Bueno queria pedir a los grandes moders del foro que me echeis una mano con la heuristica del kaspersky ya ke pensaba que el unico que me daba problemas a la hora de modear era avira y no, ahora tbn la heuristica del kav se me resiste y ya e probado todo y no hay manera, tengo 2 crypters ke solo les keda avira y kav y me da verguenza postearlos con 2 detecciones
por eso agradeceria que me deis algun consejo para sacar esa fea heuristica y poder compartir esas 2 mods con el resto el foro, la firma es esta: HEUR:Trojan.Win32.Generic, saludos a todos y gracias de anntemano!

suele estar entre 4000 y 7000 o si no sale prueva con el offset 14000 a 15000 a y escanea con kis enves de con kav porq te salen todas las firmas con kis .

tenga atencion - ver si no hay firmas ocultas.

Saludos

Hola antrax10 gracias por responder y por los consejos,yo uso kis, el problema es ke realmente no es una firma sino ke se trata de la heuristica, y los ofsets ke me kedan indetectados estan en sitios como "__vbaFreeStr" o "__vbaStrMove" y yo los muevo de sitio con CFF EXplorer como lo vi en un tutorial pero me sige detectando el archivo, aunke los cambie todos de sitio me lo sigue detectando igual, en cambio si tapo un ofset con 90 ya no lo detecta pero no keda funcional.. que solucion puede tener esto?

Yo no soy modder pero en mi humilde opinion y experiencia, suelo sacar esa firma creando combinaciones de 00-ff , es un poco molesto porque suelen quedarte muchos offsets pero con un poco de paciencia te sale uno funcional.

para esas 256 combinaciones puedes usar unas tools que ahi por el foro que te crean 256 stubs cada uno con la combinacion diferente en la offset donde indicaste que se hicieran las combinaciones, y despues con un comprobador de offsets funcionales vas probando todas por ejemplo la herramienta de dampimp el GOL v 1.0 seria ideal para buscar offsets funcionales no encuentro ara mismo esas tools por el foro pero estan codeadas por sanlegas si quieres las cuelgo en megauplaod y te las descargas no me cuesta nada, suerte con esa firma y salu2 bro

reybdz gracias por el consejo lo pondre en practica, y bifrost121 gracias por tu interes, ya tengo el iGOL y el Massive ofsets creator y los uso amenudo, el problema es que el sitio donde kaspersky pone la firma no puedo tapar ningun offset porque se rompe el stub, gracias a los 2 por buestro interes

geminis_demon escribió:reybdz gracias por el consejo lo pondre en practica, y bifrost121 gracias por tu interes, ya tengo el iGOL y el Massive ofsets creator y los uso amenudo, el problema es que el sitio donde kaspersky pone la firma no puedo tapar ningun offset porque se rompe el stub, gracias a los 2 por buestro interes

probaste el metodo RIT o el XOR?

antrax10 escribió:suele estar entre 4000 y 7000 o si no sale prueva con el offset 14000 a 15000 a y escanea con kis enves de con kav porq te salen todas las firmas con kis .

tenga atencion - ver si no hay firmas ocultas.

Saludos

En el 4000-7000 tienes razón, es común, pero no siempre está ahí, es más, no me la he vuelto a encontrar ahí lo del kis ójala fuera cierto.. ayer mismo lo comprobé con DuNeD@i, saqué kis y kav lo seguida detectando, NVT y S4Y no detectaban (usan kis), así que.. al final tocará usar los 2 avs xD

Busca offsets con 2E, 2A, 02.. aunque lo mejor es crear combinaciones porque cada heur es un mundo..

Saludos

Esa firma no suele estar en esos sitios, lo mas seguro es que no te lo detecte
al modificar dichos lugares no porque la firma este ahí, sino porque al romper el stub ya no te lo detecta.
No se si ya probaste dsplit, a lo mejor tiene mas de una firma con el mismo nombre.

