elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Security Series.XSS. [Cross Site Scripting]


+  Foro de elhacker.net
|-+  Programación
| |-+  Scripting
| | |-+  [DATOS] Análisis AV continuado virulator + rutinas ofuscación nuevas
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: [DATOS] Análisis AV continuado virulator + rutinas ofuscación nuevas  (Leído 1,967 veces)
m0rf


Desconectado Desconectado

Mensajes: 828


BACK!


Ver Perfil
[DATOS] Análisis AV continuado virulator + rutinas ofuscación nuevas
« en: 18 Julio 2012, 22:04 pm »

Primer scan del archivo main:

Virulator 1.0c- 18/06/2012

Citar
SHA256:   4a99d68c76d7f9d7812c4360294148805f0d70622a25e330277b7dece8c5d68d
SHA1:   e23ffba2a2ad7bba7b52ac76e3fc334d0ba2f1a6
MD5:   48bb0d3b6f23dbc1ffece80e42ec3612
Tamaño:   109.7 KB ( 112372 bytes )
Nombre:   virulator.bat
Tipo:   unknown
Detecciones:   4 / 40
Fecha de análisis:    2012-07-18 19:45:53 UTC ( hace 1 minuto )
Citar
AhnLab-V3   -   20120718
AntiVir   -   20120718
Antiy-AVL   -   20120717
Avast   VBS:QHost-D [Trj]   20120718
AVG   Hosts   20120718
BitDefender   -   20120718
ByteHero   -   20120716
CAT-QuickHeal   -   20120718
ClamAV   Trojan.Qhost-264   20120718
Commtouch   -   20120718
Comodo   -   20120718
DrWeb   -   20120718
Emsisoft   -   20120718
ESET-NOD32   -   20120718
F-Prot   -   20120718
F-Secure   -   20120718
Fortinet   -   20120718
GData   VBS:QHost-D   20120718
Ikarus   -   20120718
Jiangmin   -   20120718
K7AntiVirus   -   20120718
Kaspersky   -   20120718
McAfee   -   20120718
McAfee-GW-Edition   -   20120718
Microsoft   -   20120718
Norman   -   20120718
nProtect   -   20120718
PCTools   -   20120718
Rising   -   20120718
Sophos   -   20120718
SUPERAntiSpyware   -   20120718
Symantec   -   20120718
TheHacker   -   20120717
TotalDefense   -   20120717
TrendMicro   -   20120718
TrendMicro-HouseCall   -   20120718
VBA32   -   20120718
VIPRE   -   20120718
ViRobot   -   20120718
VirusBuster   -   20120718

*Notas: Buscar información acerca de Qhost y sus funciones.

Se irán añadiendo las modificaciones y los respectivos escaneos.

2-

----------

Citar
SHA256:   d5895764cd489edf0b9699de3f9ac90c6c82e69687fea95f7d68a13b53097992
SHA1:   f1c20e88816f33fc1c29ec0308ff66a69928ea43
MD5:   7a5f29c59317841d1c91dac118b56482
Tamaño:   8.2 KB ( 8367 bytes )
Nombre:   virulator.bat
Tipo:   unknown
Detecciones:   1 / 44
Fecha de análisis:    2012-10-10 18:35:29 UTC ( hace 0 minutos )

Citar
Agnitum   -   20121010
AhnLab-V3   -   20121010
AntiVir   -   20121010
Antiy-AVL   -   20121009
Avast   -   20121010
AVG   -   20121010
BitDefender   -   20121010
ByteHero   -   20121009
CAT-QuickHeal   -   20121010
ClamAV   -   20121010
Commtouch   -   20121010
Comodo   -   20121010
DrWeb   BATCH.Virus   20121010
Emsisoft   -   20120919
eSafe   -   20121009
ESET-NOD32   -   20121010
F-Prot   -   20121010
F-Secure   -   20121003
Fortinet   -   20121010
GData   -   20121010
Ikarus   -   20121010
Jiangmin   -   20121009
K7AntiVirus   -   20121010
Kaspersky   -   20121010
Kingsoft   -   20121008
McAfee   -   20121010
McAfee-GW-Edition   -   20121010
Microsoft   -   20121010
MicroWorld-eScan   -   20121010
Norman   -   20121010
nProtect   -   20121010
Panda   -   20121010
PCTools   -   20121010
Rising   -   20121009
Sophos   -   20121010
SUPERAntiSpyware   -   20121010
Symantec   -   20121010
TheHacker   -   20121009
TotalDefense   -   20121010
TrendMicro   -   20121010
TrendMicro-HouseCall   -   20121010
VBA32   -   20121009
VIPRE   -   20121010
ViRobot   -   20121010

Sorprendente-mente ahora solo es detectado por dr.web :S

Bueno, por lo visto o el código a cambiado o los antivirus han cambiado.

