Evitar detección de anti virus.

Iniciado por APOKLIPTICO, 16 Noviembre 2012, 18:59 PM

0 Miembros y 1 Visitante están viendo este tema.

APOKLIPTICO

Hola!! Como va?
Bueno, estoy trabajando en un virus que está funcionando bien, el problema es que estoy tratando de hacerlo indetectable (más indetectable por ahora tengo un 5/42) pero ya no se como.
Lo está detectando por heurística, se que no es por emulación de código sino probablemente por firmas.
Hay alguna manera de obfuscarlo sin necesidad de recurrir a un crypter con su stub??
Gracias!!
AMD Phenom II 1075T X6 @ 290 Mhz x 11 (HT 2036 Mhz NB Link 2616 Mhz) 1.23 Vcore
ASUS M4A89GTD-PRO/USB3
2x2gb G-Skill RipjawsX DDR3 1600 Mhz CL7 (7-8-7-24-25-1T)
Seagate 500 Gb
XFX HD4850 512Mb GDDR3. 650 Mhz/995 Mhz 1.1 Tflops.

Karcrack

¿Tienes el código fuente? ¿Qué detecciones te saltan?

APOKLIPTICO

Si, tengo, me saltan estas:
BitDefender    Gen:Trojan.Heur.RP.huW@auQStQj
DrWeb    MULDROP.Trojan
Emsisoft    Gen:Trojan.Heur.RP.huW@auQStQj (B)
F-Secure    Gen:Trojan.Heur.RP.huW@auQStQj
GData    Gen:Trojan.Heur.RP.huW@auQStQj
MicroWorld-eScan    Gen:Trojan.Heur.RP.huW@auQStQj
Symantec    Suspicious.Cloud.5

Osea, este es el que más salta, tiene un diseño modular el virus, este es el núcleo, el que menos quiero que se pueda detectar. Los otros tienen 1, 2, 0 y 5 detecciones.
AMD Phenom II 1075T X6 @ 290 Mhz x 11 (HT 2036 Mhz NB Link 2616 Mhz) 1.23 Vcore
ASUS M4A89GTD-PRO/USB3
2x2gb G-Skill RipjawsX DDR3 1600 Mhz CL7 (7-8-7-24-25-1T)
Seagate 500 Gb
XFX HD4850 512Mb GDDR3. 650 Mhz/995 Mhz 1.1 Tflops.

Danyfirex

creo que cambiando la versión info salen esas firma. la verdad no recuerdo bien.

APOKLIPTICO

AMD Phenom II 1075T X6 @ 290 Mhz x 11 (HT 2036 Mhz NB Link 2616 Mhz) 1.23 Vcore
ASUS M4A89GTD-PRO/USB3
2x2gb G-Skill RipjawsX DDR3 1600 Mhz CL7 (7-8-7-24-25-1T)
Seagate 500 Gb
XFX HD4850 512Mb GDDR3. 650 Mhz/995 Mhz 1.1 Tflops.

Danyfirex

si si eso de la CompanyName-ProductName-ProductVersion etc. no estoy seguro.

r32

Hola esa opción de editar la info del ejecutable no se si te servirá, hice esa prueba con el server del Darkcomet, modificando toda la info con PE Explorer y sólo cambia la identificación, entonces la heurística le caza una porción de código. Sin la info lo detecta como amenaza genérica.
Hay varios tutoriales, mira este de Lostdead, edita el server con el hexa buscando la firma detectada:
http://www.hackxcrack.es/forum/index.php?topic=1512.0

Si no quieres utilizar crypter creo te tocará modificar código. No se si estará desactualizado pero el SignatureZero funcionaba bastante bien para detectar las firmas.
No se si te servirá, Karcrack te orientará mucho mejor.

Saludos.

Karcrack

Sería de utilidad saber más sobre el ejecutable, importaciones y secciones por ejemplo. Apostaría que utilizas ShellExecute() o derivados.

Teniendo el código fuente es cuestión de buscar caminos alternativos.

APOKLIPTICO

#8
La mayoría de los imports están hechas de manera dinámica y los strings que se le pasa a las funciones getprocaddress y getmodulehandle están cifrados.
Contame de esos caminos alternativos...
Para mi está detectando cosas como que por ejemplo se instala como servicio, o que modifica el registro.

PD: probé AVDevil y también ZeroDetection pero ninguno me dió buen resultado, estoy tratando de hacerlo pasar contra el F-Protect utilizando el Coranti, que es un AV que tiene varios engines de AV en uno.
AMD Phenom II 1075T X6 @ 290 Mhz x 11 (HT 2036 Mhz NB Link 2616 Mhz) 1.23 Vcore
ASUS M4A89GTD-PRO/USB3
2x2gb G-Skill RipjawsX DDR3 1600 Mhz CL7 (7-8-7-24-25-1T)
Seagate 500 Gb
XFX HD4850 512Mb GDDR3. 650 Mhz/995 Mhz 1.1 Tflops.

Karcrack

Olvídate de la evadir la detección parcheando firmas, si tienes el código trabaja con él. ¿En que lenguaje lo has programado? Si todas las cadenas están cifradas... ¿Que cifrado usas?