Virus Metamorph v1.0 BETA
Autores:
-Hacker_Zero [Programación en C++ del programa principal]
-MrScript [Programación en ASM de la DLL del programa]
-Krackwar [Ayuda en la programación de la DLL]
-Shaddy [Ayuda en el análisis de ejecutables y su modificación]
Bueno lo prometido es deuda, dije que os mantendría informados sobre el desarrollo de éste proyecto y lo haré en éste post. Iré actualizando éste post según vallamos progresando en el desarrollo del proyecto, y así también se le dará la oportunidad a cualquiera de aportar sus ideas.
El proyecto sufrío algunos cambios desde que se presentó, ya no se desarrollará en VB6 y ASM sinó que se está desarrollando en C++ y ASM, debido a la mayor facilidad de comunicación entre ambos.
Se liberará el source completo de la v1.0 cuando se termine la v2.0 y así sucesivamente.
Próxima Versión:
La próxima versión (y primera ;D) será la v1.0 BETA 2. Será compatible con ejecutables en VB y Delphi, contará con la opción de ofuscación por BD y los bugs de la v1.0 BETA 1 serán corregidos.
Desarrollo próxima versión: 10%
Primeras imágenes del programa:
Funciones Finalizadas
+Buscando Fallos y posibles mejoras
[hr]
Versión 1.0 BETA 100%
Características:
-Visor PE
-Buscar espacio libre
-Redireccionar Entry Point
-Detección de ejecutables VB
-Forzar Metamorfosis Offset (Meepa)
-Forzar Metamorfosis Offset (Xor)
-Redireccionar Calls C/C++ y ASM (Recodeada, con algoritmo pseudoaleatorio, nunca genera exes iguales)
-Ofuscación mediante la inserción de saltos
-Cambiar el Case de los Imports
Versión BETA. El programa seguramente tenga numerosos fallos y el comportamiento puede no ser el esperado.
El programa sólo funciona bien con ejecutables compilados en ASM y C/C++. No es recomendable usarlo con ejecutables en VB o en Delphi debido a que creará un ejecutable corrupto con un 99% de certeza.
Es necesario que el ejecutable tenga espacio libre al final de la sección ejecutable, en caso contraro el programa no funcionará. En el caso de crear éste espacio a mano, dejar la zona a 0's
En algunos pc's el programa se cuelga al pulsar analizar. Debido a la imposibilidad de los autores de reproducir éste error, si alguien encuentra la causa sería de gran ayuda.
Lo más interesante de ésta versión BETA es el código fuente. Rogamos que cualquier recomendación, bug, cuelgue, ejecutable corrupto o cualquier tipo de problema sea comunicado para poder solucionarlo.
Probado con ejecutables compilados en C/C++ y FASM de los cuales en ningún caso provocó la corrupción del ejecutable.
El rating de eficacia es bastante alto, usando una combinación de RedirectCalls, Jmp Ofuscation y Change IAT Case quita una media de 10-15 antivurs de 20.
Lista de Bugs encontrados hasta el momento:
- En algunos PC's el programa se cierra al pulsar analizar
[Enlace externo eliminado para invitados]
[Enlace externo eliminado para invitados]
[hr]
Iré actualizando el post según vayamos progresando.
Saludos ;).
Última edición por Hacker_Zero el 16 May 2009, 21:02, editado 1 vez en total.