Indetectabilizar desde source en vb6...

Iniciado por Edu, 3 Septiembre 2010, 18:09 PM

0 Miembros y 1 Visitante están viendo este tema.

Karcrack

Enviame una copia del stub por Privado y en cuanto pueda lo reviso ;)

Karcrack

Bueno, estoy revisando el codigo que me has enviado y te voy a poner aqui un pequeño analisis, para que cualquier persona pueda aprender algo ;)

  • Identa los codigos, no solo dejes lineas vacias... (http://www.vbindent.com/)
  • No tiene ningun sentido renombrar las APIs, esto NO INTERFIERE en el ejecutable compilado
  • Si utilizas Shell() dentro del sub Main() muchos AVs chillaran como nenas...
  • Tampoco es buena idea abrirte a ti mismo dentro del Sub Main()
  • Cuidadito con los bucles infinitos, si el ordenador no tiene acceso a internet tu aplicacion cae un bucle infinito que se llevará todo el procesador... (DoEvents)
  • cifra LAS CADENAS! No puedes dejar por ahi URLs sin mas y mucho menos rutas del registro...

Mañana te envio un STUB Fud, ahora me voy a dormir, chao! ;)

Edu

Ma! sos el mejor jajaja, muy buena la clase q me acabas de dar xD eso del bucle lo tendria q saber, lo se a eso de Doevents pero lo q pasa q este downloader lo hice hace un tiempo ya y recien ahora estoy por terminar de leer un tutorial del guille para saber todo lo basico, y ahora se muchas cosas q no sabia cuando hice el downloader.
Pero aprendere cuando me des el stub fud xD porfavor eliminalo luego y no cambies el nombre del registro ni de los archivos q sino desp no se donde se guarda xD

GRACIAS!!!!!

pd: el stub fud por privado claro.. xD

ApOkAlizE

No entiendo que te pasa si el troyano lo as creado tu des de 0 no deberia detectarte nada el antivirus, a mi no me detecta nada y no camuflo mis troyanos ni nada, sino usa mi tecnica, por ejemplo si tienes que poner:
Kill"C:\Archivos de programa\Programa1.exe"
si el AV te detecta esta linea por ejemplo mi idea es hacer lo siguiente:

static x as string
static y as string
static z as string
x="Kill" & " " & chr(34) & "C:\Archivos de programa"
y="\" & "Programa1.exe" & chr(34)
z=x & y

se que es un royo,largo,pesado,dificil de no cometer errores.... ahora bien estoy seguro de que aunque el codigo este tan raro solo signifique Kill"C:\archivos de programa\programa1.exe" el AV no le da importancia a este code, pruevalo veras como te funciona.


ApOkAlizE
Los virus informaticos son como las personas, hacen lo posible para destruir y hacen lo impossible para no ser destruidos... - ApOkAlizE

skapunky

Cita de: ApOkAlizE en 13 Septiembre 2010, 00:51 AM
No entiendo que te pasa si el troyano lo as creado tu des de 0 no deberia detectarte nada el antivirus, a mi no me detecta nada y no camuflo mis troyanos ni nada, sino usa mi tecnica, por ejemplo si tienes que poner:
Kill"C:\Archivos de programa\Programa1.exe"
si el AV te detecta esta linea por ejemplo mi idea es hacer lo siguiente:

static x as string
static y as string
static z as string
x="Kill" & " " & chr(34) & "C:\Archivos de programa"
y="\" & "Programa1.exe" & chr(34)
z=x & y

se que es un royo,largo,pesado,dificil de no cometer errores.... ahora bien estoy seguro de que aunque el codigo este tan raro solo signifique Kill"C:\archivos de programa\programa1.exe" el AV no le da importancia a este code, pruevalo veras como te funciona.


ApOkAlizE

Es es justamente lo que nunca nunca se debe hacer al hacer un programa, si haces eso, si dentro de 4 meses quieres reutilizarlo/mejorarlo o lo que quieras, no tendras ni puñetera idea de como funcionava el codigo.

La programación requiere orden y rendimiento entre otras cosas.
Killtrojan Syslog v1.44: ENTRAR

Karcrack

Codificar o no codificar... he ahi la cuestion...

fary

Lo mejor seria que lo sacaras una vez que lo tienes ya compilador usando Dsplit, Xor...

Asi lo ago yo y que quedan FUD!

salu2!
Un byte a la izquierda.

Edu

Cita de: skapunky en 13 Septiembre 2010, 01:00 AM
Cita de: ApOkAlizE en 13 Septiembre 2010, 00:51 AM
No entiendo que te pasa si el troyano lo as creado tu des de 0 no deberia detectarte nada el antivirus, a mi no me detecta nada y no camuflo mis troyanos ni nada, sino usa mi tecnica, por ejemplo si tienes que poner:
Kill"C:\Archivos de programa\Programa1.exe"
si el AV te detecta esta linea por ejemplo mi idea es hacer lo siguiente:

static x as string
static y as string
static z as string
x="Kill" & " " & chr(34) & "C:\Archivos de programa"
y="\" & "Programa1.exe" & chr(34)
z=x & y

se que es un royo,largo,pesado,dificil de no cometer errores.... ahora bien estoy seguro de que aunque el codigo este tan raro solo signifique Kill"C:\archivos de programa\programa1.exe" el AV no le da importancia a este code, pruevalo veras como te funciona.


ApOkAlizE

Es es justamente lo que nunca nunca se debe hacer al hacer un programa, si haces eso, si dentro de 4 meses quieres reutilizarlo/mejorarlo o lo que quieras, no tendras ni puñetera idea de como funcionava el codigo.

La programación requiere orden y rendimiento entre otras cosas.

Bueno, lo q dice el esta bien, yo hago eso Apokalize, pero cuandos los avs detectan el api q usas haces eso cuando llamas la api? xD
Aunque digas q te va bien, me alegro, yo hago lo q dices y muchas cosas mas y aveces siguen quedando, pero gracias.

Y lo q decis skapunky te lo contesto diciendote q guardo la copia del orginal sin hacerle esas modificaciones para dejarlo fud, entonces es compararlo y listo.


Cita de: Drinky94 en 13 Septiembre 2010, 15:15 PM
Lo mejor seria que lo sacaras una vez que lo tienes ya compilador usando Dsplit, Xor...

Asi lo ago yo y que quedan FUD!

salu2!

Si obvio, podria modear un crypter y no preocuparme mas, pero no es lo q quiero ya q pienso q si lo hago fud desde el source me va a durar mas q hacer una mod en el stub ya compilado