hola buenas,estoy haciendo un crypter en visual basic 6.0 hasta ahora encrypta de maravilla con rc4 y cryptapi.
lo pillan 6 antivirus de novirusthanks,3 de ellos es por el runpe del stub y no consigo sacarselos,he probado a encryptar el modulo runpe con el krarcka project version 2 tampoco los quita,tambien le he cambiado las variables al modulo y tampoco los quita.
los modulos runpe los consigo de unike runpe maker v1.0
quiero quitar los avs desde el source..no con rit,xor,meepa o cambiando el entrypoint..todo eso ya lo se.
alguien me hecha una mano?
Seria util saber que tipo de deteccion es el que tenes ahora.
el stub solo con modulo cryptapi :
a-squared 08/08/2009 4.5.0.3 Trojan.Win32.VB!IK
Avira AntiVir 7.1.5.85 7.6.0.59 TR/Dropper.Gen
Avast 090807-0 4.8.1229 -
AVG 270.13.47/2289 8.0.0.0 -
BitDefender 09/08/2009 7.0.0.2555 -
ClamAV 08/08/2009 0.95.1 -
Comodo 1911 3.10.529 -
Dr.Web 09/08/2009 5.0 -
Ewido 09/08/2009 4.0.0.2 -
F-PROT6 20090808 4.4.4.56 -
Ikarus T3 08/08/2009 1001044 Trojan.Win32.VB
Kaspersky 09/08/2009 8.0.0.357 HEUR:Trojan.Win32.Generic
McAfee 07/08/2009 5.1.0.0 -
NOD32 v3 4318 3.0.677 Win32/Injector.JK
Norman 2009/08/07 5.92.08 -
Panda 26/07/2009 9.5.1.00 -
QuickHeal 08 August, 2009 10.0 -
Solo Antivirus 09/08/2009 8.0 -
Sophos 09/08/2009 4.32.0 -
TrendMicro 349(634900) 1.1-1001 -
VBA32 09/08/2009 3.12.0.300 Trojan.VB.Levelup
VirusBuster 10.111.6 1.4.3 -
poison 2.3.2 encryptado con cryptapi:
a-squared 08/08/2009 4.5.0.3 Trojan.Win32.VB!IK
Avira AntiVir 7.1.5.85 7.6.0.59 TR/Dropper.Gen
Avast 090807-0 4.8.1229 -
AVG 270.13.47/2289 8.0.0.0 -
BitDefender 09/08/2009 7.0.0.2555 Trojan.Downloader.Agent.ZCR
ClamAV 08/08/2009 0.95.1 -
Comodo 1911 3.10.529 -
Dr.Web 09/08/2009 5.0 -
Ewido 09/08/2009 4.0.0.2 -
F-PROT6 20090808 4.4.4.56 -
Ikarus T3 08/08/2009 1001044 Trojan.Win32.VB
Kaspersky 09/08/2009 8.0.0.357 HEUR:Trojan.Win32.Generic
McAfee 07/08/2009 5.1.0.0 -
NOD32 v3 4318 3.0.677 Win32/Injector.JK
Norman 2009/08/07 5.92.08 -
Panda 26/07/2009 9.5.1.00 -
QuickHeal 08 August, 2009 10.0 -
Solo Antivirus 09/08/2009 8.0 -
Sophos 09/08/2009 4.32.0 -
TrendMicro 349(634900) 1.1-1001 -
VBA32 09/08/2009 3.12.0.300 Trojan.VB.Levelup
VirusBuster 10.111.6 1.4.3 -
dije que encryptaba con cryptapi y rc4,pues bueno cuando encrypto con rc4 me saltan 14 avs,aqui viene mi duda ;D : tenia el crypter con las dos encriptaciones,encriptaba con el cryptapi y solo me lo detectaban 5 avs.
como vi que el rc4 saltaban muchos he decidido quitar el modulo.
y por que ahora despues de quitar el modulo rc4. ahora me lo detectan 7 solo con el modulo cryptapi?
saludos.
Algunas cosas que podes hacer son: No usar ni CryptoAPI ni el rc4 que esta por todos lados, podes modificar el rc4 o buscar otro metodo. Cambia el icono, autor ect de la informacion del stub. Algun codigo para evitar emuladores te va a venir bien y por ultimo, no se que RunPE usas pero fijate que el ultimo que hice si encryptas las llamadas es indetectable hasta donde tengo entendido.
Estoy harto de gente que pide hacer indetectable sus codigos...
Al dia me llegan unos 5 PM (por elhacker y por HackHound) pidiendome ayuda para indetectar :¬¬... Esto va para todos el KPC v2 solo cifra cadenas, no hace milagros... y menos indetecta el RunPE viejo de Cobein que no tiene ninguna cadena :¬¬
No es tan dificil... ademas, si usas codigos de otros ten por seguro que acabara detectandose :¬¬
Saludos y suerte ;D
Ah! Se me olvidaba si quereis codigos indetectables entrar aqui :laugh: :laugh:
http://www.advancevb.com.ar/