Mensajes

[DickGumshoe]

@DickGumshoe: Eso es como matar moscas a cañonazos. Es todo mucho más sencillo.

Código (vb) [Seleccionar] Expandir

Public Function Max_2(ByVal a As Long, ByVal b As Long) As Long
   If (a > b) Then
       Max_2 = a
   Else
       Max_2 = b
   End If
End Function

Public Function Max_3(ByVal a As Long, ByVal b As Long, ByVal c As Long) As Long
   Max_3 = Max_2(Max_2(a, b), c)
End Function

Public Function Max_4(ByVal a As Long, ByVal b As Long, ByVal c As Long, ByVal d As Long) As Long
   Max_4 = Max_2(Max_3(a, b, c), d)
End Function
Lo dejo así para que veas clara la lógica del algoritmo.


Añado una función que devuelve el máximo sea cual sea la cantidad de números que recibe:

Código (vb) [Seleccionar] Expandir

Public Function Max_n(ParamArray n() As Variant) As Long
    Dim i   As Long
    Dim r   As Long
    Dim m   As Long
   
    r = (UBound(n) + 1) Mod 3
   
    For i = 0 To (UBound(n) - r) Step 3
        m = Max_4(m, n(i), n(i + 1), n(i + 2))
    Next i
   
    Select Case r
        Case 1
            m = Max_2(m, n(i))
        Case 2
            m = Max_3(m, n(i), n(i + 1))
    End Select
   
    Max_n = m
End Function

Código (vb) [Seleccionar] Expandir

MsgBox Max_n(0, 1, 2, 3, 12, 15, 69, 0, 966)

Saludos

Te ahorro el análisis: Lo hacen con WMI.

Si eliminas la entrada en la WMI de los AVs verás como el RAT no es capaz de identificar nada. A no ser que el RAT revise uno por uno los procesos de todos los posibles AV

Sin echarle un vistazo profundo ahí si que se puede ver como ejecuta el código... en la última linea: "eval(...)"
Aún así debe faltar algo de código... ya que se llaman ciertas funciones no declaradas en el resto de basura como es : ty5SJpAK8GC.. tal vez este ofuscado el nombre dentro de la maraña de javascript

Tenía un rato libre, así que he reformulado el algoritmo usando la información que hay en Wikipedia. Espero no te moleste

Código (python) [Seleccionar] Expandir

rut = reversed(map(int,raw_input('RUT ::>')))
m = [2,3,4,5,6,7]

d = sum([n*m[i%6] for i,n in enumerate(rut)])
d %= 11

if (d==1):
   d = 'K'
else:
   d = 11-d
   
print d

Y la versión reducida: (Me encanta reducir código Python )

Código (python) [Seleccionar] Expandir

d=sum([int(n)*(i%6+2)for i,n in enumerate(raw_input()[::-1])])%11
print'K'if(d==1)else 11-d

He modificado tu mensaje. Debes advertir que el enlace contiene malware

Respecto al script... Debe faltar parte del código... ya que hay no hay nada que descifre...

VB6 ha sido tristemente condenado por algunas compañías de AVs...

Respecto a lo que preguntas sobre esos viejos RATs... algunas funciones no funcionan correctamente, pero en esencia (ejecutado con privilegios de Admin) deben funcionar. Tal vez no el PoisonIvy ya que su sistema para sacar el puntero de KERNEL32 es obsoleto, pero parcheando debería ir bien.

Hacer FUD un crypter de VB6 es difícil. Pero no imposible. Los pasos a seguir son:

• No utilizar código quemado (como los RunPEs que circulan por ahí ...)
• No tener muchos módulos (recomiendo unir todo el código en uno solo)
• Añadir un formulario dummy con algunos controles y código inútil
• Rezar para que Antivir no toque las narices con sus detecciones paranoicas

Ya está. Básicamente con que el código sea tuyo la cosa se facilita mucho.

Tal vez no se pueda parchear el EXE pero si puedes hacerlo en memoria... solo tengo que cambiar ese JE por un JNE (o viceversa) justo despues de que se haya calculado el checksum

Hace tiempo programé una versión offline del KPS... no encuentro el código pero aquí está en binario:

Código [Seleccionar] Expandir

http://www.box.com/shared/iqot28fypf
Te envio el pass por privado

NO ABRAS EL FICHERO STUB.EXE!
Este fichero es el ladron...

Has de abrir el Editor.exe, poner la configuracion que desees, y darle a generar...

El fichero que se generara (config.dat) ha de estar junto el Stub.exe para que pueda funcionar...

Saludos

PD:Puedes cambiar el nombre del fichero Stub.exe, pero nunca el de config.dat, sino nuestro Stub no podra leer la configuracion...