Página 5 de 15

Re: Una Pregunta ya que somos los pioneros en el ......conti

Publicado: 25 May 2012, 04:49
por FroZenFeW
descraga JAJAJAJAJAJAJAJAJAJAJAJAJAAJAJA

edito: ya estoy prendiendo el xp que tenia el avast y les digo que version es la que me jode

edito nuevamente: [Enlace externo eliminado para invitados] esa es la version que me salta

Re: Una Pregunta ya que somos los pioneros en el ......conti

Publicado: 25 May 2012, 04:52
por Metal_Kingdom
Lo que me acabo de fijar es que absolutamente siempre que ejecutes cualquier fichero, realiza una conexión a algún servidor de avast, en mi caso lo hace a 195.39.12.117.

Re: Una Pregunta ya que somos los pioneros en el ......conti

Publicado: 25 May 2012, 05:00
por orlando9427
Interesante propuesta, me apunto para aprender y aportar lo poco que se.
Metal_Kingdom escribió:Lo que me acabo de fijar es que absolutamente siempre que ejecutes cualquier fichero, realiza una conexión a algún servidor de avast, en mi caso lo hace a 195.39.12.117.
¿Algún puerto en específico?, si se capturan los datos se puede hacer una redirección para que siempre de buena reputación o simplemente bloquear la conexión.

Saludos!

Re: Una Pregunta ya que somos los pioneros en el ......conti

Publicado: 25 May 2012, 05:03
por Metal_Kingdom
(Variable)

Transmission Control Protocol, Src Port: ltp-deepspace (1113), Dst Port: http (80), Seq: 1, Ack: 1, Len: 0

Re: Una Pregunta ya que somos los pioneros en el ......conti

Publicado: 25 May 2012, 05:14
por FroZenFeW
pero creo que ha bajado esa paranoia porque el programa que me saltaba ya no lo hace con esa version de avast :S

Re: Una Pregunta ya que somos los pioneros en el ......conti

Publicado: 25 May 2012, 05:20
por el_Lux
@Metal, Recuerdo tambien que decian que las versiones free de avast son "mejores" que las empresariales (supongo son mas paranoicas las free), al igual decian de Avira, comprobado no tengo nada

Re: Una Pregunta ya que somos los pioneros en el ......conti

Publicado: 25 May 2012, 05:56
por strup
tambien hablan mucho de la proactiva del avg que ami solo em salta a nivel localpero sin embargo tengo remotos a tutiplen con avg

Re: Una Pregunta ya que somos los pioneros en el ......conti

Publicado: 25 May 2012, 06:24
por FroZenFeW
joder ahora se hablo del tema y ningun av salta xDDDDD

Re: Una Pregunta ya que somos los pioneros en el ......conti

Publicado: 25 May 2012, 07:44
por osnaraus
Estuve testeando el puto Avast en su version pro, y vi que conecta cada vez que se ejecuta un archivo y hasta cuando se abren carpetas. A donde ? Pues a mi me ha conectado alternativamente a
1) vl.ff.avast.com
2) su.ff.avast.com

(cuando no conectaba a uno, conectaba a otro)

Sencillamente le agregué 2 lineas al hosts y a la mierda, no conectó mas.
Hice la prueba con DarkComet con mis 2 crypters favoritos, el Cogote y el NinFa, y el Avast y su Sandbox se la comieron doblada...

Mi Hosts:

0.0.0.0 vl.ff.avast.com
0.0.0.0 su.ff.avast.com


Bye

Re: Una Pregunta ya que somos los pioneros en el ......conti

Publicado: 25 May 2012, 07:51
por Franbv
ok ahora como haces para saltar la proteccion xD ya que eso lo instalaste con el avast desactivado ;) estaba testeando y esta buena la opcion del sanbox que posee mas en el avast v7 el finde le echo un vistaso mas a fondo

Re: Una Pregunta ya que somos los pioneros en el ......conti

Publicado: 25 May 2012, 07:53
por SuC
Alguno habéis probado el método "DLL HIJACKING" ? Con esto, si no le pones install o startup al server, debería propasar la proactiva.. (Ojo, no lo he probado, es para ver si se le puede sacar "jugo" a esto..)


Aquí os dejo este PDF está en ingles: [Enlace externo eliminado para invitados]

Dll Hijacking con metasploit: [Enlace externo eliminado para invitados]

Varios ejemplos: [Enlace externo eliminado para invitados]


También os dejo un archivo host con más de 2500 lineas que puede servir: [Enlace externo eliminado para invitados] (Este lo saque de una pequeña botnet que andaba por ahí..)


Un saludo.

Re: Una Pregunta ya que somos los pioneros en el ......conti

Publicado: 25 May 2012, 08:46
por FroZenFeW
osnaraus pero antes de editar el fichero host te cargaba el archivo en sandbox, puesto que mis pruebas eran sin conexion.

suc seria una buena idea pero seria bueno primero encontrar el metodo para saltarlo sol editando el ejecutable

Re: Una Pregunta ya que somos los pioneros en el ......conti

Publicado: 25 May 2012, 10:38
por rudeboy1991
@osni
Perdistes el riñon. Ami tanto el 1 como el 2 me salta.

@metal No te puedo decir la version exacta, estoy en el movil, pero es la version free.
Y no sin autoinicios ni huevos, abri vb6 y simplemente compile un form vacio sin modificar nada no tiene nada de code y salta.



Y bloquear la conexion del host tambien lo veo dificil. Si es un archivo sin reputacion no va a dejar que lo ejecutemos para cambiar el host de todos modos.

Esta es la version.
Imagen

Re: Una Pregunta ya que somos los pioneros en el ......conti

Publicado: 25 May 2012, 15:51
por Metal_Kingdom
La Free no tiene sandbox (según dice la web), por eso me puse la Pro..

Entonces lo que usan ambas es el sistema de reputación (nada que ver con la sandbox), cuando pueda la pongo y hago pruebas a ver qué pasa con ese zorrón de av.

Re: Una Pregunta ya que somos los pioneros en el ......conti

Publicado: 25 May 2012, 15:54
por osnaraus
A ver, por momentos parecemos locos hablando, ya que no podemos llevar un hilo en comun...
Por ahora sigamos con el Avast:

Lo que me ha quedado claro (por ahora) :
1) La Version Pro no detecta "software personal limpio" (lease MsgBox de vb6)
(Comprobado por Metal y por mi)

2) Cada vez que se ejecuta un .exe (o se navega dentro de una carpeta que lo contiene) el avast envia "cierta informacion" hacia el exterior (las url estan en un comment mio mas arriba)

Ahora no me queda claro muchos puntos...

* Cuando uno descarga la Version Free de Avast de la Página Oficial, claramente dice que NO tiene el servicio de ejecucion de archivos en una sandbox... entonces la deteccion que sufre rudeboy no es debido a la sandbox de Avast (despues descargo la version free y pruebo)

* Ya sé que no es sencillo modificar el archivo hosts, y mucho menos si está la UAC activa, pero agregandole un .manifest (runasAdmin) se puede . SIII, y ya se que antes de cambiar el hosts se va a ejecutar en la sandbox.... pero se podria tener un exe "aparte" para dicho menester.

Sigamos con las pruebas, a algo vamos a llegar