Hola a todos !!!

Bueno desde hace unos días empecé a modificar el stub de un crypter "el crypter que trato de modificar es el Kaka Crypter by Logan"...

Bueno primero el stub detectable por 18/22 Antivirus d, Lo pude dejar a 3/22 como muestra la imágen de abajo...



Bueno el A-squared estoy tratando de saltarlo y como es la mima firma de Ikarus también,
Pero se me complicó en el tema del AVIRA Y NOD32, aunque lo pude dejar indetectable para el NOD32 ME PASA LO SIGUIENTE:

En el offset 320 es donde se me complica ya que dejandolo como estaba con el valor " C4 " queda indetectable al NOD32 pero el AVIRA lo detecta:



OK, pero resulta que si modifico ese valor " C4 " por cualquier valor como por ejemplo " 0E " me queda indetectable al AVIRA pero ahora el NOD32 me lo detecta:




y las demás firmas, por más que modifique y modifique cualquier offsets el NOD32 me lo sigue detectando


¿Como puedo hacer para que me quede indetectable para los 2 AV, el AVIRA y el NOD32 ?


Desde ya muchas gracias a todos y ojalá me puedan ayudar


NOTA: Primero con el Stub Original con 18/22 detecciones de AV, utilicé el metodo del ENTRYPOINT y lo pude dejar a 9/22 AV, luego para reducirlo a 3/22 AV utilicé el Método Hex, lo cuál para A-squared intentaré con éste metodo saltarlo también, pero solo el prblema es el NOD32 vs AVIRA


Gracias de antemano

salu2

Al Avira es muy dificil solo algunos tenemos un metodo y por lo general lo inventamos nosotros mismos pero no te preocupes el avira es poco usado si quieres otro metodo para hacer indetectable avisa

con eso te cargas el stub ya lo probao yo

blakhacker escribió:Al Avira es muy dificil solo algunos tenemos un metodo y por lo general lo inventamos nosotros mismos pero no te preocupes el avira es poco usado si quieres otro metodo para hacer indetectable avisa

si tienes un metodo publicalo y eso de que el avira casi nadie lo usa es mentira hoy en dia avira es uno de los mas usados compañero lo mejor es q buskes los videos de DEMONIOVIP666 y aprendas

frases El dinero no es nada, pero mucho dinero, eso ya es otra cosa.

este metodo es muy bueno probarlo :)

Ya intené con el método de demonio666vip de éste post:
viewtopic.php?f=8&t=11167

pero no me sirvió para el avira

Se podría hacer algún salto del offset 319 al 323 por ejemplo sin que tenga que pasar por el 320 que es el me los detectan el NOD32 y el AVIRA !!!

o algo asi nose

salu2

master el offset 320 quita nod pero no avira avira es mu complicao

deck escribió:master el offset 320 quita nod pero no avira avira es mu complicao

Si ya se me tendré que quedar con uno o con otro, y ya que la mayoria tiene más el NOD32 que el avira elijo quitarle el NOD32, que lastima yo pensé que NOD32 no era tan complicado como el AVIRA

Pero bueno de todos modos gracias deck y a los demás por comentar !!!

salu2

usa el 0E q es el q suele quitarselo

si saltas avira y no rompe aparece una nueva firma de nod es muy facil, sacas nod otra vez y punto

bueno aki os dejo como lo deja solo poniendo 0E
Antes:
File Info

Report generated: 13.8.2009 at 19.37.51 (GMT 1)
Filename: Stub.exe
File size: 72 KB
MD5 Hash: 62accfe530f3ea805b379b4617847a55
SHA1 Hash: B4E78E2C9784A7853031E01B8F2A8F94B0A6C544
Self-Extract Archive: Nothing found
Binder Detector: Nothing found
Detection rate: 17 on 22

