Buenas, A ver si me pueden echar un cable y de paso hacemos un repaso de como meterle mano a este AV.

Mi caso creo que es el de muchos (he usado el buscador, lastima que la gente cuando soluciona sus problemas no responde a los hilos que inicio con su problema, explicando que solución siguio).

En caso es que la firma de nod32 me cae en el msvbvm60.

He modeado con hex y con una dll inventada.dll se me queda indetectable. He leido algun post que decian que se podia usar para quitar las firmas evitando la contaminación de la firma del msvb... El caso es que una vez editado y juntando la dll renombrada el Nod no canta ( Por si alguno no lo sabía XD) ( Entonces entiendo que mi problema con esta firma es unicamente la dll de msvb, si no me habrían cantado firmas nuevas).

Por otro lado, he estado haciendo dsplit, y veo que otra firma me cae en el string vbaStrCopy, concretamente en la P. Ni que decir tiene que si cambio por mayusculas las letras se me rompe el binario.

Respecto a msvbvm60 me consta que se puede mover por TIL pero mi pregunta es ¿ Esto solucionará realmente el problema ? ¿ Moviendo el vbaStrCopy con TIL supongo que me seguira detectando la firma, no ?
¿ Qué alternativas tengo ? ¿ Por donde tirarían ? ¿ La solución pasa por un RIT a esa función , entiendo que seguiría saltando pero en otro offset nuevo? Visto lo visto ... ¿ Quedaría solo SignatureFucker... pero al final tendría que pelearme igualmente con la msvb. Correcto ?

Gracias de antemano a todos los cracks de la comunidad.

Cualquier TIP que me dejeis seguro que no soy al único al que le vale. ( MP o lo que sea)

La firma de Nod en concreto es Trojan.Win32/Injector.ELF

Como ven, aprendo rapido ;D y con ganas de compartir.

File Name: Bolita - copia.exe
File Size: 248.16 KB
Scan Date: 00:12:34 | 12/31/2015
Detected by: 1/35

MD5: 6150a4e4ac55f3adc2d0c69d03912809
Verified By NoDistribute: [Enlace externo eliminado para invitados]

Imagen
AVG Free: Clean
Imagen
Avast: Clean
Imagen
Avira: Clean
Imagen
BitDefender: Clean
Imagen
Clam Antivirus: Clean
Imagen
Comodo Internet Security: Clean
Imagen
Dr.Web: Clean
Imagen
eTrust-Vet: Clean
Imagen
F-PROT Antivirus: Clean
Imagen
F-Secure Internet Security: Clean
Imagen
G Data: Clean
Imagen
IKARUS Security: Clean
Imagen
Kaspersky Antivirus: Clean
Imagen
McAfee: Clean
Imagen
MS Security Essentials: Clean
Imagen
ESET NOD32: Trojan.Win32/Injector.ELF
Imagen
Norman: Clean
Imagen
Norton Antivirus: Clean
Imagen
Panda Security: Clean
Imagen
A-Squared: Clean
Imagen
Quick Heal Antivirus: Clean
Imagen
Solo Antivirus: Clean
Imagen
Sophos: Clean
Imagen
Trend Micro Internet Security: Clean
Imagen
VBA32 Antivirus: Clean
Imagen
Zoner AntiVirus: Clean
Imagen
Ad-Aware: Clean
Imagen
BullGuard: Clean
Imagen
FortiClient: Clean
Imagen
K7 Ultimate: Clean
Imagen
NANO Antivirus: Clean
Imagen
Panda CommandLine: Clean
Imagen
SUPERAntiSpyware: Clean
Imagen
Twister Antivirus: Clean
Imagen
VIPRE: Clean
se la firma cade en vbaStrCopy puede modificarlo en vbaStrMove se lo detecta con el til puede cambiar MSVBVM60.DLL POR \WINDOWS\SYSTEM32\MSVBVM60.DLL pera y sólo una idea nod32 busca firma sale facil avfucker dsplit signaturefucker rit

saludos
si luchas puedes perder si no luchas estas perdido
Buenas,

He conseguido aislar las firmas.
Exactamente caen en los siguientes strings de msvbvm60:

195003 - vbaStrCopY -y-
195149 - vbaAryLock -k-
195248 - vbaVarLateMemCallLd -d-
195347 __vbaAryUnlocK -K-
195366 __vbaVarForNext -t-

Cualquier movimiento que haga de estas a otro lugar mediante TIL me sigue detectando las firmas pero en los nuevos offsets.
¿ Qué técnica debería usar para poder ocultarlas/ hacerlas indetectables ? Seguro que no soy el único que se esta peleando con este caso.
Hacia tiempo que no veia que un usuario hiciese una pregunta habiendo trabajado bien por su cuenta el tema y teniendo algo concreto que preguntar, me alegra bastante ver este tipo de post entre tantos que solo piden tips o codigos para copiar y pegar. Esta es la actitud precisamente que necesitas mantener para llegar a ser uno de los grandes algun dia, sentir inquietud por el por que de las cosas e investigar por tu propia cuenta es la clave.
Como ya te dije por privado, prueba el metodo que publique con PEScrambler o el del resto de compañeros del foro y a ver como va
Saludos
666699966999999996699966699999
666699966999999996699966969999
699999966999999996699966996999
666699966999999996699966999699
666699966999999996699966999699
699999996699999966999966996999
699999999669999669999966969999
699999999996666999999966699999
https://reversecodes.wordpress.com

http://indeseables.github.io/
Bueno, Actualizo un poco el Post.

He empezo a modearlo desde el Source , la manera más rápida de evitar esa firma ESET ha sido compilarlo en P-Code.

Ojo, han saltado otras firmas nuevas, pero más fáciles de quitar . No obstante si alguien cae en alguna alternativa modeandolo desde el binario (algún tipo de packer que oculte estas funciones o lo que sea) que continue con este Post.

Fuera ESET :
Imagen


@SadFud , He probado el PEScrambler con el stub, pero me rompe el binario, Lastima ... Me lo guardo para próximas veces.
Al resto: Roda ( Acertaste en el P-code) , 0day , TITAN , Blau y MCN Gracias por vuestros aportes, una vez más.


Un saludo. 0x41414141
Siguiendo el tema ...
We live in hell it will always have pain. - Uchiha Obito.

@ Indetectables [ Modder - Coder ]
Te comento ayer estuve modeando 2 horas tu encriptado y encontré 4 firmas en total. Estoy tratando de generar offset funcionales tapando las firmas, ya logre logre aislarlas ahora voy a ver si puedo generar offset funcionales todo con ollydbg.
Te comento ya tengo tu encriptado casi listo, como te dije aislé las firmas, pero todas caen en las llamadas a las api's, la única alternativa con olly es reemplazar todas y cada una de ellas si queres te muestro por team a vos y a quien quiera ver, es fácil pero lleva mucho trabajo igual voy a tratar de terminarlo. Si no me equivoco Simpl3x había hecho hace mucho tiempo un tutorial creo que de ahi aprendi yo, ojo no confundas mover Import Table con las llamadas son dos cosas diferentes . Tipo 18 hora argentina me conecto por skype
Responder

Volver a “Dudas y Preguntas”