Sin duda la actualización más grande de #4n4lDetector ya para descarga! 😅

   v2.6
  ------------------------------------------------

• Ha sido inlcuido un nuevo formulario con acceso a un Area Online.
•     -> El botón "[Online Area]" abre un formulario con notificaciones en tiempo real que pueden ser modificadas por mí en cualquier momento.
•     -> Es posible responder a los contenidos de las notificaciones a través del botón "Reply" mediante correo electrónico.
•     -> El contenido de las notificaciones será meramente informativo sobre el estado de desarrollo de la herramienta o alertas de malware actuales.
•     -> Desde el apartado de File Rules es posible descargar y modificar los nuevos archivos "4n4l.rules" y "EP.rules" con facilidad.
•     -> La fecha y hora actuales se incluye al inicio de los archivos tras cada descarga para dejar constancia de su modificación.
• Se incluye una funcionalidad de carving para la revisión de cabeceras PE en el interior de los archivos analizados.
•     -> Si se identifican ejecutables se calcula el tamaño de sus PE y se extraen al disco.
•     -> Los archivos extraídos se almacenan con el nombre del Offset de inicio del que se extrajeron y se asigna una extensión no ejecutable.
•     -> La carpeta de almacenamiento de los archivos PE extraídos es la misma que la de almacenamiento de análisis HTML.
• Se incluye un botón "[GO]" en el módulo "PE Carve" que abrirá la carpeta de los archivos creados, en caso contrario abrirá la carpeta de análisis.
•     -> Un parpadeo luminoso en el botón "[GO]" avisará al usuario cuando la carpeta que contiene a los archivos se genere.
• Se incluye un apartado de reglas para la detección de exploits.
•     -> En los Entry Point desde el diccionario "EP.Rules"
•     -> En el diccionario de "4n4l.Rules"
•     -> En los recursos
• Multitud de optimizaciones han sido incluidas para mejorar los tiempos de análisis.
• Se ha eliminado la funcionalidad de cortador de archivos por falta de uso de la comunidad debido a que ya se analizan muestras más grandes.
• Se ha realizado un cambio del icono del formulario principal y el del ejecutable de la aplicación.
• Se corrigieron pequeños defectos visuales que se daban en alguna configuración del sistema inusual de los sistemas Windows 10 y Windows 11.
• El botón de "Show Options" se lanza con un retraso de un segundo en la primera ejecución.
• La ruta de almacenamiento de los documentos HTML pasa a encontrarse dentro de una carpeta con nombre del hash MD5 del archivo analizado.
• El módulo de configuración de RATs pasa a formar parte del módulo de Heurística deshabilitado por defecto.
• Aumentada la efectividad del algoritmo de carving para la extracción de funciones de la Export Table que puedan encontrarse perdidas.
• Las estadísticas de tiempo y tamaño del contenido del análisis se mantienen en el título de la pestaña del WebView.
• Desde la pestaña del WebView ahora se puede aplicar otro color de fondo para la generación del archivo HTML.
• El código que realiza la extracción de direcciones IP ha sido revisado, mejorado y optimizado priorizando su velocidad y efectividad.
• El módulo interno de "Known IP/Domains" ahora cuenta con una lista ampliada de detecciones de servicios DNS.
• Solucionado un pequeño bug que pintaba de amarillo uno de los módulos sin encontrarse la opción de su análisis habilitado.
• Solucionado un pequeño bug que omitía la primera cadena del buffer de "Intelligent Strings" y de la funcionalidad de "Strings".
• El código de colores de la herramienta ahora marca los botones morados como una (conexión directa a internet).
• Los botones de los formularios ahora muestran un indicativo de su accionación.
• Aumentada la detección de nuevas sintaxis en el módulo "Intelligent Strings".
• Detección de Mimikatz por diccionario "4n4l.Rules".
• Corrección de algunas reglas del diccionario de detección de Entry points conocidos y del diccionario "4n4l.Rules".
• Detección de SysCall desde "4n4l.Rules" por Miguel Ángel Arenas.
• Opción de reanalisis de muestra en el formulario principal idea de Miguel Ángel Arenas.

Descarga:https://github.com/4n0nym0us/4n4lDetector/releases/tag/v2.6

Hola soy el autor de la herramienta. Tan solo se encuentra empaquetada con UPX sin modificaciones.. el problema con los antivirus viene desde hace tiempo y es que la herramienta incorpora cadenas para detectar fragmentos de malware. Durante el año pasado he realizado envíos de mis compilaciones a las propias empresas antivirus para que la incluyan en lista blanca, pero algunas siguen desconfiando.

Por otro lado mi perfil viene siendo público desde hace muchos años, puedes denunciarme tranquilamente si encuentras algo sospechoso durante la ejecución de las versiones que yo comparto de 4n4lDetector 