Esto era para ver como los antivirus lo detectaban más cada vez y ir viendo en que se fijaban.

Visto que les da igual en general lo que ejecuta el archivo tan solo con cambiar el orden y rellenar muy posiblemente dr.web saldría de la lista. Otra posibilidad es que sea una funcion especifica de batch o una implementacion de la propia aplicación, en cuyo caso se verá cuando pruebe la parte de batch del ofuscador que preparo.

Si la próxima prueba que hago dr.web sale y queda totalmente limpio dejaré de postear aquí escaneos ya que tendré la función que hace saltar dr.web(en caso que no sea por checksum o algun tipo de firmas) y se incluira como la parte de batch del ofuscador que preparo.

Si no pues se ira viendo a ver que hacen los antivirus.

Advertencia:Esto es un experimento, cualquier parecido con algo profesional es pura casualidad.


« Última modificación: 10 Octubre 2012, 20:48 pm por m0rf » En línea

Si todos fuéramos igual de inteligentes no existiría la mediocridad porque no podríamos apreciarla. Aprecias la mediocridad?
Binary_Death

Desconectado Desconectado

Mensajes: 214



Ver Perfil
Re: [DATOS] Análisis AV continuado virulator + rutinas ofuscación nuevas
« Respuesta #1 en: 18 Julio 2012, 23:26 pm »

Es muy extraño que un AV detecte un script batch.
Si lo hace, es en su mayoría por algún código VBS que tiene metido por ahí o algunos datos que incorpora el código que son muy típicos de los malware (es decir, en este caso, todas las páginas que se añaden a hosts).

Fuera de eso, es prácticamente imposible que se haga detectado. Se cuentan con los dedos de una mano los virus en batch que tienen su firma añadida a la database de algún AV, y de ser así, añadiendo una pequeña rutina de polimorfismo ya está salvada la dificultad.



En línea

m0rf


Desconectado Desconectado

Mensajes: 828


BACK!


Ver Perfil
Re: [DATOS] Análisis AV continuado virulator + rutinas ofuscación nuevas
« Respuesta #2 en: 19 Julio 2012, 02:17 am »

Yo también lo pensaba, pero es detectado por 4 por lo que se ve.

Mi idea era incorporar un código que ofrezca ofuscación en primer lugar y tal vez se le pueda poner alguna cifrado con algún invento xD, todo en plan casero y batch.

Ya veremos. Quizá si la herramienta continua si que otros antivirus la detecten más adelante. Ya veréis en las próximas versiones (eso si con el permiso de EleKtro H@cker, al quien ya he consultado).

Saludos.
En línea

Si todos fuéramos igual de inteligentes no existiría la mediocridad porque no podríamos apreciarla. Aprecias la mediocridad?
BatchianoISpyxolo

Desconectado Desconectado

Mensajes: 166


Ver Perfil
Re: [DATOS] Análisis AV continuado virulator + rutinas ofuscación nuevas
« Respuesta #3 en: 20 Julio 2012, 23:21 pm »

Pues no estaría mal ofuscar el código.
En línea

Puede que desees aprender a programar desde 0: www.espascal.es
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
"Los datos en el búfer de puntos de análisis no son válidos."
Windows
peib0l 4 15,493 Último mensaje 2 Febrero 2012, 21:00 pm
por Randomize
Amazon podría lanzar su propia herramienta de análisis de datos
Noticias
wolfbcn 0 731 Último mensaje 8 Enero 2012, 14:43 pm
por wolfbcn
[Batch] Virulator 1.0c « 1 2 3 4 »
Scripting
Eleкtro 34 19,819 Último mensaje 1 Diciembre 2012, 12:37 pm
por desi
Alguien conoce este tipo de ofuscación « 1 2 »
PHP
Shell Root 10 3,087 Último mensaje 25 Septiembre 2012, 17:34 pm
por MinusFour
Introduccion a la ofuscacion de codigo c#
.NET (C#, VB.NET, ASP)
aixeiger 3 3,333 Último mensaje 30 Agosto 2012, 15:34 pm
por Keyen Night
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines