Mensajes

Pero Kaxperday... ten en cuenta que los otros procesos son NECESARIOS para que funcione el SO y el lo sabe. 

Ese tipo de virus se suelen eliminar muy bien con el disco de KAV Rescue, descargalo de aquí.

Por si no sabes como funciona te diré que, es una ISO, y lo tienes que arrancar desde la BIOS, una vez arrancado escaneas el disco duro con el y ya te digo que este tipo de programas los suele eliminar.

PD: si por casualidad consiges el ejecutable no estaría de más que dejaras una muestra por aquí.

saludos y ya nos contarás como fue la operación  .

[@Zerointhewill]

@Zerointhewill

la parte del runpe quiero aprender hacer uno propio . por mi misma cuenta por donde debo empezar   , veo que utilizan varias api

Se ha explicado en varias ocasiones en el foro, aquí puedes ver una de las descripciones:

https://foro.elhacker.net/analisis_y_diseno_de_malware/funcionamiento_de_un_runpe-t362805.0.html

Y Aquí te cito una explicación mas técnica por The Swash.

Buena tarde,
Con respecto a las respuestas, todas están erradas, pero vamos no del todo y no es por desmeritarles. En realidad el RunPE obviamente tiene estrecha relación con el Formato PE, pero no es exactamente eso.
El famoso RunPE es una técnica la cual permite ejecutar archivos ("on the fly" - Karcrack), es decir sin necesidad de que el archivo ocupe tamaño físico, esto se hace porque el archivo está plasmado en un buffer en memoria. Esta técnica es usada en malware generalmente en Cifradores, los cuales tienen en su cuerpo el archivo cifrado, luego en memoria lo descifran y lo ejecutan, y esto no llamará mucho la atención.

Como funciona un RunPE:

• Comprobar que es un ejecutable válido (MZ & PE/x0/x0 Signature).
• Crear un nuevo proceso suspendido (Generalmente con el mismo ejecutable).
• Desasignar la proyección del archivo en ese proceso, ImageBase. (Limpiar el ejecutable del proceso).
• Obtener contextos (Registros).
• Reservar en memoria la dirección del ImageBase del ejecutable con un tamaño del campo SizeOfImage. (ImageBase y SizeOfImage del archivo a ejecutar).
• Escribir la cabecera y las secciones alineadas por el campo SectionAlignment.
• Editar EAX en los registros leídos por la dirección del punto de entrada del archivo a ejecutar.
• Editar EBX + 8 por el ImageBase del ejecutable a cargar (Cambiar base de la imagen del nuevo proceso).
• Editar con el nuevo contexto (Escribir registros).
• Iniciar el proceso suspendido.

Un saludo.

@Inflamable!!!

ya claro lo dejas indetectado a la hora de analizar y cuando lo ejecutas lo elimina,pero yo la verdad no se por donde empezar,ya anduve echando un ojo,porque la verdad esta bien saber hacerlos tu mismo para no tener que andar pagando y ademas que si te lo dan echo ya no tiene gracia a mi lo que me gustaria seria tener mi codigo para luego modearlo y cada vez que se queme,pero si no pasa ni una proactiva es tonteria.
saludos.

En realidad esta técnica es ya bastante detectada por los antivirus. La técnica que aquí te voy a dejar debajo, también te sirve como RunPE y es muchísimo mejor ya que no tienes que crear ni desmapear un proceso externo, en desventaja te diré que es un poco más complicada de entender.

http://foro.elhacker.net/analisis_y_diseno_de_malware/ejecucion_de_archivos_desde_memoria_base_relocation-t264564.20.html

saludos.

Sí.

Hay una API para establecer un proceso como crítico.

Mirate esto, a ver si te sirve.

saludos.

Son chorradas. Sin ';'.

Código (java) [Seleccionar] Expandir

package main;

public class main
{
public static void main(String [] Args)
{
if (System.out.printf("Hola Adrian\n") != null){}
if (System.out.printf("Que tal?") != null){}

}
}


"Cuando las mentiras dejan de funcionar llaman a inda que es el de mantenimiento"

No puedo parar de reir desde que lo he leido  :

fary veo que eres uno de los pocos que le interesa este tema,tu te manejas con el tema de los crypters,yo tengo uno privado,lo tengo por ay tirado pero aun tiene unas cuantas actualizaciones mas,pero los que hago yo no pasan las proactivas,los modeo con avfucker dsplit,reshacker y demas pero lo de las proactivas no se como empezar,tu sabes algo del tema,y la verdad es lo entretenido el modear tu crypter etc,podemos echar un ojo si eso.
saludos.

Para quitar la proactiva tienes que modificar el código fuente, con avfucker y etc. Quitas las firmas pero a la hora del scan.

Saludos.

Si que se puede si...  un conocido mio se lo saco en una ciudad de Andalucía en 15 días y no sabía ni meterle la marcha al coche cuando se fue.

Saludos.