Autor
|
Tema: crypter, 50% deteccion (Leído 6,944 veces)
|
Daklon
Desconectado
Mensajes: 57
|
buenas, viendo varios tutos y mezclando un poco de mi cosecha he conseguido crearme un cripter con 10 metodos de encriptacion distintos y contra aleatoria(es el primero que hago xD) y EOF pero tengo un problema y es que todos los rumpe que consigo estan muy quemados y tienen firmas,y incluso quitandole el modulo del rumpe al stub, me lo sigue detectando el avira el ikarus y el a-squared el avira creo que es por lod e sub main que por lo visto siempre que hay sub main lo detecta como dropper aqui les pongo los analisis: solo el stub(sin RunPe): File Info
Report date: 2010-10-28 20:58:12 (GMT 1) File name: staf-dll File size: 212992 bytes MD5 Hash: 149ddf3b235529babab23d29e490778f SHA1 Hash: 6edecec8589ac72ea43ac0c831cb16f15a63f8d3 Detection rate: 3 on 16 (19%) Status: INFECTED
Detections
a-squared - Virus.Win32.VBInject!IK Avast - AVG - Avira AntiVir - TR/Dropper.Gen BitDefender - ClamAV - Comodo - Dr.Web - F-PROT6 - Ikarus T3 - Virus.Win32.VBInject Kaspersky - NOD32 - Panda - TrendMicro - VBA32 - VirusBuster -
Scan report generated by NoVirusThanks.org el sutb(con el RunPe): File Info
Report date: 2010-10-28 20:47:16 (GMT 1) File name: staf-dll File size: 221184 bytes MD5 Hash: 70ad185799219edf35c317d09c53028e SHA1 Hash: 61cd435d8b00a3e3a41105f41da14461c0743e6c Detection rate: 6 on 16 (38%) Status: INFECTED
Detections
a-squared - Virus.Win32.VBInject!IK Avast - AVG - Avira AntiVir - TR/Dropper.Gen BitDefender - ClamAV - Comodo - Dr.Web - F-PROT6 - Ikarus T3 - Virus.Win32.VBInject Kaspersky - NOD32 - Win32/Injector.AFL Panda - Suspicious file TrendMicro - VBA32 - Trojan.VB.Levelup VirusBuster -
Scan report generated by NoVirusThanks.org el stub(con RunPe y el server de un troyano cifrado): File Info
Report date: 2010-10-28 20:05:25 (GMT 1) File name: foto1-exe File size: 1219130 bytes MD5 Hash: d0945ab36f69b8ccedb0ad8c3e0a507b SHA1 Hash: d4d7649f0bc6df65b1bd8d40454e2634ca9c3e9a Detection rate: 8 on 16 (50%) Status: INFECTED
Detections
a-squared - Riskware.Win32.VBInject!IK Avast - AVG - Avira AntiVir - TR/Dropper.Gen BitDefender - Gen:Trojan.Heur.ZGY.5 ClamAV - Comodo - Dr.Web - F-PROT6 - W32/VBTrojan.7!Maximus Ikarus T3 - VirTool.Win32.VBInject Kaspersky - NOD32 - Win32/Injector.AFL Panda - Suspicious file TrendMicro - VBA32 - Trojan.VB.Levelup VirusBuster -
Scan report generated by NoVirusThanks.org el codigo prefiero no postearlo,porque tengo pensado usarlo para un par de cosas y no quiero que venga el tipico lammer que lo sube a virustotal xD ya lo liberare cuando lo haya usado para lo que tengo pensado xD si necesitan el codigo puedo enviarselos por mp gracias por adelantado xD
|
|
« Última modificación: 29 Octubre 2010, 17:07 pm por Daklon »
|
En línea
|
|
|
|
Shell Root
|
xD, y no entendí, y gracias de que? XD
|
|
|
En línea
|
Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.
|
|
|
[L]ord [R]NA
Desconectado
Mensajes: 1.513
El Dictador y Verdugo de H-Sec
|
Una pequeña cosa, si no quitas Avira, KAV, BitDefender, Nod32 y Avast no tendras exito... otra cosa, existen crypters F.U.D. y crypters, no crypters medio F.U.D... una ultima cosa, NoVirusThanks.org tambien pasa las muestras a los antivirus, asi que en 1 semana estara detectado por todos.
|
|
|
En línea
|
|
|
|
Psyke1
Wiki
Desconectado
Mensajes: 1.089
|
. xD, y no entendí, y gracias de que? XD +1 Por cierto me gusta tu avatar shell!! Respecto al post, no veo el motivo de postear algo que no se puede ver. Aparte de que no es algo muy innovador que digamos. el codigo prefiero no postearlo,porque tengo pensado usarlo para un par de cosas y no quiero que venga el tipico lammer que lo sube a virustotal xD Pues parece como si ya lo hubieras subido por los analisis... Jajajajaja DoEvents! .
|
|
|
En línea
|
|
|
|
Daklon
Desconectado
Mensajes: 57
|
pues daba las gracias por adelantado, porque lo que pedía era si podían pasarme algún runPe que no tuviera firmas o alguna forma de indetectar el mio,están absolutamente seguros de que le pasa muestras a los antivirus?
