Cómo hacer indetectable un .exe

Iniciado por gulabyte, 22 Enero 2010, 16:03 PM

0 Miembros y 1 Visitante están viendo este tema.

gulabyte

Wenas a todos!

Viendo los reportes de virusnothanks que andan apareciendo ahora me ha dado por scanear mi server con el Multi-Engine Scanner y resulta que me lo detectan nada más que CUATRO antivirus!

File Info

Report generated: 22.1.2010 at 15.40.36 (GMT 1)
Filename: svchost.exe
File size: 266424 bytes
MD5 hash: 28dadc95537f1ec96688afaf463afcaf
SHA1 hash: D195C7649C892EE586713338A91DB5E84AA2C578
Detection rate: 4 on 24
Status: INFECTED

Detections

a-squared - -
Avira AntiVir - TR/Crypt.FKM.Gen
Avast - -
AVG - -
BitDefender - Gen:Trojan.Heur.qm1@Xqk1Qthi
ClamAV - -
Comodo - -
Dr.Web - -
Ewido - -
F-PROT6 - W32/VB-Backdoor-PSVR-based!Maximus
G-Data - -
Ikarus T3 - -
Kaspersky - -
McAfee - -
NOD32 v3 - -
Norman - -
Panda - -
QuickHeal - -
Solo Antivirus - -
Sophos - Mal/Behav-035
TrendMicro - -
VBA32 - -
VirusBuster - -
ZonerAntivirus - -

Scan report generated by
NoVirusThanks.org




¿Cómo hacer para saltarse la heurística?

PD: Los strings ASCII del ejecutable son lo más cantoso, tienen en cuenta estos strings los antivirus?
Si hay un par de strings concretos en un ejecutable lo declara como troyano¿ (por ejemplo si existe "Server" "Remote" y "KeyLogger" meterlo en alerta roja y asi??)
y Se conservan los nombres de las variables?
No tendría que codificarlos el compilador?? Por ejemplo con números?

Puedo admitir que es el server más DETECTABLE de todos los que habéis visto, tampoco me he dedicado a ello en esencia.. (eso me digna  ;D) pero no puedo negar que me ha bajado la moral bastante.. mucho

Hacer este scan ha sido mi perdición, agradecería que aclarárais las dudas genios!! ;D

The Swash

Bien primero parece ser un BackDoor(server de troyano), no lo has especificado.
Los antivirus trabajan deteccion por Heuristica(Generalmente APIs) & por deteccion de Strings.

Apis generalmente detectadas

URLDownloadToFile
WriteProcessMemory
ReadprocessMemory
ShellExecute
WinExec
GetProcAddress
CreateProcessA

Strings
Stub

Deberias provar un Crypter Run-Time, no puedo certificarte que funcione por que no se que servidor es ni la forma que ingresa los datos con o sin EOF.

Busca informacion sobre undeteccion mediante firmas, te ayudara ^^
Salu2!

gulabyte


Gracias The Swash por responder,

El server lo he creado yo y sí es un servidor de troyano (lo que no sé es cómo ingresa los datos..ahí me he perdido)

Si se detectan API's como ShellExecute (este lo tengo ;D) como lo hacen otros programas para ejecutar aplicaciones?

Bueno está claro que el tema de encryptar no es cosa de un par de posts... mejor si lo miro por mi cuenta, además en el foro sé que se ha escrito mucho sobre esto.

agradecería un par de links.. ;D

The Swash

En cuanto al ShellExecute creo que te servira esto  :P
http://foro.elhacker.net/programacion_vb/source_shellexecute_sin_declaracion_api-t281057.0.html

En cuanto al ingreso de datos me refiero a que si tiene informacion en la parte final del archivo o no, de acuerdo a eso puedes usar Crypter con EOF o sin EOF"
Salu2  ;D

BlackZeroX

.
Esto deberias preguntarlo en Analisis y Diseo de Malware este foro dejalo a dudas explicitas sobre de vb6

Temibles Lunas!¡.
.
The Dark Shadow is my passion.

ssccaann43 ©

Si posteo acá supongo que esta buscando la manera de hacerlo en VB BlackZeroX...!
- Miguel Núñez
Todos tenemos derechos a ser estupidos, pero algunos abusan de ese privilegio...
"I like ^TiFa^"

gulabyte


Si bueno yo quería hacer lo posible en visual basic para que el código no fuera detectado... de todas formas tienes razón BlackZero la próxima vez me dirigire a este tipo de cosas en Analisis y Diseño de Malware..  ;D

Gracias the Swash de nuevo por el link,

salu10!