Virus Metamorph v1.0 BETA
Imagen



Autores:

-Hacker_Zero [Programación en C++ del programa principal]
-MrScript [Programación en ASM de la DLL del programa]
-Krackwar [Ayuda en la programación de la DLL]
-Shaddy [Ayuda en el análisis de ejecutables y su modificación]

Bueno lo prometido es deuda, dije que os mantendría informados sobre el desarrollo de éste proyecto y lo haré en éste post. Iré actualizando éste post según vallamos progresando en el desarrollo del proyecto, y así también se le dará la oportunidad a cualquiera de aportar sus ideas.

El proyecto sufrío algunos cambios desde que se presentó, ya no se desarrollará en VB6 y ASM sinó que se está desarrollando en C++ y ASM, debido a la mayor facilidad de comunicación entre ambos.

Se liberará el source completo de la v1.0 cuando se termine la v2.0 y así sucesivamente.

Próxima Versión:
La próxima versión (y primera ;D) será la v1.0 BETA 2. Será compatible con ejecutables en VB y Delphi, contará con la opción de ofuscación por BD y los bugs de la v1.0 BETA 1 serán corregidos.

Desarrollo próxima versión: 10%

Primeras imágenes del programa:

Imagen


Imagen


Funciones Finalizadas

+Buscando Fallos y posibles mejoras

[hr]

Versión 1.0 BETA 100%

Características:

-Visor PE
-Buscar espacio libre
-Redireccionar Entry Point
-Detección de ejecutables VB
-Forzar Metamorfosis Offset (Meepa)
-Forzar Metamorfosis Offset (Xor)
-Redireccionar Calls C/C++ y ASM (Recodeada, con algoritmo pseudoaleatorio, nunca genera exes iguales)
-Ofuscación mediante la inserción de saltos
-Cambiar el Case de los Imports


Versión BETA. El programa seguramente tenga numerosos fallos y el comportamiento puede no ser el esperado.

El programa sólo funciona bien con ejecutables compilados en ASM y C/C++. No es recomendable usarlo con ejecutables en VB o en Delphi debido a que creará un ejecutable corrupto con un 99% de certeza.

Es necesario que el ejecutable tenga espacio libre al final de la sección ejecutable, en caso contraro el programa no funcionará. En el caso de crear éste espacio a mano, dejar la zona a 0's

En algunos pc's el programa se cuelga al pulsar analizar. Debido a la imposibilidad de los autores de reproducir éste error, si alguien encuentra la causa sería de gran ayuda.

Lo más interesante de ésta versión BETA es el código fuente. Rogamos que cualquier recomendación, bug, cuelgue, ejecutable corrupto o cualquier tipo de problema sea comunicado para poder solucionarlo.

Probado con ejecutables compilados en C/C++ y FASM de los cuales en ningún caso provocó la corrupción del ejecutable.

El rating de eficacia es bastante alto, usando una combinación de RedirectCalls, Jmp Ofuscation y Change IAT Case quita una media de 10-15 antivurs de 20.

Lista de Bugs encontrados hasta el momento:
- En algunos PC's el programa se cierra al pulsar analizar

[Enlace externo eliminado para invitados]
[Enlace externo eliminado para invitados]

[hr]

Iré actualizando el post según vayamos progresando.

Saludos ;).
Última edición por Hacker_Zero el 16 May 2009, 21:02, editado 1 vez en total.
Se ve parecido al de MadAntrax, pero este la verdad tiene muy buena pinta! que buen proyecto!
No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.
Gracias . El concepto es parecido, más que al metamorph de Mad se parece más al nuevo que está desarrollando, pero de todas formas nada que ver. Yo trato demodificar los exes lo máximo posible sin romperlos (casi recompilar) y estoy aplicando algunos métodos como el xor y meepa y el de redirectcalls que me inventé, es muy efectivo pero no se puede hacer a mano (se puede pero te mueres de viejo antes de terminar ). Luego en éste foro he visto otros métodos como el de cambiar el entry point pero nada, al cambiarlo me sataba avira, bitdefender y otros más, así que no lo cambié. El método rit también trataré de automatizarlo, tanto para forzar que se cambie un offset como una opción random que los cambia "a voleo".

Saludos
joer.....esta guapo de verdad!!!!
muxas gracias por tenernos informados......
aki ya teneis a uno esperandolo.....jeje
...No existe antivirus contra la curiosidad!!!
...sabiendo que mi ambicion supera con mucho mi talento...
COMOOOOOOOOOOOOO?!?!?!?!?!?!?!?!?!?!?!?!?!?!

Un programa que actua como un modder y de forma automatizada????, siempre pense que esto era posible pero como no habia ningun programa lo consideré utópico

Aqui hay otro que espera el programa
Imagen
Proyecto muy interesante ;)

Tengo ganas de que publiquen el source para poder verlo y toquitearlo jejejeje
1 pregunta , si bien usa la busqueda de offsets y le aplica encriptacion xor , no quedaria parcialmente scantime ? .... a pesar de eso se que se levantaria en memoria (Meepa) pero me preocupa lo del xor hehe...
"Un buen pintor copia, Un gran pintor roba."
Siempre podemos tirar el ordenador a la basura y comprar uno nuevo, pero es una solución demasiado Mac.
Imagen
Esas son dudas que tengo, yo no soy moder, puse el esa opción porque sabía programarla pero no se cuan efectivo puede ser. Hace tiempo los antivirus no analiaban memoria pero ya no se . Si puedes probarlo y contarme pues sería de gran ayuda.

Saludos
ahora si lo hacen, los AV dumpean la zona de memoria del proceso y analiza el dumpeado, si encuntra firmas termina el proceso, pero no he visto que elimine el ejecutable "real" que tenia las firmas en la memoria. creo que por precaucion, pues si inyectamos el Explorer.exe y nos lo borra el AV no lo tendria nadie.

podria hacerse lo siguiente (pero se necesita espacio):

antes de llegar al offset cambiado se redirige el flujo para restauirar el cambio, luego al pasar el offset cambiado se vuelve a redirigir el flujo para volver a "encriptarlo" y se sigue normal.

pero creo que es mejor usar Rit.

buen Proyecto Hacker_zero, y MrScript.

saludos

PD: Hacker_Zero, Como se llama la seccion donde estas y que caracteristicas tiene? (por lo que pusiste en la ubicacion)
//No estan permitidos los refer en este sitio.

SI ERES CHAVISTA Y HONESTO NO ERES INTELIGENTE.
SI ERES CHAVISTA E INTELIGENTE NO ERES HONESTO.
SI ERES INTELIGENTE Y HONESTO NO ERES NI SERAS NUNCA CHAVISTA.
Jajaja, se llama '.zero' y obiamente tiene características 0xE0000020, Readable Writeable y Executable .

Bueno pues una pena, de todas formas la opción la seguiré manteniendo en el programa por si en algún momento es de utilidad. Lo de la alternativa que dices es lo que estoy tratando de hacer con la opción redirect jumps, pero es complicado porque hay que saber en que byte empieza la instrucción y en que byte termina para que el programa no pete antes de llegar al jmp. Seguiré trabajando para mejorarlo en la v2.0 .

Saludos
Responder

Volver a “Nuestros Programas”