Regalo navideño anticipado como viene siendo costumbre... 👹

   v2.5
  ------------------------------------------------
 

• Aumentada la efectividad y la detección de nuevas sintaxis en el módulo "Inlligent Strings" y en la funcionalidad "Strings".
• La pestaña de análisis almacena la información de estadísticas en el título del formulario de la sesión actual.
• Se incluye un aviso de detección de cadenas demasiado largas para el buscador y se asigna el singular para una coincidencia.
• Se actualizó con las nuevas reglas toda la base de datos de Detect It Easy "DIE" a fecha de 5 de diciembre de 2023.
• Se incluyeron reglas nuevas al archivo de "4n4l.rules".
• Se eliminó el botón de añadir archivo desde la interfaz principal, ahora la interfáz gráfica contará solo con la posibilidad de arrastrar archivos para analizarlos.
• Se incluyó una opción nueva para analizar el contenido de los accesos directos "LNK" con o sin su extensión por defecto.
• Solucionado un bug estético que afectaba a algunas pantallas UltraWide de altas resoluciones.
• Mejorada la integración del módulo redimensionador de ventana para sistemas operativos Windows 7, 10 y 11.
• Se incluyó un botón de acceso rápido a la vista por defecto "Show Options" en el caso de haber redimensionado la ventana.
• El botón de "Show Options" ahora cambia a "Hide Options" en base a las redimensiones que sufra el formulario principal y cuando se acciona el botón.
• La aplicación ahora abre las opciones en cada inicio para mantenerlas a la vista durante su uso.
• El avance del análisis cambia el color del nombre de los módulos, dentro del apartado de opciones en tiempo real según avanza.

•     -> El rojo indica el módulo en el que se encuentra la herramienta analizando.
      -> El amarillo indica el final del análisis para ese módulo.
      -> El blanco indica que la herramienta no ha analizado con ese módulo.

 

• Por favor no toquen el botón rojo o vendrá Belcebú, Gracias.

Descarga: https://github.com/4n0nym0us/4n4lDetector/releases/tag/v2.5

Una herramienta útil para analizar... o dar apoyo al desarrollo de malware indetectable? Eso es cosa tuya... a mí no me líes  

   v2.4
  ------------------------------------------------
  

• Deslimitado el número de caracteres mostrados en el visor de Strings, afectando también a la Export e Import Table.
• Se han realizado optimizaciones priorizando la estabilidad de la herramienta a costa de la mínima pérdida de velocidad durante los análisis.
• Agregada la extracción de la rama SYSTEM del registro.
• Se ha optimizado la herramienta Strings impactando muy positivamente en su velocidad.
• Se expandió la recolección de nuevas cadenas de la herramienta Strings.
• Se agregó un nuevo módulo de búsqueda de cadenas llamado Inlligent Strings. (Busca palabras clave tal y cómo haría un analista de malware)
•     -> Incluida una función de limpieza para rutas y direcciones de internet que afecta a este módulo.
• Incluido un control de tiempos tras finalizar los análisis en el título del formulario principal.
• Bloqueada la opción de arrastrar muestras sobre el código Web evitando la opción de ejecutar.

Github: https://github.com/4n0nym0us/4n4lDetector/releases/tag/v2.4

En realidad quería ser humorista, pero la seguridad informática me resultaba más sencilla..

Un saludo!

Sé que la gente grita más cuando hago esto.. https://www.youtube.com/watch?v=sKxbsIAUffE que con lo que vengo a mostraros hoy, pero es que estoy creando un monstruo y lo quería compartir 

 v2.3
  ------------------------------------------------
 

• Agregada una nueva funcionalidad que permite elegir los tamaños de los archivos a analizar.
• El proceso se ejecuta con alta prioridad durante el tiempo que dura el análisis y mientras se realizan algunas tareas demandantes.
• Solucionado un bug que podía terminar con un cierre inesperado de la aplicación tras el análisis de un tipo de ejecutable malformado.
• Solucionado un bug que podía terminar con un cierre inesperado de la aplicación tras el análisis de un tipo de cabecera malformada.
• Deslimitado el número de caracteres mostrado en el visor de análisis por defecto, repercutiendo en la vista web y en los análisis desde consola.
• Deslimitado el número de caracteres mostrado en el visor de código HTML desde la vista web.
• La extracción de funciones en la export table ahora se aumenta de 130 a 400 en el apartado de carving.
• Solucionado un bug que podía colgar el programa durante la extracción del nombre de las secciones.
• Se optimizó el uso de los Timers de la herramienta durante el tiempo de análisis.
• Se incluyeron  multitud de detecciones en formato Unicode para el archivo de reglas "4n4l.rules".
• Solucionado un bug que podría desactivar el botón de Export Table para algunas librerías.
• Solucionado un bug que podría generar multitud de caracteres basura tras el análisis de ciertos archivos UPX.
• Se han realizado optimizaciones con el uso de la memoria de la aplicación.
• La barra de programas ahora muestra la cantidad de caracteres del reporte de análisis.

Github: https://github.com/4n0nym0us/4n4lDetector/releases/tag/v2.3

Vas a tener que descargarlos de Virustotal:

https://github.com/MBThreatIntel/adware/blob/main/ADrozek.txt

https://www.virustotal.com/gui/file/03f9b6710b407ff592473bba6d28a26e321b9da17485a05886a23d6c44c7adfb

Voy sacando versiones como churros niños... LarryLurexRAT v0.4

• El server.exe realiza una conexión en bucle cada vez que el cliente no se está ejecutando. Agregado para sistemas operativos Windows 10/11 (v0.4).

https://www.enelpc.com/p/larrylurexrat.html

Aquí tienes un ejemplo de que modificar puede ser útil, con este he evadido multitud de sistemas EDR y antivirus sin problemas.

Bueno el antivirus podría funcionar a nivel de api hooking, si alguien puede hacer un ataque "man in the middle" son ellos. Si el tráfico de tu conexión viaja con SSL mejor.. pero yo no he probado la opción, siempre utilizo una reverse tcp RC4 de partida.

Depende de las opciones de la herramienta que ya esté desarrollada y del tiempo y recursos que te lleve desarrollar algo igual o mejor. Si quieres innovar es más inteligente desarrollar algo de cero, sino puede ser muy útil modificar algo que ya funciona.