Consejo para evadir Kaspersky?

.:UND3R:. · 7 Abril 2014, 16:31 PM

Pues eso, que consejos me dan para evadir kaspersky, más que nada el análisis heurístico, ya que logro analizar estáticamente el ejecutable y este no es detectado, pero al iniciar es suprimido.

PD: DarkCommet

Saludos

xxxposeidonxxx · 7 Abril 2014, 21:24 PM

Java, y te olvidas de lios, sino... No creo que nadie te diga un método así en publico, que tengas mucha suerte!

MCKSys Argentina · 7 Abril 2014, 22:38 PM

Intenta colocando un bucle desencriptador/delay de unos 3-5 segs.

El tracer/emulador de KAV tiene (a al menos tenia) ese timeout, antes de dejar correr un proggie...

Saludos!

Vaagish · 7 Abril 2014, 22:46 PM

Secuestra al hijo de Kaspersky y pedí de rescate que no te detecten el malware :p

.:UND3R:. · 7 Abril 2014, 22:59 PM

Estoy haciendo mega estupideces ilógicas:
- Modificación de string.
- Detección de firma AV
- Semi emulación de API de WINSOCK (obtengo la dirección de la misma forma que las shellcode luego ejecuto 3 instrucciones iniciales de la API y luego salto hacia la API no desde la IAT si no desde la sección .DATA)
- Timmer (loop muchos loop).

Esto lo he echo durante todo este día, aun no lo pruebo, solo he verificado la potabilidad.

A ver a quien se le ocurre otra cosa, saludos.

Saludos

MCKSys Argentina · 7 Abril 2014, 23:03 PM

Lo que te puse antes, es muy usado (no preguntes dónde

)

Otra idea (funciona al día de hoy, probado en KAV up2date

): click

Saludos!

.:UND3R:. · 7 Abril 2014, 23:06 PM

Cita de: MCKSys Argentina en 7 Abril 2014, 23:03 PM
Lo que te puse antes, es muy usado (no preguntes dónde )

Otra idea (funciona al día de hoy, probado en KAV up2date ): click

Saludos!

wuajajaja como descubrieron eso? que increíble, veré si puedo complementarlo aunque lo dudo pero si que vale para futuros análisis.

Muchas gracias Fly

por cierto existe una lista de API's Malas y Buenas?, sería bueno que en el troyano creara una ventana oculta o un dialogbox, quizás así la heurística crea que es un programa de asistencia remota legal como teamviewer, no sé denme ideas con la basura (que basura poner entre las llamadas de las APIs)

Saludos

Vaagish · 7 Abril 2014, 23:16 PM

Yo no hago mas ejecutables que intenten evadir AV con cifrado y métodos rebuscados.. en lo unico que me preocuparia por quemarme la cabeza seria un downloader, o una shell remota que me permita bajar sigilosamente otro programa, como un troyano..

Ese es mi punto de vista..

Saludos!!

.:UND3R:. · 7 Abril 2014, 23:23 PM

Cita de: Vaagish en 7 Abril 2014, 23:16 PM
Yo no hago mas ejecutables que intenten evadir AV con cifrado y métodos rebuscados.. en lo unico que me preocuparia por quemarme la cabeza seria un downloader, o una shell remota que me permita bajar sigilosamente otro programa, como un troyano..

Ese es mi punto de vista..

Saludos!!

Pero cuando se descargue el Troyano, este será detectado si no implemento los métodos comentados :S

xxxposeidonxxx · 7 Abril 2014, 23:35 PM

@.:UND3R:. Esconde tu código maligno en uno benigno, así hace tiempo saltaba varias cosillas, coge algún proyecto bueno y escode tu código hay! Yo optimizaba y reducía el código al máximo para esconderlo lo mejor posible, no se si todavía seguirá funcionando porque se lo conté a un amigo y se decidió publicarlo por razones que no vienen al caso, pero prueba lo con un poco de suerte...
Que lenguaje estas usando?