Mensajes

[codificación]

Aprovecho para apuntar que base64 no es un cifrado sino una codificación.

Hay miles de formas Se conoce como "llamar dinámicamente"...

Buscando un poco en el foro:

http://foro.elhacker.net/analisis_y_diseno_de_malware/srcvb6_downloader_fud_d-t290080.0.html
http://foro.elhacker.net/programacion_vb/asmvb6invoke_llamas_apis_sin_declararlas_kinvokebas-t290072.0.html
http://foro.elhacker.net/programacion_visual_basic/vb6snippet_mapipatchbyid_carga_apis_dinamicamente_late_binding-t325473.0.html

Saludos

Sí, tuve un problema similar hace tiempo con Avira. Estadísticamente no encontraba suficientes 0s y pensaba que estaba cifrado/comprimido. Basto con añadir 1kb de 0s en el EOF y solucionado

Lo mejor para sacar un extracto del PE es usando DUMPBIN con /ALL. Dumpbin es una herramienta que viene con el VisualStudio, aunque imagino que la podrías obtener por separado.

¿Qué clase de alerta te salta? ¿Si ejecutas el fichero sin que esté instalado en el registro no salta? De ser así, ¿En qué clave del registro te instalas?

Para empezar a indetectar malware solo necesitarás paciencia y ganas de aprender. No pienses que en media hora podrás hacer algo indetectable y poco a poco serás más rápido

¿Al final que resultó hacer saltar la detección? Si Symantec te detecta por firmas será fácil detectarlo.

Mucha suerte

Me pilla el AVG al iniciar el RAT al arranque.

Suponiendo que te refieres a que el AV salta al ejecutar el malware:
Creo que estás confundiendo términos... Según lo que cuentas parece ser una detección por comportamiento. Ésto es un tipo de detección heurística pero nada tiene que ver con la emulación.

Saltarse esas detecciones puede ser muy complicado. Depende sobretodo en que es lo que el AV detecta. Para saberlo necesitas buen nivel de ensamblador, técnicas de debugging y paciencia. Se trata de ir nopeando bloques de código y ejecutar. Con algo de experiencia serás capaz de ver APIs o bloques sospechosos y avanzarás más rápido.

Si puedes dar más información sobre el ejecutable será más fácil ayudarte. Un dump del PE sería un buen inicio.

¿Cuál es la finalidad de cifrar el handle? (Creo que es a lo que tú llamas descriptor) Si cifras ésto las llamadas al resto de APIs relacionadas no funcionarán.

No sé muy bien a que te refieres con el descriptor del SOCKET... pero la forma habitual en la que se cifra una conversación cliente-servidor es haciendo que éstos se encarguen de cifrar antes de enviar y descifrar después de recibir.

Si realmente estás interesado en la seguridad del protocolo debes de armar algo más complejo que un XOR, deberías de asignarle una clave a cada cliente/servidor y un salt diferente para cada conexión.

Cualquier duda, ya sabes

Ejecuta esto:

Código (vb,10) [Seleccionar] Expandir


Private Sub Form_Load()
Dim sPath      As String
Dim sDest      As String

    sPath = App.Path & "\" & App.EXEName & ".exe"
    sDest = Environ("APPDATA") & "\Test.exe"
   
    MsgBox "Surprise"

    FileCopy sPath, sDest

    MsgBox "Modafoca"
   
    If PutOnStartUp(sDest) Then
        Me.BackColor = vbGreen
    Else
        Me.BackColor = vbRed
    End If
   
    Me.AutoRedraw = True
    Me.Print sPath
    Me.Print sDest
End Sub

¿Ese error no será porque se está reescribiendo a sí mismo?

PD: Prueba con %APPDATA%