crypter, 50% deteccion

Iniciado por Daklon, 28 Octubre 2010, 23:27 PM

0 Miembros y 1 Visitante están viendo este tema.

Daklon

buenas, viendo varios tutos y mezclando un poco de mi cosecha he conseguido crearme un cripter con 10 metodos de encriptacion distintos y contra aleatoria(es el primero que hago xD) y EOF

pero tengo un problema y es que todos los rumpe que consigo estan muy quemados y tienen firmas,y incluso quitandole el modulo del rumpe al stub, me lo sigue detectando el avira el ikarus y el a-squared

el avira creo que es por lod e sub main que por lo visto siempre que hay sub main lo detecta como dropper

aqui les pongo los analisis:

solo el stub(sin RunPe):
CitarFile Info

Report date: 2010-10-28 20:58:12 (GMT 1)
File name: staf-dll
File size: 212992 bytes
MD5 Hash: 149ddf3b235529babab23d29e490778f
SHA1 Hash: 6edecec8589ac72ea43ac0c831cb16f15a63f8d3
Detection rate: 3 on 16 (19%)
Status: INFECTED

Detections

a-squared - Virus.Win32.VBInject!IK
Avast -
AVG -
Avira AntiVir - TR/Dropper.Gen
BitDefender -
ClamAV -
Comodo -
Dr.Web -
F-PROT6 -
Ikarus T3 - Virus.Win32.VBInject
Kaspersky -
NOD32 -
Panda -
TrendMicro -
VBA32 -
VirusBuster -

Scan report generated by
NoVirusThanks.org
el sutb(con el RunPe):
CitarFile Info

Report date: 2010-10-28 20:47:16 (GMT 1)
File name: staf-dll
File size: 221184 bytes
MD5 Hash: 70ad185799219edf35c317d09c53028e
SHA1 Hash: 61cd435d8b00a3e3a41105f41da14461c0743e6c
Detection rate: 6 on 16 (38%)
Status: INFECTED

Detections

a-squared - Virus.Win32.VBInject!IK
Avast -
AVG -
Avira AntiVir - TR/Dropper.Gen
BitDefender -
ClamAV -
Comodo -
Dr.Web -
F-PROT6 -
Ikarus T3 - Virus.Win32.VBInject
Kaspersky -
NOD32 - Win32/Injector.AFL
Panda - Suspicious file
TrendMicro -
VBA32 - Trojan.VB.Levelup
VirusBuster -

Scan report generated by
NoVirusThanks.org
el stub(con RunPe y el server de un troyano cifrado):
CitarFile Info

Report date: 2010-10-28 20:05:25 (GMT 1)
File name: foto1-exe
File size: 1219130 bytes
MD5 Hash: d0945ab36f69b8ccedb0ad8c3e0a507b
SHA1 Hash: d4d7649f0bc6df65b1bd8d40454e2634ca9c3e9a
Detection rate: 8 on 16 (50%)
Status: INFECTED

Detections

a-squared - Riskware.Win32.VBInject!IK
Avast -
AVG -
Avira AntiVir - TR/Dropper.Gen
BitDefender - Gen:Trojan.Heur.ZGY.5
ClamAV -
Comodo -
Dr.Web -
F-PROT6 - W32/VBTrojan.7!Maximus
Ikarus T3 - VirTool.Win32.VBInject
Kaspersky -
NOD32 - Win32/Injector.AFL
Panda - Suspicious file
TrendMicro -
VBA32 - Trojan.VB.Levelup
VirusBuster -

Scan report generated by
NoVirusThanks.org
el codigo prefiero no postearlo,porque tengo pensado usarlo para un par de cosas y no quiero que venga el tipico lammer que lo sube a virustotal xD

ya lo liberare cuando lo haya usado para lo que tengo pensado xD

si necesitan el codigo puedo enviarselos por mp

gracias por adelantado xD


Shell Root

xD, y no entendí, y gracias de que? XD
Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.

[L]ord [R]NA

Una pequeña  cosa, si no quitas Avira, KAV, BitDefender, Nod32 y Avast no tendras exito... otra cosa, existen crypters F.U.D. y crypters, no crypters medio F.U.D... una ultima cosa, NoVirusThanks.org tambien pasa las muestras a los antivirus, asi que en 1 semana estara detectado por todos.

Psyke1

.
Cita de: Shell Root en 28 Octubre 2010, 23:29 PM
xD, y no entendí, y gracias de que? XD
+1
Por cierto me gusta tu avatar shell!! :laugh: :laugh: :laugh: :laugh:

Respecto al post, no veo el motivo de postear algo que no se puede ver. :¬¬
Aparte de que no es algo muy innovador que digamos.

Citarel codigo prefiero no postearlo,porque tengo pensado usarlo para un par de cosas y no quiero que venga el tipico lammer que lo sube a virustotal xD
Pues parece como si ya lo hubieras subido por los analisis...  >:D :xD
Jajajajaja :laugh: :laugh: :laugh: :laugh:

DoEvents! :P
.

