Pues eso, que consejos me dan para evadir kaspersky, más que nada el análisis heurístico, ya que logro analizar estáticamente el ejecutable y este no es detectado, pero al iniciar es suprimido.
PD: DarkCommet
Saludos
Java, y te olvidas de lios, sino... No creo que nadie te diga un método así en publico, que tengas mucha suerte!
Intenta colocando un bucle desencriptador/delay de unos 3-5 segs.
El tracer/emulador de KAV tiene (a al menos tenia) ese timeout, antes de dejar correr un proggie...
Saludos!
Secuestra al hijo de Kaspersky y pedí de rescate que no te detecten el malware :p
Estoy haciendo mega estupideces ilógicas:
- Modificación de string.
- Detección de firma AV
- Semi emulación de API de WINSOCK (obtengo la dirección de la misma forma que las shellcode luego ejecuto 3 instrucciones iniciales de la API y luego salto hacia la API no desde la IAT si no desde la sección .DATA)
- Timmer (loop muchos loop).
Esto lo he echo durante todo este día, aun no lo pruebo, solo he verificado la potabilidad.
A ver a quien se le ocurre otra cosa, saludos.
Saludos :D
Lo que te puse antes, es muy usado (no preguntes dónde :P)
Otra idea (funciona al día de hoy, probado en KAV up2date ;) ): click (http://seclists.org/fulldisclosure/2014/Mar/329)
Saludos!
Cita de: MCKSys Argentina en 7 Abril 2014, 23:03 PM
Lo que te puse antes, es muy usado (no preguntes dónde :P)
Otra idea (funciona al día de hoy, probado en KAV up2date ;) ): click (http://seclists.org/fulldisclosure/2014/Mar/329)
Saludos!
wuajajaja como descubrieron eso? que increíble, veré si puedo complementarlo aunque lo dudo pero si que vale para futuros análisis.
Muchas gracias Fly
por cierto existe una lista de API's Malas y Buenas?, sería bueno que en el troyano creara una ventana oculta o un dialogbox, quizás así la heurística crea que es un programa de asistencia remota legal como teamviewer, no sé denme ideas con la basura (que basura poner entre las llamadas de las APIs)
Saludos :D
Yo no hago mas ejecutables que intenten evadir AV con cifrado y métodos rebuscados.. en lo unico que me preocuparia por quemarme la cabeza seria un downloader, o una shell remota que me permita bajar sigilosamente otro programa, como un troyano..
Ese es mi punto de vista..
Saludos!!
Cita de: Vaagish en 7 Abril 2014, 23:16 PM
Yo no hago mas ejecutables que intenten evadir AV con cifrado y métodos rebuscados.. en lo unico que me preocuparia por quemarme la cabeza seria un downloader, o una shell remota que me permita bajar sigilosamente otro programa, como un troyano..
Ese es mi punto de vista..
Saludos!!
Pero cuando se descargue el Troyano, este será detectado si no implemento los métodos comentados :S
@.:UND3R:. Esconde tu código maligno en uno benigno, así hace tiempo saltaba varias cosillas, coge algún proyecto bueno y escode tu código hay! Yo optimizaba y reducía el código al máximo para esconderlo lo mejor posible, no se si todavía seguirá funcionando porque se lo conté a un amigo y se decidió publicarlo por razones que no vienen al caso, pero prueba lo con un poco de suerte...
Que lenguaje estas usando?
CitarPero cuando se descargue el Troyano, este será detectado si no implemento los métodos comentados :S
Muchas veces lo que es detectado no es la instrucción que ejecuta cierta tarea en la pc, sino el método que tiene para no ser detectada.. yo aunque pese un poco mas el exe, ahora le meto todo sin cifrar, nada de rutinas para que no sea detectado y así poder pasar por programa legitimo.. sin malas intenciones :p Y si por algún motivo es detectado, (que hasta podría ser una falsa detección) cambio solo esa parte, por otra que llame aun mas la atención.. es decir, no esconde nada el programa... no tiene por que levantar sospechas ;)