Como burlar advertencias de AV

Iniciado por SockMon, 4 Septiembre 2010, 17:37 PM

0 Miembros y 1 Visitante están viendo este tema.

SockMon

Hola, utilizo Kaspersky IS, logro hacer el server del Spy-net indetectable pero cuando lo ejecuto el AV me informa de que server.exe quiere tener acceso a datos del sistema (eso sale cada vez que abro alguna funcion del spy-net (keylooger, remote cam...) Y he puesto el server en la lista de excepciones del AV y ya no salen esos mensajes, pero claro ¿que puedo hacer para que no salga ese mensaje en una PC a la q no tenga acceso fisicamente?

SnakingMax

Parece que la heurística del antivirus detecta el virus. Puedes hacer un código que cierre el proceso del antivirus y adjuntarlo a tu virus con un joinner.

Código que mate el antivirus es la solución que dan algunos virus al problema de que lo detecten una lista de antivirus comunes, aunque matar el proceso tiene un problema y es que el usuario se da cuenta de que se ha cerrado su antivirus.
Piensa que el virus que estás fabricando tiene código escrito que se parece a patrones de virus conocidos, por eso lo detecta el antivirus y aparece esa alarma.
Puedes camuflar el virus con algun comprensor/encriptador tipo UPX, protecciones anti-debugger... etc. Pero eso será efectivo hasta que se ejecute el virus.

Saludos

SockMon

Cita de: SnakingMax en  4 Septiembre 2010, 18:11 PM
Pero eso será efectivo hasta que se ejecute el virus.

Saludos

Pero una vez que sea ejecutado volvera a salir esas notificaciones y apareceria de nuevo el problema.

Edu

Pero como lograste hacer indetectable el server del spynet? usando crypters?
si es asi, talvez usaste un crypter scan time, busca otro q sea runtime, en realidad la mayoria q bajes van a ser runtime, pero bajate otro q sea nuevo y analizalo bien a ver si lo detecta

SockMon

Si utilice un crypter y es tanto runtime como scantime, en realidad el AV no lo detecta como virus si no que me informa de que esta teniendo acceso a datos del sistema y eso lo pone a menudo cuando intento instalar un programa que no tiene firma digital.

[Zero]

Es la proactiva del kaspersky, y no es una protección fácil de saltarse, desde modo usuario yo no conozco ninguna forma, lo más seguro sería programar algún módulo del kernel en ring0 y quitar los hooks que kaspersky pone a las apis.

Lo de matar el AV tampoco es tan sencillo, actualmente no creo que haya algún antivirus que se deje matar desde modo usuario con un simple TerminateProcess(), también sería necesario acceder a ring0.

Saludos

"El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche