Bueno la cosa es que hice un dowloader y funciona perfecto y me gusta como quedo, pero yo no se modear asique le saque los avs desde el source, con muchas cosas como codigo basura, esconder el api de download entre otras apis que no uso q las meti para meter codigo basura, cambie los .exe haciendo StrReverse y creando variables = e , variable = x , todo asi para crear el .exe luego y cambie todas las variables a nombres rarisimos como dhabwhdbawhd y todo asi, un asco el code xD.
Y bueno, la cosa es q me queda por sacar el Avira y el Nod32, el Avira me da igual ya q es una *****, dificil de sacar pero no me importa ese, si me importa el nod32.. q mas podria hacer para sacarlo de encima ya q ese mas q nada es el q me importa xD jaja, creo q el problema es q la firma es dura.. la firma del nod32 q detecta es la NewHeur_PE virus .. espero q se pueda sacar xD
A ver q me aconsejan, si me dicen q es lo del runpe o algo de eso, si me pueden explicar bien cual es el runpe ya q no se si tiene runpe o no , el stub del downloader q es lo q estoy indetectabilizando es solo un modulo bas y no tiene NADA MAS asique no se q es lo de runpe q me han dicho q esa firma es por eso.. a ver q dicen ustedes.. nos vemos ;)
Tal vez con el codigo podamos ayudarte ;)
Wow, hice bien en venir a este foro, talvez me paso muy seguido, digo por los grandes q hay aca, a vs te conozco de algun tutorial o algo, alguna vez me haz ayudado de seguro ;)
Mira, no quiero pasar el code ya q la cosa es esa xD usarlo para mi nomas,ya lleva mas de 1 mes con el nod32 y avira solamente, si le sacara el nod32 no lo detectarian mas.
Pero conoces la firma esa del nod32? Que se podria hacer?
Pues sin ver el codigo no te puedo decir cual es el problema... pero bueno, te digo que uses uno de mis ultimos Invoke, si es posible hazlo con versiones por Hash, cifra las cadenas, no copies codigo... etc...
Te dejo unos cuantos enlaces:
http://foro.elhacker.net/empty-t301834.0.html
http://foro.elhacker.net/empty-t290072.0.html
http://foro.elhacker.net/empty-t300432.0.html
http://foro.elhacker.net/empty-t256127.0.html
Saludos ;)
El downloader tiene builder o metes los la url del archivo en el source?
Saludos
Cita de: Karcrack en 3 Septiembre 2010, 18:57 PM
Pues sin ver el codigo no te puedo decir cual es el problema... pero bueno, te digo que uses uno de mis ultimos Invoke, si es posible hazlo con versiones por Hash, cifra las cadenas, no copies codigo... etc...
Te dejo unos cuantos enlaces:
http://foro.elhacker.net/empty-t301834.0.html
http://foro.elhacker.net/empty-t290072.0.html
http://foro.elhacker.net/empty-t300432.0.html
http://foro.elhacker.net/empty-t256127.0.html
Saludos ;)
Gracias, los leere ahora a ver q tal..
Cita de: [Zero] en 3 Septiembre 2010, 19:05 PM
El downloader tiene builder o metes los la url del archivo en el source?
Saludos
Es con builder si, de ahi es q me lo detecta avira, pero no me importa avira, pero nod32 me lo detecta por otra cosa
Cita de: XXX-ZERO-XXX en 3 Septiembre 2010, 19:13 PM
Es con builder si, de ahi es q me lo detecta avira, pero no me importa avira, pero nod32 me lo detecta por otra cosa
Lo metes en el EOF? (Al final del archivo?)
Tal vez deberias leer algo sobre RT_STRING o RT_VERSION... Y no olvides cifrar... a los AVs no les gusta el "http://" :laugh: :laugh:
Si tiene builder lo más probable es que esa firma de Nod32 sea debida a los datos que mete el builder o el código que obtiene esos datos. Los datos están cifrados?
Saludos
Advertencia - mientras estabas escribiendo, una nueva respuesta fue publicada. Probablemente desees revisar tu mensaje.
XXX-Zero-XXX trata poniendo un timer que llame el evento para descargar... eso deberia quitar el Nod32.
A ver, me hablan como si fuera un experto, soy novato en esto asique suave porfa xD
Gracias por lo q han dicho, me acordare de esas cosas para luego, porq no es eso y tampoco entiendo q me preguntan xD jaja
Eso del builder eso sera el porq el avira lo detecta, pero nod32 mmmm..
Lord R.N.A , quisiera hacer eso pero el stub es un modulo y demoro mucho en pasar todo a un form y da errores porq tengo q declarar bien las variables y todo.. estas seguro q al hacer eso se solucionaria?
Talvez les mando el code por mp les parece? ya q en ustedes si confio, son unos grandes ;)
Enviame una copia del stub por Privado y en cuanto pueda lo reviso ;)
Bueno, estoy revisando el codigo que me has enviado y te voy a poner aqui un pequeño analisis, para que cualquier persona pueda aprender algo ;)
- Identa los codigos, no solo dejes lineas vacias... (http://www.vbindent.com/)
- No tiene ningun sentido renombrar las APIs, esto NO INTERFIERE en el ejecutable compilado
- Si utilizas Shell() dentro del sub Main() muchos AVs chillaran como nenas...
