Evitar detección de anti virus.

APOKLIPTICO · 16 Noviembre 2012, 18:59 PM

Hola!! Como va?
Bueno, estoy trabajando en un virus que está funcionando bien, el problema es que estoy tratando de hacerlo indetectable (más indetectable por ahora tengo un 5/42) pero ya no se como.
Lo está detectando por heurística, se que no es por emulación de código sino probablemente por firmas.
Hay alguna manera de obfuscarlo sin necesidad de recurrir a un crypter con su stub??
Gracias!!

Karcrack · 16 Noviembre 2012, 19:45 PM

¿Tienes el código fuente? ¿Qué detecciones te saltan?

APOKLIPTICO · 16 Noviembre 2012, 19:58 PM

Si, tengo, me saltan estas:
BitDefender    Gen:Trojan.Heur.RP.huW@auQStQj
DrWeb    MULDROP.Trojan
Emsisoft    Gen:Trojan.Heur.RP.huW@auQStQj (B)
F-Secure    Gen:Trojan.Heur.RP.huW@auQStQj
GData    Gen:Trojan.Heur.RP.huW@auQStQj
MicroWorld-eScan    Gen:Trojan.Heur.RP.huW@auQStQj
Symantec    Suspicious.Cloud.5

Osea, este es el que más salta, tiene un diseño modular el virus, este es el núcleo, el que menos quiero que se pueda detectar. Los otros tienen 1, 2, 0 y 5 detecciones.

Danyfirex · 16 Noviembre 2012, 20:48 PM

creo que cambiando la versión info salen esas firma. la verdad no recuerdo bien.

APOKLIPTICO · 16 Noviembre 2012, 21:28 PM

La qué??? Version info??

Danyfirex · 16 Noviembre 2012, 21:33 PM

si si eso de la CompanyName-ProductName-ProductVersion etc. no estoy seguro.

r32 · 17 Noviembre 2012, 12:35 PM

Hola esa opción de editar la info del ejecutable no se si te servirá, hice esa prueba con el server del Darkcomet, modificando toda la info con PE Explorer y sólo cambia la identificación, entonces la heurística le caza una porción de código. Sin la info lo detecta como amenaza genérica.
Hay varios tutoriales, mira este de Lostdead, edita el server con el hexa buscando la firma detectada:
http://www.hackxcrack.es/forum/index.php?topic=1512.0

Si no quieres utilizar crypter creo te tocará modificar código. No se si estará desactualizado pero el SignatureZero funcionaba bastante bien para detectar las firmas.
No se si te servirá, Karcrack te orientará mucho mejor.

Saludos.

Karcrack · 17 Noviembre 2012, 16:11 PM

Sería de utilidad saber más sobre el ejecutable, importaciones y secciones por ejemplo. Apostaría que utilizas ShellExecute() o derivados.

Teniendo el código fuente es cuestión de buscar caminos alternativos.

APOKLIPTICO · 17 Noviembre 2012, 16:25 PM

La mayoría de los imports están hechas de manera dinámica y los strings que se le pasa a las funciones getprocaddress y getmodulehandle están cifrados.
Contame de esos caminos alternativos...
Para mi está detectando cosas como que por ejemplo se instala como servicio, o que modifica el registro.

PD: probé AVDevil y también ZeroDetection pero ninguno me dió buen resultado, estoy tratando de hacerlo pasar contra el F-Protect utilizando el Coranti, que es un AV que tiene varios engines de AV en uno.

Karcrack · 17 Noviembre 2012, 17:44 PM

Olvídate de la evadir la detección parcheando firmas, si tienes el código trabaja con él. ¿En que lenguaje lo has programado? Si todas las cadenas están cifradas... ¿Que cifrado usas?