porque este cripter lo empece hace mucho, a mediados del 2009, y por aquel entonces no conseguía que me quedara funcional el archivo cifrado y por curiosidad lo subí a novirus para ver cuantos antivirus lo detectaban,y hoy me dio por seguir y hoy solo le corregí un par de errores, lo volví a subir y la detección no ha cambiado...
curioso no?
y lo de fud
fud no significa que no lo detecta ningún antivirus?
porque si es así creo que decir medio fud estaría bien dicho ya que el stub es detectado por el 50%
Edit:
ya se que no es nada del otro mundo,pero es el primer programa en vb que me hago (sin contar el típico hola mundo),y de todas formas no esta acabado, tengo intención de meterle mas cosas, un joiner, un iconchanger, un spread, y un par de cosas mas, pero si se lo meto todo de golpe y luego lo hago indetectable me va a costar mas que hacerlo indetectable ahora y cuando le añada algo nuevo hacer las modificaciones oportunas para dejar ese algo nuevo indetectable también, digo yo que asi es mas sencillo
EDIT2:mods pueden cerrar, ya encontré uno por mi cuenta, ya veré como quito el avira que me lo detecta aunque no tenga runpe
|
|
« Última modificación: 29 Octubre 2010, 00:58 am por Daklon »
|
En línea
|
|
|
|
Edu
Desconectado
Mensajes: 1.082
Ex XXX-ZERO-XXX
|
Creo q FUD es Full Under Detection y si no es asi es algo parecido pero siempre va a significar que esta completamente indetectado, asique medio indetectado no existe xD
Asique si no has creado otros programas entonces estas usando el codigo de otro solo lo modificaste je y quieres seguir agregandole otros codes de iconchanger etc, mientras los entiendas esta bien pero si es el primer programa no entenderas :S Entonces nadie te va a ayudar a hacerlo indetectable sabiendo q eres un riper je
|
|
|
En línea
|
|
|
|
BlackZeroX
Wiki
Desconectado
Mensajes: 3.158
I'Love...!¡.
|
buenas, viendo varios tutos y mezclando un poco de mi cosecha he conseguido crearme un cripter con 10 metodos de encriptacion distintos y contra aleatoria(es el primero que hago xD) y EOF.
par de cosas y no quiero que venga el tipico lammer que lo sube a virustotal xD
ya lo liberare cuando lo haya usado para lo que tengo pensado xD
si necesitan el codigo puedo enviarselos por mp
gracias por adelantado xD
Que bueno, pero lo que no nesesitamos en menos se nesesita en este foro es que nos vegas a demostrar tu EGO, lo que si es deseos de compartir, enseñar, ayudar, vamos que esto no es Indetectables... y si hablamos de lammers pues que aprendan a programar... vaya. pues daba las gracias por adelantado, porque lo que pedía era si podían pasarme algún runPe que no tuviera firmas o alguna forma de indetectar el mio,están absolutamente seguros de que le pasa muestras a los antivirus?
Entonces no es tu crypter... usas algoritmos ajenos. P.D.: He subido cosas a VT, propias y ajenas. Dulces Lunas!¡.
|
|
« Última modificación: 29 Octubre 2010, 03:48 am por BlackZeroX▓▓▒▒░░ »
|
En línea
|
The Dark Shadow is my passion.
|
|
|
Daklon
Desconectado
Mensajes: 57
|
a ver, yo no he copiado directamente códigos, los he hecho yo, pero para saber como funciona un cripter y ver mas o menos como es el código tendré que haber visto algo antes no?
no soy tan listo como para de buenas a primeras hacerme un cripter yo solito, y menos runtime que tendría que hacerme también el runpe
mi intención no es demostrar mi "EGO" como dices tu, solo intentaba explicar porque prefería no postear el código, decia lo que tenia para que se hagan una idea d elo que tiene, porque a lo mejor puede ser detectado por los metodos de cifrado o por el EOF(que no creo)
para enseñar hay que saber ,¿no?
así que lo de enseñar no puedo, solo cosas básicas, ayudar ayudaré cuando pueda y cuando sepa hacerlo y compartir pues lo haré cuando tenga algo que compartir, por ahora venia en busca de ayuda y de que me enseñen
y lo de los lammers ya lo se, pero si subo el código seguro que mas de uno lo va a coger y lo va a usar y entonces no va a ser fud ni de coña xD
preferiría poder usarlo yo antes un tiempo y después lo compartiré
PD: ya cambie el titulo del post
|
|
|
En línea
|
|
|
|
Psyke1
Wiki
Desconectado
Mensajes: 1.089
|
no soy tan listo como para de buenas a primeras hacerme un cripter yo solito, y menos runtime que tendría que hacerme también el runpe No pasa nada, entonces empieza por cosas más simples... DoEvents!
|
|
|
En línea
|
|
|
|
Daklon
Desconectado
Mensajes: 57
|
no sabia que cosas mas simples podía hacer, y un dia encontre un tuto de hacer un cripter asi que busque unos cuantos mas y me hice uno
podrías decirme algo mas simple que podría hacerme?
|
|
|
En línea
|
|
|
|
|
|