Detections

a-squared - Backdoor.Win32.Bifrose!IK
Avira AntiVir - BDS/Bifrose.ausz
Avast - Win32:Trojan-gen {Other}
AVG - BackDoor.Generic11.JCI
BitDefender - Backdoor.Generic.202841
ClamAV - -
Comodo - Backdoor.Win32.Bifrose.ausz
Dr.Web - BackDoor.Bifrost.8
Ewido - -
F-PROT6 - W32/Backdoor2.EYAX
Ikarus T3 - Backdoor.Win32.Bifrose
Kaspersky - Backdoor.Win32.Bifrose.ausz
McAfee - Generic VB.az trojan
NOD32 v3 - Win32/Bifrose
Norman - Backdoor W32/Smalldoor.DXZQ
Panda - -
QuickHeal - Backdoor.Bifrose.avul
Solo Antivirus - -
Sophos - Mal/Generic-E
TrendMicro - -
VBA32 - Backdoor.Win32.Bifrose.ausz
VirusBuster - Backdoor.Bifrose.AAHZ

Scan report generated by
[Enlace externo eliminado para invitados]
Despues:
File Info

Report generated: 13.8.2009 at 19.33.12 (GMT 1)
Filename: prueba.exe
File size: 72 KB
MD5 Hash: 5f96f1b9f94c107000c62effe6822fab
SHA1 Hash: C2FAF039DE2D8ADBD07CA76D43FCF2953A42CAA4
Self-Extract Archive: Nothing found
Binder Detector: Nothing found
Detection rate: 12 on 22

Detections

a-squared - Backdoor.Win32.Bifrose!IK
Avira AntiVir - -
Avast - -
AVG - BackDoor.Generic11.JCI
BitDefender - -
ClamAV - -
Comodo - -
Dr.Web - BackDoor.Bifrost.8
Ewido - -
F-PROT6 - W32/Backdoor2.EYAX
Ikarus T3 - Backdoor.Win32.Bifrose
Kaspersky - Backdoor.Win32.Bifrose.ausz
McAfee - Generic VB.az trojan
NOD32 v3 - -
Norman - Backdoor W32/Smalldoor.DXZQ
Panda - -
QuickHeal - Backdoor.Bifrose.avul
Solo Antivirus - -
Sophos - Mal/Generic-E
TrendMicro - -
VBA32 - Backdoor.Win32.Bifrose.ausz
VirusBuster - Backdoor.Bifrose.AAHZ

Scan report generated by
[Enlace externo eliminado para invitados]

segun tengo entendido yo al mover el entry point salta avira no saltees el entry point o saltara avira... ahora si sigue saltando nose
jaj saludos

poison-123 escribió:si saltas avira y no rompe aparece una nueva firma de nod es muy facil, sacas nod otra vez y punto

mmmm La idea no esta nada mal, lo voy a probar sacando en bloques de a 1 y ya si eso no sirve, entonces no sirve nada

Gracias poison-123 lo intentaré a ver que tal me va




EDITO: Lo hice y no funcionó, me dejó varios offsets indetectables pero todos al ejecutarlos dicen "NO ENVIAR" y por lo tanto si modifico el stub con esos offsets seguro se rompe

Salu2

te recomiendo RIT
sabes lo que es el metodo rit no?,pues en caso de no saberlo en el foro hay ,miles de tutoriales sobre el.Seguramente salga la frima con rit o hagas cosas mal ahora nose pero a mi nod con rit no me da problemas

poison-123 escribió:te recomiendo RIT
sabes lo que es el metodo rit no?,pues en caso de no saberlo en el foro hay ,miles de tutoriales sobre el.Seguramente salga la frima con rit o hagas cosas mal ahora nose pero a mi nod con rit no me da problemas

OK perfecto, Si escuche escuchar hablar del método RIT pero no lo ví detalladamente todavia ni nunca todavía lo puse en práctica, pero bueno voy a ver si me pongo a ver como es


Muchas gracias poison-123 por todo , un abrazo grande amigo y vamos a ver que tal me va jeje, ojalá lo pueda saltar al NOD32

salu2