A que se debe ?? :D

Iniciado por Vaagish, 10 Mayo 2013, 00:33 AM

0 Miembros y 2 Visitantes están viendo este tema.

Vaagish

Buenas señores y señoras !! A que se debe esta deteccion ?

TR/Crypt.XPACK.Gen y Malware-Cryptor.Win32.Allblock

Que es lo que me detecta ? Puede ser una rutina de desencriptacion de cadenas quizas ??

Y ya que estamos.. si es eso lo que me detecta,, (la desencriptacion) alguien sabe de algun algoritmo para cifrar cadenas en asm ? uno mejor que sumarle un numero a los caracteres ascii, porque eso es lo que hago y esta muy simplote... Y con xor, la verdad que me da la misma mala espina.. no es nada muy elaborado..

Desde ya, Muchas gracias!!!

Vaagish

Buenas tardes amigos,, sigo sin poder resolver este problema:

Malware-Cryptor.Win32.Allblock con el antivirus VBA32

Segun el sitio Dr.Web, lo que me esta descubriendo es:

Trojan.MulDrop.32703 (Dr.Web), Malware-Cryptor.Win32.General.3 (VirusBlokAda), TR/Crypt.ZPACK.Gen (Avira), New Malware.cc (McAfee), TROJ_DROPPER.ORX (Trend Micro), TrojanDropper:Win32/Alobtoe.A (Microsoft), Trojan-Dropper.Win32.Agent.ayfo (Kaspersky), Backdoor.Bot.100734 (BitDefender)

Lo cual es muy cierto,, me lo detecta un solo antivirus y la verdad, me estoy quedando sin ideas, ya cargo las apis dinamicamente, cifro las cadenas, hago algunos jumps, cambio el orden del programa y nada, me sigue detectando la app como un troyano..

Lo estoy haciendo en masm32, alguien tiene algun aporte para poder burlar este maldito antivirus ?? La verdad, nunca pense que ese av funcionara bien,, al parecer detecta mejor que el kaspersky :/

Muchas gracias!

Flamer

Hola Vaagish como estas parece que nadie te ayuda asi que teboy a hechar una mano.

Tienes que buscar la linea de codigo que te detecta el AV y cambiarla por otra que haga lo mismo y para eso tienes que partir tu exe en dos y ver de esos dos cual es detectado y lugo volver a partilo y luego ver cual es detectado hasta que ubiques que pedaso del archivo es y buscar en el codigo fuente que linea es.

Saludos flamer y lo puedes hacer con un editor HEX o create un programa que divida el archivo en 2

Vaagish

Muy buena opcion flamer!! No lo habia pensado asi.. Se me habia ocurrido usar el ollydbg y cambiar parte por parte por nops, y probar uno por uno en novirusthnks, pero lo dejo como ultima opcion, porque me va a llevar mucho rato...

Siempre atento colega!! Muchas gracias! Y cualquier cosa, a las ordenes ;)

Vaagish

Bueno,, después de casi 4 hs de investigación me encuentro con este problema, lo posteo para no desperdiciar el tema que cree,, así, si en el futuro alguien se encuentra en esta misma situación, a lo mejor lo oriente a como encarar el asunto :)

El antivirus VBA32 detecta este codigo como Malware-Cryptor.Win32.Allblock

;Dinamic proc Libreria:DWORD, Funcion:DWORD

; push Libreria
; call LoadLibrary
; push Funcion
; push eax
; call GetProcAddress
; mov Hand, eax

; ret

;Dinamic endp


De echo, al parecer detecta la función LoadLibrary y GetProcAddress como algo peligroso.. tambien detecta la función si la quiero cargar de forma dinámica, porque (hasta donde yo se) la cargo con getprocaddress, o sea, usar getprocaddress, para obtener la dirección de getprocaddress.. ( Un dilema, no ? )

Bueno,, la solución al problema parecía lógico,, no usar esas funciones.. pero, no todo es tan color de rosas,, porque ahi aparecen otros problemas..

El antivirus Fprot detecta las funciones copyfile y getmodulefilename como algo peligroso ( detección por heuristica, mas precisamente: W32/Heuristic-400!Eldorado (not disinfectable) )

Haa,, vale destacar que las cadenas importantes del programa, estaban cifradas, pero cifradas o no, al parecer al Fprot, no lo engaña con eso.. ¬¬

Otra cosa importante es hacer un jmp al final del programa, y regresar al inicio, esto elude a 2 o 3 antivirus jejeje

Bueno, de poder resolver el problema sin herramientas externas, no creo que ponga la solución.. eso va a quedar para mi, si el código que implemente funciona para eludir Av's mejor me hago de alguna rutina propia para tal propósito :p

Saludos!

Иōҳ

Pero si lo partes en dos el exe, acaso el parser del formato pe del av no detectaría eso? y lo tomaría como un binario inválido? o aún sí, aunque sea un binario inválido de igual manera lo tira contra su db de firmas?

Saludos,
Nox.
Eres adicto a la Ing. Inversa? -> www.noxsoft.net

Vaagish

Hola Иōҳ ! Puede ser si que pase eso que dices tu.. yo al final fui comentanto el codigo hasta que acorrale "la firma" que me detectaba el AV. No probe cortando el archivo porque el hacha no corta archivos tan pequeños y me daba pereza buscar otro spliter..

Saludos !

Иōҳ

Yo también lo haría como tú, quitaría módulos hasta dar con el que detecta ...

Saludos.
Eres adicto a la Ing. Inversa? -> www.noxsoft.net

Flamer

hola Vaagish si usas el algoritmo de xor deja avisarte que algunos antivirus los detecta, nose muy bien pero si usas muncho la instruccion xor tambien pienso yo que lo detecta, llaque mi Keygenme en ASM uso muncho la instruccion xor antes de cada bucle y me lo detecta el avast como un malware

saludos flamer

fary

Si partes el archivo en partes en algunas ocasiones lo deja de detectar el antivirus pero porque sabe que el programa no funciona... Yo tambien quitaría modulos y iría provando combinaciones.

suerte!
Un byte a la izquierda.