elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía actualizada para evitar que un ransomware ataque tu empresa


+  Foro de elhacker.net
|-+  Programación
| |-+  Programación General
| | |-+  .NET (C#, VB.NET, ASP)
| | | |-+  Programación Visual Basic (Moderadores: LeandroA, seba123neo)
| | | | |-+  Cómo hacer indetectable un .exe
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Cómo hacer indetectable un .exe  (Leído 10,422 veces)
gulabyte

Desconectado Desconectado

Mensajes: 97



Ver Perfil
Cómo hacer indetectable un .exe
« en: 22 Enero 2010, 16:03 pm »

Wenas a todos!

Viendo los reportes de virusnothanks que andan apareciendo ahora me ha dado por scanear mi server con el Multi-Engine Scanner y resulta que me lo detectan nada más que CUATRO antivirus!

File Info

Report generated: 22.1.2010 at 15.40.36 (GMT 1)
Filename: svchost.exe
File size: 266424 bytes
MD5 hash: 28dadc95537f1ec96688afaf463afcaf
SHA1 hash: D195C7649C892EE586713338A91DB5E84AA2C578
Detection rate: 4 on 24
Status: INFECTED

Detections

a-squared - -
Avira AntiVir - TR/Crypt.FKM.Gen
Avast - -
AVG - -
BitDefender - Gen:Trojan.Heur.qm1@Xqk1Qthi
ClamAV - -
Comodo - -
Dr.Web - -
Ewido - -
F-PROT6 - W32/VB-Backdoor-PSVR-based!Maximus
G-Data - -
Ikarus T3 - -
Kaspersky - -
McAfee - -
NOD32 v3 - -
Norman - -
Panda - -
QuickHeal - -
Solo Antivirus - -
Sophos - Mal/Behav-035
TrendMicro - -
VBA32 - -
VirusBuster - -
ZonerAntivirus - -

Scan report generated by
NoVirusThanks.org




¿Cómo hacer para saltarse la heurística?

PD: Los strings ASCII del ejecutable son lo más cantoso, tienen en cuenta estos strings los antivirus?
Si hay un par de strings concretos en un ejecutable lo declara como troyano¿ (por ejemplo si existe "Server" "Remote" y "KeyLogger" meterlo en alerta roja y asi??)
y Se conservan los nombres de las variables?
No tendría que codificarlos el compilador?? Por ejemplo con números?

Puedo admitir que es el server más DETECTABLE de todos los que habéis visto, tampoco me he dedicado a ello en esencia.. (eso me digna  ;D) pero no puedo negar que me ha bajado la moral bastante.. mucho

Hacer este scan ha sido mi perdición, agradecería que aclarárais las dudas genios!! ;D


« Última modificación: 22 Enero 2010, 16:49 pm por gulabyte » En línea

The Swash

Desconectado Desconectado

Mensajes: 194


Programmer


Ver Perfil WWW
Re: Cómo hacer indetectable un .exe
« Respuesta #1 en: 22 Enero 2010, 16:47 pm »

Bien primero parece ser un BackDoor(server de troyano), no lo has especificado.
Los antivirus trabajan deteccion por Heuristica(Generalmente APIs) & por deteccion de Strings.

Apis generalmente detectadas

URLDownloadToFile
WriteProcessMemory
ReadprocessMemory
ShellExecute
WinExec
GetProcAddress
CreateProcessA

Strings
Stub

Deberias provar un Crypter Run-Time, no puedo certificarte que funcione por que no se que servidor es ni la forma que ingresa los datos con o sin EOF.

Busca informacion sobre undeteccion mediante firmas, te ayudara ^^
Salu2!


En línea

gulabyte

Desconectado Desconectado

Mensajes: 97



Ver Perfil
Re: Cómo hacer indetectable un .exe
« Respuesta #2 en: 22 Enero 2010, 17:06 pm »


Gracias The Swash por responder,

El server lo he creado yo y sí es un servidor de troyano (lo que no sé es cómo ingresa los datos..ahí me he perdido)

Si se detectan API's como ShellExecute (este lo tengo ;D) como lo hacen otros programas para ejecutar aplicaciones?

Bueno está claro que el tema de encryptar no es cosa de un par de posts... mejor si lo miro por mi cuenta, además en el foro sé que se ha escrito mucho sobre esto.

agradecería un par de links.. ;D
En línea

The Swash

Desconectado Desconectado

Mensajes: 194


Programmer


Ver Perfil WWW
Re: Cómo hacer indetectable un .exe
« Respuesta #3 en: 22 Enero 2010, 17:51 pm »

En cuanto al ShellExecute creo que te servira esto  :P
Código:
http://foro.elhacker.net/programacion_vb/source_shellexecute_sin_declaracion_api-t281057.0.html

En cuanto al ingreso de datos me refiero a que si tiene informacion en la parte final del archivo o no, de acuerdo a eso puedes usar Crypter con EOF o sin EOF"
Salu2  ;D
En línea

BlackZeroX
Wiki

Desconectado Desconectado

Mensajes: 3.158


I'Love...!¡.


Ver Perfil WWW
Re: Cómo hacer indetectable un .exe
« Respuesta #4 en: 22 Enero 2010, 18:38 pm »

.
Esto deberias preguntarlo en Analisis y Diseo de Malware este foro dejalo a dudas explicitas sobre de vb6

Temibles Lunas!¡.
.
En línea

The Dark Shadow is my passion.
ssccaann43 ©


Desconectado Desconectado

Mensajes: 792


¬¬


Ver Perfil
Re: Cómo hacer indetectable un .exe
« Respuesta #5 en: 22 Enero 2010, 18:59 pm »

Si posteo acá supongo que esta buscando la manera de hacerlo en VB BlackZeroX...!
En línea

- Miguel Núñez
Todos tenemos derechos a ser estupidos, pero algunos abusan de ese privilegio...
"I like ^TiFa^"
gulabyte

Desconectado Desconectado

Mensajes: 97



Ver Perfil
Re: Cómo hacer indetectable un .exe
« Respuesta #6 en: 24 Enero 2010, 12:50 pm »


Si bueno yo quería hacer lo posible en visual basic para que el código no fuera detectado... de todas formas tienes razón BlackZero la próxima vez me dirigire a este tipo de cosas en Analisis y Diseño de Malware..  ;D

Gracias the Swash de nuevo por el link,

salu10!
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Hacer un trojan indetectable, ¿maneras? « 1 2 »
Análisis y Diseño de Malware
zergiustyle 14 13,733 Último mensaje 17 Enero 2013, 17:37 pm
por Nec10
Hacer indetectable un payload
Bugs y Exploits
xhule 3 9,995 Último mensaje 13 Febrero 2013, 21:26 pm
por alister
Hacer mi android indetectable??
Seguridad
Trollwer 3 4,205 Último mensaje 20 Enero 2017, 01:05 am
por engel lex
como hacer indetectable un exploit ? - metasploit -
Bugs y Exploits
Gabriel sombrero blanco 2 4,484 Último mensaje 12 Octubre 2017, 16:43 pm
por Gabriel sombrero blanco
Como hacer indetectable una dll
Dudas Generales
stayhighbro 5 3,154 Último mensaje 13 Diciembre 2017, 18:32 pm
por BloodSharp
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines