Mejor forma de indetectar xtreme

flyingwifi · 24 Marzo 2012, 20:33 PM

Hola:
Ya he resuelto el problema de mi conexcion que tenia. Ahora tengo una pregunta, cual es el mejor metodo de indetectar el xtreme rat 2.6 (de conexion inversa) al kaspersky???
Y si pueden, dejenme un manual porque hace mucho que no me dedico a esto.

PD: porque todos los iconos son calabazas?

Elemental Code · 24 Marzo 2012, 22:59 PM

mmm algo como rit no funciono?

Karcrack · 25 Marzo 2012, 01:01 AM

¿Qué detección te salta? ¿Te salta por heurística, proactiva o firma? Si fuese firma: ¿Has intentado ya buscar la posición de la firma?

Hasta que no tengas la respuesta a esas preguntas no te podremos ayudar.

saludos

flyingwifi · 25 Marzo 2012, 11:58 AM

He intentado modificar los offsets. Pero no me funciona, el norton y kaspersky me lo detectan. Perdonenme, pero ya estoy muy antiguo. Hace mas de un año que no me dedico a esto del malware. Se que habia este metodo, el metodo RIT y el metodo XOR si creo recordar bien. Me gustaria que me pasasen buenos manuales sobre estos metodos, y que sean facilitos. Una vez, en otro foro creo, me pasaron un link donde ponia como los antivirus detectan a los archivos dañinos. Me serviria para repasar.
Saludos y recordad que es ya 1 año desde que no toco nada

flyingwifi · 25 Marzo 2012, 19:07 PM

Os cuento mas cosas. En un manual de ANTRAX, dice que usemos el AV fucker y creemos una carpeta donde se guarden todos los offsets despues de haber pasado por el AV fucker. He leido y me acuerdo de que el AV fucker lo que hace es copias del mismo server sobrescribiendo un byte con 0 y dejando constancia del offset modificado en el nombre de archivo . Es decir, que crea servers parecidos. Mi pregunta es:
- Tengo que pasar mi AV por la carpeta y que borre los servers que detecta y los que sobran seran los que posiblemente funcionen?
Esque en el manual pone que los offsets que nos detecte el AV, habra que cambiarlos. Pero en la carpeta que hemos creado, se supone que el AV fucker ha modificado el server varias veces, no lo ha partido en offsets.
Saludos y perdonen mis tontas preguntas.

PD: el manual se llama ``Indetectabilizacion de Troyanos (todos los metodos) by ANTRAX

Karcrack · 25 Marzo 2012, 19:25 PM

No has respondido ninguna de mis preguntas.

flyingwifi · 25 Marzo 2012, 20:13 PM

Lo siento Karcrack, pero he puesto el nombre de ``mejor forma de indetectar xtreme´´ al post, para que me dijeseis vosotros si alguien lo ha hecho, la forma en la que te saltan los menores AV posibles, a eso me referia. No me salta nada todavia porque no lo he hecho. No me acuerdo como se hacia. Podrias tu o alguien ayudarme???
Muchas gracias

Karcrack · 25 Marzo 2012, 21:32 PM

Sin saber que detección salta es difícil saber cual es la razón y cual es la mejor forma de abordar el asunto.

Si puedes poner un escaneo del fichero para saber que detecciones salen...

flyingwifi · 26 Marzo 2012, 16:54 PM

Hola de nuevo:
He pasado el server del troyano (nada mas crearlo desde el cliente) al AV fucker desde el offset 10000 hasta el ultimo offste (60000 mas o menos no me acuerdo ahora exactamente) y se me han guardado en una carpeta. Bien pues he pasado el AV a esa carpeta y se me han quedado los offsets que el AV no ha detectado. Que se hace luego, esque no me aclaro muy bien con el manual. Los offsets que no me ha detectado, eso son los buenos no??? Es decir, que tengo que modificar los otros no???
Saludos y me viene bn una ayudita

flyingwifi · 27 Marzo 2012, 20:47 PM

Creo que voy a intentar utilizar el metodo RIT. En el manual dice que necesito el LordPE, el Themida, el IExpress y el ResHack. Ahora mi pregunta es:
Donde consigo el LordPE???? Lo he buscado en todas partes. Se agradece un link

SL2