludos!

Joer, que tema más interesante. Estoy viendo muchos términos que no se que significan, voy a buscarlos y ver si me entero más o menos que es cada cosa. Por ejemplo lo del FUD y tal.

Y lo que más o menos estáis hablando, proteger proteger...te protegen de lo que ya tienen registrado. Puede que los de pago te den alguna protección extra frente a los gratuitos. Pero muy poca gente tiene AV de pago. O los descargan gratis o con crack, y con crack...xD xD xD.

El AV más eficaz es el usuario mismo. Pero ni las personas que saben y ni los que sabemos un poco, somos totalmente eficientes, siempre hacemos algo inseguro sin las medidas correctas.

@Hurdano
FUD = Archivo completamente indetectable.
FUD = Fully undetectable. (completamente indetectable)

@scott_  Ese archivo es indetectable Scantime, Al ejecutarlo lo detectaria seguro 100%. A no ser que tu mismo lo programases con 2 cojones.  ;)

@lechugaFeliz Con modificar 1 Byte del archivo ya cambias el Hash. Hace años que eso no funciona.

En teoria cualquier virus nuevo no masificado es indetectable por la base de datos de A.V, entonces cuando los malware o script son diseñados para una víctima específica, a menos que sea un usuario con conocimientos avanzados, no podria hacer nada ¿o me equivoco?.

Realmente es así, si el usuario que recibe la amenaza sólo dispone de un AV basado en el escaneo de firmas, al ser un malware no analizado todavía, es muy probable que pase desapercibido. Sobre todo si está bien codeado.

Saludos.

Gracias por aclarar mis dudas sobre el FUD. Entonces claro, actúa solamente frente amenazas genéricas. Por eso nuevos virus, "nuevos..." como ransomware, la nueva versión, los usuarios tienen AV, pero una vez abierto el correo y abrir el fichero...No te lo detecta, pasa sin alarmarte, hasta que se tenga la suficiente info en la base de datos para bloquearlo antes de ejecutarse todo el código.


Y otra cosa, frente a ese tipo de cosas, da igual que sea gratuito que de pago, la diferencia no es darte más protección, porque la base de datos de las firmas es la misma, y mucha gente se cree que da más protección y no es así. Solamante dan más opciones para hacer más cosas con tu sistema etc.

Hay que recordar que hay antivirus que no solo se basan en firmas. También los hay por comportamiento o heurística. De modo que si el malware no esta en su BD de firmas pero si se comporta de forma sospechosa, el anti-malware puede avisar de dicho comportamiento. Recuerdo hace años cuando el SpyBot S&D era uno de los pocos que te avisaban cada vez que "algo" modificaba el registro para añadirse al autorun..

De todos modos decir que un antivirus no te protege o es inservible solo por que no es capaz de detectar el 100% de las amenazas es.. pedir demasiado. Me atrevería a afirmar que son capaces de protegerte del 80% del malware que un usuario regular se puede encontrar a diario. Lo demás se reduce a ataques muy específicos o muy tempranos.

Si lo pensamos, la idea general de un malware es distribuirse lo máximo que pueda.. las probabilidades de que acabe siendo analizado y/o enviado para pruebas a un laboratorio AV aumentan cada vez que este se distribuya. Es como la policía, en general pueden prevenir asesinatos pero no siempre.. pero una vez ocurrido un asesinato se puede/hace una investigación y se identifica/detiene al sospechoso y mas si este sigue cometiendo asesinatos.


No exactamente. Los que suelen ofrecer versiones de pago y free incluyen distintos módulos en cada uno. Asi, el free podría ser solo anti-malware mientras que el de pago podría incluir también firewall. La BD es la misma pero la 'protección' que ofrece puede aumentar de otras formas.

Saludos

Buena explicación. Yo me refiero a eso, porque en la empresa donde estoy realizando las prácticas, según me han comentado en verano sufrieron el ataque del virus ransomware, y tienen un AV de pago, pero no les sirvió de nada, ya que por lo visto se cargo todo el pc.

Me refiero que de poco sirve, si el usuario no sabe como configurar correctamente tantos "módulos" para obtener más protección y evitar ese tipo de cosas.

Bueno los casos de ransomware son un poco jodidos. El ransomware hay que pillarlo antes de que actue.. una vez infectado de poco te sirve la proteccion que tengas xD. De todos modos, los backups en una empresa deben considerarse obligatorios... precisamente para prevenir casos como esos.

Saludos

Como ya he mencionado antes es recomendable tener una solución anti malware que ofrezca Firewall, HIPS o IPS, Antivirus y Sandboxing todo ello con unas políticas restrictivas aplicadas a zonas de red y programas, además de establecer el nivel de heurística en alto.

Hemos aportado suficientes argumentos para demostrar que el AV no es suficiente para frenar este tipo de ataques, sobre todo si son dirigidos. Lo mejor es hookear todas las funciones relevantes que puedan cambiar el funcionamiento del sistema o comprometerlo, para eso tenemos los IPS.

En el caso del ramsomware, si el coder es hábil no utilizará una API del sistema que previamente haya podido ser hookeada, por lo que si reescribe esas rutinas en su code seguramente el HIPS lo pase por alto.

Saludos.

Vaya, ¿entonces si tengo un troyano famoso, y uso la ultima versión del themida para encriptarlo "proteger el codigo", quiere eso decir que no valdria para nada la encriptacion?

Es decir, al analizarlo con el antivirus no detecta nada, pero al ejecutar ¿el programa el antivirus lo detectaría no?.

Entonces ¿como conseguir un crypter que funcione en Runtime? Acaso existen xD, ¿entonces para que valen los crypter scantime? si al ejecutarlo te lo detecta el AV.

Pasaría desapercibido ante un scan por parte del AV.


Si el Crypter descifra en disco sí. Si carga el malware en memoria (RunPE) estarías vendido a no ser que tengas un buen motor de heurística sobre procesos, FW o IPS.

Pero es muy raro que pase, o a muy largo plazo si tu eres el único que lo usa, no mas personas, tu.

Pero también, están en constante actualización con los Stubs.

Saludos.

Si descifra en disco y el crypter no es muy usado entonces será FUD en eso estoy contigo.

Si así es.
Saludos.

Entonces una encriptacion tiger32 con themida como sería RUNPE (y podría ser FUD) ¿o lo desencriptaria en el disco al ejecutar el troyano a la primera y lo detectaria el antivirus?

Saludos.