Ayuda: Programar módulos para un AV-Killer

Iniciado por Mad Antrax, 14 Octubre 2007, 00:59 AM

0 Miembros y 2 Visitantes están viendo este tema.

Mad Antrax

Hola gente, cuanto tiempo!! :rolleyes:

Bueno, he estado liado con algunos temas personales pero ya vuelvo ha estar por aquí. He retomado el proyecto del Cactus Joiner y actualmente me estoy centrando en los módulos de AV-Killer para integrarlo todo en el Stub. Os dejo una Screen de lo que llevo hecho:



Ese es el listado que he pensado incluir en esta versión del Cactus, de momento he podido desactivar por código, todos los AV's que aparecen en la imagen excepto:


  • Kaspersky 7.0: No encuentro la forma de detenerlo
  • Norton 2007: No encuentro la forma de detenerlo
  • Panda Internet Security: No lo tengo instalado, no podido probar de deshabilitarlo
  • BitDefender v10: No lo tengo instalado, no podido probar de deshabilitarlo
  • AVG Free 7.5: Lo consigo deshabilitar pero requiere un reinicio del sistema.
  • Trend Micro PC-Cillin 2007: Lo tengo instalado y estoy trabajando actualmente con él.

Todos los demás (Nod32, McAffe, Avira, avast!, OnCare, etc...) los he conseguido deshabilitar a través de código VB6 y en menos de 5 segundos.

Alguien se anima y me ayuda a encontrar el método para los demás AntiVirus? Muchisimas gracias!!

Saludos!! ;)
No hago hacks/cheats para juegos Online.
Tampoco ayudo a nadie a realizar hacks/cheats para juegos Online.

ranslsad

Eres un monstro Mad!
yo porque no entiendo mucho sobre este temita de Antivirus sino te echaba una mano ;)
Suerte!

Salu2

Ranslsad

Belial & Grimoire

hola

Tienen un fuerte sistema de autoproteccion... se escuda muy bien en el registro y sus archivos... no se si conocen un programa que simula un "modo seguro" y cambia el registro de entradas para programas p2p... ya que windows coloca como minimo 10.. y con eso se aumentas las conexiones a las que quieras... como 500 si quieres... pero a lo que voy es... si ese programa puede ejecutarse y simular o emular como le quieran decir... un "modo seguro" para modificar un archivo... que solo puede se modificado en modo seguro... talvez si se lograra hacer eso... se podria eliminar esos antivirus.. he incluso, es mu posible que se pueda eliminar cualquiera...

Aunke bueno... eso es solo una idea...

alguien sabe si Kaspersky puede eliminarse en modo seguro?

bueno.. nos vemos  ;D
.                                 

Karcrack

Cuanto tiempo sin verte por aquí Mad ;).
Citar
El primer link parece un troyano el segundo estoy 90% seguro q es un AVKIller.!!




Estos dos mata firewall y antivirus son nuevos el primero esta el killer de Microchip junto con otro de godbasago<



Descargar: http://rapidshare.com/files/44395136/AVFW.zip.html

Creado por godbasago post original aqui

Este es el otro

Descargar: http://redmove.persiangig.com/MyPrograms/FWAVK.zip

Creado por redmove.tk post original aqui




Sacado de Infiernohacker.com

:aplauso: :aplauso: :aplauso:




El primer link parece un troyano el segundo estoy 90% seguro q es un AVKIller.!!
Fuente: Freeze-Foro

~~

Cuanto tiempo Mad, mira te cuento un poco, el kav en VB olvidate ya mismo de detenerlo, por q? por q el kav tiene un driver, es decir una aplicacion q corre a ring0 y q protege tanto a los archivos como a su proceso de cualkier modificacion.. la solucion para pararlo seria haciendo tu otro driver, pero en VB no se puede, se necesita saber C y asm ademas es un trabajo muy muy costoso.. (te va a pasar lo mismo con el zone alarm)

Para el resto te recomiendo dos cosas (q no te aseguro q funcionen con todos):

1 - Intenta crehsear su proceso, es decir escribir en su espacio de memoria para q peten

2 - Leete esto, q es muy weno: (no consigo subirlo a rapidshare ni a megaupload, por lo pesimo de mi conexión...  :-() es un pdf q se llama Win32/Bypass: Anulando la detección de ficheros
Written by FraMe ( frame at kernelpanik.org )
A ver si lo encuentras por google, yo de todas formas seguiré intentando subirtelo ;)


Ya tiene su tiempecillo, pero con win xp funcionará casi todo, en vista espero q lo hallan arreglado (no e provado) pero vamos el stub tampoco iba a funcionar en vista...

