Evitar las firmas genericas de los ANTI

Iniciado por Timerlux, 7 Febrero 2012, 18:09 PM

0 Miembros y 2 Visitantes están viendo este tema.

Timerlux

hola a todos, me preguntaba si alguien sabe como conseguir esto, es muy facil modificar el code de un crypter, y que los AVs no puedan identificar que bicho es,
pero si saltan los AVs marcandolo como generico o sospechoso.

No estoy seguro pero creo que lo hacen viendo las Api  que usa el crypter,
la sección import del executable donde vienen todas las llamadas a funciones externas.
pero ni idea.

alguien sabe si es posible hacer un crypter fud fud, el visual basic es muy propenso a ser detectado como virus generico, alguien sabe si se puede hacer Fud un crypter VB?

gracias a todos y saludos.


Karcrack

Hacer FUD un crypter de VB6 es difícil. Pero no imposible. Los pasos a seguir son:

  • No utilizar código quemado (como los RunPEs que circulan por ahí :rolleyes:...)
  • No tener muchos módulos (recomiendo unir todo el código en uno solo)
  • Añadir un formulario dummy con algunos controles y código inútil
  • Rezar para que Antivir no toque las narices con sus detecciones paranoicas

Ya está. Básicamente con que el código sea tuyo la cosa se facilita mucho.

Timerlux

Gracias Karcrack

hace años q olvide el mundillo y la cuenta que tenia aqui aun sigue jajaj

he estado haciendo pruebas en un scaneador de archivos online y quitando codigo comprometedor y scaneo, quito y escaneo, quito y escaneo, hasta dejar el archivo casi sin nada, con un msgbox "hola" y no le he visto logica alguna al asunto, siempre hay algunos que detectan generico, incluso creo ha habido 2 AV que detectan solo por el nombre de archivo cuando este se llamaba stub, creo que al pobre VB6 lo han condenado

ahora estoy modificando un crypter no vb, por cierto sabeis si los antiguos bichos como flux, bifros y esos funcionan en vista y 7?

saludos otra vez ;)

Karcrack

VB6 ha sido tristemente condenado por algunas compañías de AVs...

Respecto a lo que preguntas sobre esos viejos RATs... algunas funciones no funcionan correctamente, pero en esencia (ejecutado con privilegios de Admin) deben funcionar. Tal vez no el PoisonIvy ya que su sistema para sacar el puntero de KERNEL32 es obsoleto, pero parcheando debería ir bien.

Timerlux

vale ya veo creo entenderlo pero yo no se parchear las llamadas a kernel y seria una aventura de demasiado tiempo, entonces cuales hay disponibles ahora me refiero a de los buenos, no Rats chorras de esos de te abro el cd y ahora te lo cierro jajajajaj
cuales son los populares ahora?

;)

Иōҳ

Él dijo para sacar el puntero a kernel32, no para parchar las llamadas a kernel...
Nox.
Eres adicto a la Ing. Inversa? -> www.noxsoft.net