Si probe RIT haciendo saltos con "JMP" y se rompia, dsplit tbn lo e probado, probare con XOR aver que tal, reybdz alomejor tienes razon en que la firma no esta ai y por romper el stub ya no lo detecta, tbn probare como dice Metal_Kingdom buscando offset con 2E, 2A, 02... muchas gracias de verdad estaba un poco bloqueado con esto y me aveis dado muchas ideas para seguir probando, me pondre con ello y si todo sale bien mañana abra 2 mods mas en la seccion de Nuevos Troyanos y Herramientas gracias a bosotros! saludos y gracias!!

pufff el xor no te va a valer yo estoy igual que tu con la misma firma en un crypter y esta muy jodido yo he probado de todo....menos los que dice metal_kingdom....que lo are aora mismooo

geminis_demon,no se si tu stub sera como el mio,yo lo que hice fue:

1º encriptamos el servidor o lo que sea.

2º avfunker desde 1000 hasta donde termina el stub en mi caso es 16389.a cada 1000 lo modificas con 90 o lo que quieras yo puse 90.

3º scaneas el directorio y borra todo lo detectado,de los que no te detecten be probando aver cual conecta.

si no funciona ninguno de los que no detecte,haz el paso 2º pero cada 100 y el 3º y buelbe a probar los no detectados.

llegara un momento en que alguno te conecte a tu rat,ya sea cada 1000 0 cada 10 o cada 1 bite.

luego cojes te bas a la direccion donde se instalo c:\windows ectetec y cojes y copias el servidor al escritorio.( recuerda que el archivo se instala oculto,has de modificar las obciones de carpeta para poder verlo)

una vez copiado al escritorio miro si no es detectado,al no ser detectado y funcional,lo abro con hex y lo copio con otro nombre por ejemplo server2.exe y ya no estara oculto y podremos seguir modificando con avfunker ect.

espero averte servido de ayuda,yo la saque asin y me ba de 10.

un salu2.

vampiresa escribió:geminis_demon,no se si tu stub sera como el mio,yo lo que hice fue:

1º encriptamos el servidor o lo que sea.

2º avfunker desde 1000 hasta donde termina el stub en mi caso es 16389.a cada 1000 lo modificas con 90 o lo que quieras yo puse 90.

3º scaneas el directorio y borra todo lo detectado,de los que no te detecten be probando aver cual conecta.

si no funciona ninguno de los que no detecte,haz el paso 2º pero cada 100 y el 3º y buelbe a probar los no detectados.

llegara un momento en que alguno te conecte a tu rat,ya sea cada 1000 0 cada 10 o cada 1 bite.

luego cojes te bas a la direccion donde se instalo c:\windows ectetec y cojes y copias el servidor al escritorio.( recuerda que el archivo se instala oculto,has de modificar las obciones de carpeta para poder verlo)

una vez copiado al escritorio miro si no es detectado,al no ser detectado y funcional,lo abro con hex y lo copio con otro nombre por ejemplo server2.exe y ya no estara oculto y podremos seguir modificando con avfunker ect.

espero averte servido de ayuda,yo la saque asin y me ba de 10.

un salu2.

Tio prueba a usar un Offset Anotator o "Bolita" no tendrás que estar probando todo el rato haber si el rat conecta... si es funcional el offset que modifico el avfucker al ejecutarlo saldrá que ese offset es funcional.

Bueno, gracias a todos por los consejos, no he podido sacarla, ya me rindo esta vez me a ganado,los posteare como estan, supongo que cuanta mas esperiencia vaya cojiendo me iran saliendo fud, saludos a todos

elsuc: si tengo bolita,yo es que uso siempre el mismo stub,1º saque lo que pude apelo,luego lo que pude con bolita,pero a la hora de emcriptar un troyano o virus me salen otras firmas que con la bolita no sale.por eso me infecto y ago ese proceso.(bamos es mas costoso sip,pero se que voy por el buen camino y casi no encuentro sorpresas)



geminis_demon: ami me suele pasar = eso con la esperiencia y dale que dale algundia sale.decir que me tiro una tarde entera y no salia ni la 1º firma,ya desespera lo deje pa otro dia,y al dia siguente en 5 minutos saque la 1º y en otros 5 o 10 la 2º.aun que nunca consigo el 100% llegue al 90% solo con avira y me jodieron,ahora estoy en 80%,pero no desesperes,ni te rindas.


un salu2