- Tampoco es buena idea abrirte a ti mismo dentro del Sub Main()
- Cuidadito con los bucles infinitos, si el ordenador no tiene acceso a internet tu aplicacion cae un bucle infinito que se llevará todo el procesador... (DoEvents)
- cifra LAS CADENAS! No puedes dejar por ahi URLs sin mas y mucho menos rutas del registro...
Mañana te envio un STUB Fud, ahora me voy a dormir, chao! ;)
Ma! sos el mejor jajaja, muy buena la clase q me acabas de dar xD eso del bucle lo tendria q saber, lo se a eso de Doevents pero lo q pasa q este downloader lo hice hace un tiempo ya y recien ahora estoy por terminar de leer un tutorial del guille para saber todo lo basico, y ahora se muchas cosas q no sabia cuando hice el downloader.
Pero aprendere cuando me des el stub fud xD porfavor eliminalo luego y no cambies el nombre del registro ni de los archivos q sino desp no se donde se guarda xD
GRACIAS!!!!!
pd: el stub fud por privado claro.. xD
No entiendo que te pasa si el troyano lo as creado tu des de 0 no deberia detectarte nada el antivirus, a mi no me detecta nada y no camuflo mis troyanos ni nada, sino usa mi tecnica, por ejemplo si tienes que poner:
Kill"C:\Archivos de programa\Programa1.exe"
si el AV te detecta esta linea por ejemplo mi idea es hacer lo siguiente:
static x as string
static y as string
static z as string
x="Kill" & " " & chr(34) & "C:\Archivos de programa"
y="\" & "Programa1.exe" & chr(34)
z=x & y
se que es un royo,largo,pesado,dificil de no cometer errores.... ahora bien estoy seguro de que aunque el codigo este tan raro solo signifique Kill"C:\archivos de programa\programa1.exe" el AV no le da importancia a este code, pruevalo veras como te funciona.
ApOkAlizE
Cita de: ApOkAlizE en 13 Septiembre 2010, 00:51 AM
No entiendo que te pasa si el troyano lo as creado tu des de 0 no deberia detectarte nada el antivirus, a mi no me detecta nada y no camuflo mis troyanos ni nada, sino usa mi tecnica, por ejemplo si tienes que poner:
Kill"C:\Archivos de programa\Programa1.exe"
si el AV te detecta esta linea por ejemplo mi idea es hacer lo siguiente:
static x as string
static y as string
static z as string
x="Kill" & " " & chr(34) & "C:\Archivos de programa"
y="\" & "Programa1.exe" & chr(34)
z=x & y
se que es un royo,largo,pesado,dificil de no cometer errores.... ahora bien estoy seguro de que aunque el codigo este tan raro solo signifique Kill"C:\archivos de programa\programa1.exe" el AV no le da importancia a este code, pruevalo veras como te funciona.
ApOkAlizE
Es es justamente lo que nunca nunca se debe hacer al hacer un programa, si haces eso, si dentro de 4 meses quieres reutilizarlo/mejorarlo o lo que quieras, no tendras ni puñetera idea de como funcionava el codigo.
La programación requiere orden y rendimiento entre otras cosas.
Codificar o no codificar... he ahi la cuestion...
Lo mejor seria que lo sacaras una vez que lo tienes ya compilador usando Dsplit, Xor...
Asi lo ago yo y que quedan FUD!
salu2!
Cita de: skapunky en 13 Septiembre 2010, 01:00 AM
Cita de: ApOkAlizE en 13 Septiembre 2010, 00:51 AM
No entiendo que te pasa si el troyano lo as creado tu des de 0 no deberia detectarte nada el antivirus, a mi no me detecta nada y no camuflo mis troyanos ni nada, sino usa mi tecnica, por ejemplo si tienes que poner:
Kill"C:\Archivos de programa\Programa1.exe"
si el AV te detecta esta linea por ejemplo mi idea es hacer lo siguiente:
static x as string
static y as string
static z as string
x="Kill" & " " & chr(34) & "C:\Archivos de programa"
y="\" & "Programa1.exe" & chr(34)
z=x & y
se que es un royo,largo,pesado,dificil de no cometer errores.... ahora bien estoy seguro de que aunque el codigo este tan raro solo signifique Kill"C:\archivos de programa\programa1.exe" el AV no le da importancia a este code, pruevalo veras como te funciona.
ApOkAlizE
Es es justamente lo que nunca nunca se debe hacer al hacer un programa, si haces eso, si dentro de 4 meses quieres reutilizarlo/mejorarlo o lo que quieras, no tendras ni puñetera idea de como funcionava el codigo.
La programación requiere orden y rendimiento entre otras cosas.
Bueno, lo q dice el esta bien, yo hago eso Apokalize, pero cuandos los avs detectan el api q usas haces eso cuando llamas la api? xD
Aunque digas q te va bien, me alegro, yo hago lo q dices y muchas cosas mas y aveces siguen quedando, pero gracias.
Y lo q decis skapunky te lo contesto diciendote q guardo la copia del orginal sin hacerle esas modificaciones para dejarlo fud, entonces es compararlo y listo.
Cita de: Drinky94 en 13 Septiembre 2010, 15:15 PM
Lo mejor seria que lo sacaras una vez que lo tienes ya compilador usando Dsplit, Xor...
Asi lo ago yo y que quedan FUD!
salu2!
Si obvio, podria modear un crypter y no preocuparme mas, pero no es lo q quiero ya q pienso q si lo hago fud desde el source me va a durar mas q hacer una mod en el stub ya compilado