[DATOS] Análisis AV continuado virulator + rutinas ofuscación nuevas

Iniciado por m0rf, 18 Julio 2012, 22:04 PM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

m0rf

18 Julio 2012, 22:04 PM Ultima modificación: 10 Octubre 2012, 20:48 PM por m0rf
Primer scan del archivo main:

Virulator 1.0c- 18/06/2012

CitarSHA256:   4a99d68c76d7f9d7812c4360294148805f0d70622a25e330277b7dece8c5d68d
SHA1:   e23ffba2a2ad7bba7b52ac76e3fc334d0ba2f1a6
MD5:   48bb0d3b6f23dbc1ffece80e42ec3612
Tamaño:   109.7 KB ( 112372 bytes )
Nombre:   virulator.bat
Tipo:   unknown
Detecciones:   4 / 40
Fecha de análisis:    2012-07-18 19:45:53 UTC ( hace 1 minuto )
CitarAhnLab-V3   -   20120718
AntiVir   -   20120718
Antiy-AVL   -   20120717
Avast   VBS:QHost-D [Trj]   20120718
AVG   Hosts   20120718
BitDefender   -   20120718
ByteHero   -   20120716
CAT-QuickHeal   -   20120718
ClamAV   Trojan.Qhost-264   20120718
Commtouch   -   20120718
Comodo   -   20120718
DrWeb   -   20120718
Emsisoft   -   20120718
ESET-NOD32   -   20120718
F-Prot   -   20120718
F-Secure   -   20120718
Fortinet   -   20120718
GData   VBS:QHost-D   20120718
Ikarus   -   20120718
Jiangmin   -   20120718
K7AntiVirus   -   20120718
Kaspersky   -   20120718
McAfee   -   20120718
McAfee-GW-Edition   -   20120718
Microsoft   -   20120718
Norman   -   20120718
nProtect   -   20120718
PCTools   -   20120718
Rising   -   20120718
Sophos   -   20120718
SUPERAntiSpyware   -   20120718
Symantec   -   20120718
TheHacker   -   20120717
TotalDefense   -   20120717
TrendMicro   -   20120718
TrendMicro-HouseCall   -   20120718
VBA32   -   20120718
VIPRE   -   20120718
ViRobot   -   20120718
VirusBuster   -   20120718

*Notas: Buscar información acerca de Qhost y sus funciones.

Se irán añadiendo las modificaciones y los respectivos escaneos.

2-

----------

CitarSHA256:   d5895764cd489edf0b9699de3f9ac90c6c82e69687fea95f7d68a13b53097992
SHA1:   f1c20e88816f33fc1c29ec0308ff66a69928ea43
MD5:   7a5f29c59317841d1c91dac118b56482
Tamaño:   8.2 KB ( 8367 bytes )
Nombre:   virulator.bat
Tipo:   unknown
Detecciones:   1 / 44
Fecha de análisis:    2012-10-10 18:35:29 UTC ( hace 0 minutos )

CitarAgnitum   -   20121010
AhnLab-V3   -   20121010
AntiVir   -   20121010
Antiy-AVL   -   20121009
Avast   -   20121010
AVG   -   20121010
BitDefender   -   20121010
ByteHero   -   20121009
CAT-QuickHeal   -   20121010
ClamAV   -   20121010
Commtouch   -   20121010
Comodo   -   20121010
DrWeb   BATCH.Virus   20121010
Emsisoft   -   20120919
eSafe   -   20121009
ESET-NOD32   -   20121010
F-Prot   -   20121010
F-Secure   -   20121003
Fortinet   -   20121010
GData   -   20121010
Ikarus   -   20121010
Jiangmin   -   20121009
K7AntiVirus   -   20121010
Kaspersky   -   20121010
Kingsoft   -   20121008
McAfee   -   20121010
McAfee-GW-Edition   -   20121010
Microsoft   -   20121010
MicroWorld-eScan   -   20121010
Norman   -   20121010
nProtect   -   20121010
Panda   -   20121010
PCTools   -   20121010
Rising   -   20121009
Sophos   -   20121010
SUPERAntiSpyware   -   20121010
Symantec   -   20121010
TheHacker   -   20121009
TotalDefense   -   20121010
TrendMicro   -   20121010
TrendMicro-HouseCall   -   20121010
VBA32   -   20121009
VIPRE   -   20121010
ViRobot   -   20121010

Sorprendente-mente ahora solo es detectado por dr.web :S

Bueno, por lo visto o el código a cambiado o los antivirus han cambiado.

Esto era para ver como los antivirus lo detectaban más cada vez y ir viendo en que se fijaban.

Visto que les da igual en general lo que ejecuta el archivo tan solo con cambiar el orden y rellenar muy posiblemente dr.web saldría de la lista. Otra posibilidad es que sea una funcion especifica de batch o una implementacion de la propia aplicación, en cuyo caso se verá cuando pruebe la parte de batch del ofuscador que preparo.

Si la próxima prueba que hago dr.web sale y queda totalmente limpio dejaré de postear aquí escaneos ya que tendré la función que hace saltar dr.web(en caso que no sea por checksum o algun tipo de firmas) y se incluira como la parte de batch del ofuscador que preparo.

Si no pues se ira viendo a ver que hacen los antivirus.

Advertencia:Esto es un experimento, cualquier parecido con algo profesional es pura casualidad.
Si todos fuéramos igual de inteligentes no existiría la mediocridad porque no podríamos apreciarla. Aprecias la mediocridad?

Binary_Death

#1
18 Julio 2012, 23:26 PM
Es muy extraño que un AV detecte un script batch.
Si lo hace, es en su mayoría por algún código VBS que tiene metido por ahí o algunos datos que incorpora el código que son muy típicos de los malware (es decir, en este caso, todas las páginas que se añaden a hosts).

Fuera de eso, es prácticamente imposible que se haga detectado. Se cuentan con los dedos de una mano los virus en batch que tienen su firma añadida a la database de algún AV, y de ser así, añadiendo una pequeña rutina de polimorfismo ya está salvada la dificultad.

m0rf

#2
19 Julio 2012, 02:17 AM
Yo también lo pensaba, pero es detectado por 4 por lo que se ve.

Mi idea era incorporar un código que ofrezca ofuscación en primer lugar y tal vez se le pueda poner alguna cifrado con algún invento xD, todo en plan casero y batch.

Ya veremos. Quizá si la herramienta continua si que otros antivirus la detecten más adelante. Ya veréis en las próximas versiones (eso si con el permiso de EleKtro H@cker, al quien ya he consultado).

Saludos.
Si todos fuéramos igual de inteligentes no existiría la mediocridad porque no podríamos apreciarla. Aprecias la mediocridad?

BatchianoISpyxolo

#3
20 Julio 2012, 23:21 PM
Pues no estaría mal ofuscar el código.
Puede que desees aprender a programar desde 0: www.espascal.es
Imprimir
Ir Arriba Páginas1
Acciones del Usuario