Daklon

#4
pues daba las gracias por adelantado, porque lo que pedía era si podían pasarme algún runPe que no tuviera firmas o alguna forma de indetectar el mio,están absolutamente seguros de que le pasa muestras a los antivirus?

porque este cripter lo empece hace mucho, a mediados del 2009, y por aquel entonces no conseguía que me quedara funcional el archivo cifrado y por curiosidad lo subí a novirus para ver cuantos antivirus lo detectaban,y hoy me dio por seguir y hoy solo le corregí un par de errores, lo volví a subir y la detección no ha cambiado...

curioso no?

y lo de fud

fud no significa que no lo detecta ningún antivirus?

porque si es así creo que decir medio fud estaría bien dicho ya que el stub es detectado por el 50%


Edit:

ya se que no es nada del otro mundo,pero es el primer programa en vb que me hago (sin contar el típico hola mundo),y de todas formas no esta acabado, tengo intención de meterle mas cosas, un joiner, un iconchanger, un spread, y un par de cosas mas, pero si se lo meto todo de golpe y luego lo hago indetectable me va a costar mas que hacerlo indetectable ahora y cuando le añada algo nuevo hacer las modificaciones oportunas para dejar ese algo nuevo indetectable también, digo yo que asi es mas sencillo


EDIT2:mods pueden cerrar, ya encontré uno por mi cuenta, ya veré como quito el avira que me lo detecta aunque no tenga runpe

Edu

Creo q FUD es Full Under Detection y si no es asi es algo parecido pero siempre va a significar que esta completamente indetectado, asique medio indetectado no existe xD

Asique si no has creado otros programas entonces estas usando el codigo de otro solo lo modificaste je y quieres seguir agregandole otros codes de iconchanger etc, mientras los entiendas esta bien pero si es el primer programa no entenderas :S
Entonces nadie te va a ayudar a hacerlo indetectable sabiendo q eres un riper je

BlackZeroX

#6
Cita de: Daklon en 28 Octubre 2010, 23:27 PM
buenas, viendo varios tutos y mezclando un poco de mi cosecha he conseguido crearme un cripter con 10 metodos de encriptacion distintos y contra aleatoria(es el primero que hago xD) y EOF.

par de cosas y no quiero que venga el tipico lammer que lo sube a virustotal xD

ya lo liberare cuando lo haya usado para lo que tengo pensado xD

si necesitan el codigo puedo enviarselos por mp

gracias por adelantado xD


Que bueno, pero lo que no nesesitamos en menos se nesesita en este foro es que nos vegas a demostrar tu EGO, lo que si es deseos de compartir, enseñar, ayudar, vamos que esto no es Indetectables... y si hablamos de lammers pues que aprendan a programar... vaya.

Cita de: Daklon en 28 Octubre 2010, 23:46 PM
pues daba las gracias por adelantado, porque lo que pedía era si podían pasarme algún runPe que no tuviera firmas o alguna forma de indetectar el mio,están absolutamente seguros de que le pasa muestras a los antivirus?

Entonces no es tu crypter... usas algoritmos ajenos.

P.D.: He subido cosas a VT, propias y ajenas.

Dulces Lunas!¡.
The Dark Shadow is my passion.

Daklon

a ver, yo no he copiado directamente códigos, los he hecho yo, pero para saber como funciona un cripter y ver mas o menos como es el código tendré que haber visto algo antes no?

no soy tan listo como para de buenas a primeras hacerme un cripter yo solito, y menos runtime que tendría que hacerme también el runpe

mi intención no es demostrar mi "EGO" como dices tu, solo intentaba explicar porque prefería no postear el código, decia lo que tenia para que se hagan una idea d elo que tiene, porque a lo mejor puede ser detectado por los metodos de cifrado o por el EOF(que no creo)

para enseñar hay que saber ,¿no?

así que lo de enseñar no puedo, solo cosas básicas, ayudar ayudaré cuando pueda y cuando sepa hacerlo y compartir pues lo haré cuando tenga algo que compartir, por ahora venia en busca de ayuda y de que me enseñen

y lo de los lammers ya lo se, pero si subo el código seguro que mas de uno lo va a coger y lo va a usar y entonces no va a ser fud ni de coña xD

preferiría poder usarlo yo antes un tiempo y después lo compartiré

PD: ya cambie el titulo del post

Psyke1

Citarno soy tan listo como para de buenas a primeras hacerme un cripter yo solito, y menos runtime que tendría que hacerme también el runpe
No pasa nada, entonces empieza por cosas más simples... :)

DoEvents! :P

Daklon

no sabia que cosas mas simples podía hacer, y un dia encontre un tuto de hacer un cripter asi que busque unos cuantos mas y me hice uno

podrías decirme algo mas simple que podría hacerme?