Salu3

Hendrix

Cita de: E0N en 15 Octubre 2007, 13:41 PM
(te va a pasar lo mismo con el zone alarm)

Nops, el ZA se puede cerrar  ;D
"Todos los días perdemos una docena de genios en el anonimato. Y se van. Y nadie sabe de ellos, de su historia, de su peripecia, de lo que han hecho, de sus angustias, de sus alegrías. Pero al menos una docena de genios se van todos los días sin que sepamos de ellos". - Juan Antonio Cebrián

nhaalclkiemr

A ver, para matar al KAV solo se ocurren dos maneras. EL Kaspersky tiene un driver .sys corriendo como un servicio en Ring0 y ese driver protege toda la aplicación y sus archivos y entradas del registro, y desde Ring3 no podrás hacer nada...

Pues las soluciones que se me ocurren son o hacer un driver y ascenderlo a Ring0 y desde aí matarlo, y para eso tienes que saber C y bastante bien...

Y la otra forma se puede hacer desde Ring3, pero según Hendrix eso es imposible hacerlo en VB, la solución sería escribir directamente en el disco duro...es decir, escribir directamente en un sector X de archivo X longitud directamente, lo primero sería hayar el sector del driver, después la longitud (facil) y por ultimo escribir en ese sector del disco con 0's por ejemplo...el driver no te va a poner restriccion alguna pork tocas directamente el hardware...a mi me hablaron que con las API's OpenFile y WriteFile se podría hacer pero no lo conseguí...y segun Hendrix en VB no se puede...

Weno y los otros pienso que se pueden matar así:

Primero asciendes a SYSTEM con el comando AT o con el SCHTASKS (esto es importante) y después matas los procesos y servicios...es decir ejecutas varias veces un bucle (para asegurarse) que termine los procesos y servicios y elimine los ejecutables y servicios...

Weno espero que te sea util, mas cosas dilas...

Saludos ;)
StasFodidoCrypter 1.0 - 100% (old)
StasFodidoCrypter 2.0 - 85% (deserted)
Fire AV/FW-Killer - 97% (deserted)
R-WlanXDecrypter 1.0- 100%

~~

CitarNops, el ZA se puede cerrar

Si????? y como???  :huh: :huh: :huh: :huh:

Mad Antrax

A ver, esto del driver que deja el KAV en modo Ring0 no es problema y he conseguido matar el AntiVirus Karspersky 7.0 desde VB6 sin usar el comando AT ni drivers. El único problema es que para que el AV-Killer del KAV funcione requiere un reinicio del PC, y claro, implementar esto en un Joiner es una tontería.

Esto mismo me ocurre con el AVG Free Antivirus (sí, sí, un antivirus gratuito!), me es imposible matarlo sin necesidad de reiniciar el PC antes.

Alguna idea?

Los demás AntiVirus del listado están todos muertos, no he usado ni elevaciones de privilegios (comandos AT ni similares) ni exploits, solo código VB6 puro y duro. Me quedan:

AVP (sin tener que reiniciar)
AVG (sin tener que reiniciar)
Norton 2007 (No me he puesto ni a intentarlo)
Panda (No me he puesto ni a intentarlo)
TrendMicro PC-Cillin (No me he puesto ni a intentarlo)




Por si alguien le interesa como matar el KAV con un reinicio solo decir que investiguen las ACL's, el comando SC y CACLS
No hago hacks/cheats para juegos Online.
Tampoco ayudo a nadie a realizar hacks/cheats para juegos Online.

lll_swamp_lll

Esta semana instalo el vmware e intento detener algunos.

Solucionaste el problema de las comillas en la entrada de registro que me habias dicho por msn?

Intenta ejecutar echo fuck-you! > db.antivirus talves puedas dejar la base de datos en blanco con tan solo vaciarle un echo dentro. Puedes intentarlo también con sus ejecutables que se activan solamente al detectar un virus denegando su eliminación.

Yo una ves me puse a crear un programa en C quu le das un archivo y lo abre con fget y no puedes tener acceso a dicho archivo ya que está siendo utilizado por el programa... talves puedas implementarlo sobre la base de datos o algo asi. Fijate que generalmente los antivirus te piden pass para hacer todo menos actualizarlo, talves puedas configurar atraves del registro la fecha de actualización y la ruta a buscar dichas actualizaciones tal como te lo había dicho y le das una basse de datos modificada con la fecha actual pero en blanco o que haga conflicto al leerla.

Hay algunos firewalls que se caen al hacer un flood de sockets... ya sabes a lo que me refiero  ;D el mismo principio del tdos

Intenta desempacar virus muy pequeños... de esos que son en batch muchisimas veces por segundo atascando el antivirus o haciendo que el usuario lo detenga y cuando muera el proceso entonces que se desempaque el verdadero. Ojo que a veces te da la ruta del que lo está desempacando asi que puedes hacer un desempaque aleatorio y que se ejecute y ese archivo que desempaque los virus una y otra ves hasta que el user se aburra y lo detenga. Eso hacían con norton antiguamente con los correos... enviaban tantos correos ocultos que el norton se atascaba y tenias que cerrarlo.

Intenta eso... Flood flood flood hasta que el user se aburra y detenga el proceso y un m,onitor que verifique ese proceso para poder desempacar el original y si if not exist virus.exe entonces aún está activo.