Página 1 de 1
Como dejar stub indetectable al NOD32 sin modificar el Avira
Publicado: 13 Ago 2009, 05:23
por masternico
Hola a todos !!!
Bueno desde hace unos días empecé a modificar el stub de un crypter "el crypter que trato de modificar es el Kaka Crypter by Logan"...
Bueno primero el stub detectable por 18/22 Antivirus d, Lo pude dejar a 3/22 como muestra la imágen de abajo...
Bueno el A-squared estoy tratando de saltarlo y como es la mima firma de Ikarus también,
Pero se me complicó en el tema del AVIRA Y NOD32, aunque lo pude dejar indetectable para el NOD32 ME PASA LO SIGUIENTE:
En el offset 320 es donde se me complica ya que dejandolo como estaba con el valor " C4 "
queda indetectable al NOD32 pero el AVIRA lo detecta:
OK, pero resulta que si modifico ese valor " C4 " por cualquier valor como por ejemplo " 0E "
me queda indetectable al AVIRA pero ahora el NOD32 me lo detecta:
y las demás firmas, por más que modifique y modifique cualquier offsets el NOD32 me lo sigue detectando
¿Como puedo hacer para que me quede indetectable para los 2 AV, el AVIRA y el NOD32 ?
Desde ya muchas gracias a todos y ojalá me puedan ayudar
NOTA: Primero con el Stub Original con 18/22 detecciones de AV, utilicé el metodo del ENTRYPOINT y lo pude dejar a 9/22 AV, luego para reducirlo a 3/22 AV utilicé el Método Hex, lo cuál para A-squared intentaré con éste metodo saltarlo también, pero solo el prblema es el NOD32 vs AVIRA
Gracias de antemano
salu2
Re: Como dejar stub indetectable al NOD32 sin modificar el Avira
Publicado: 13 Ago 2009, 07:43
por blakhacker
Al Avira es muy dificil solo algunos tenemos un metodo y por lo general lo inventamos nosotros mismos pero no te preocupes el avira es poco usado si quieres otro metodo para hacer indetectable avisa
Re: Como dejar stub indetectable al NOD32 sin modificar el Avira
Publicado: 13 Ago 2009, 11:50
por deck
con eso te cargas el stub ya lo probao yo
Re: Como dejar stub indetectable al NOD32 sin modificar el Avira
Publicado: 13 Ago 2009, 13:53
por xZiriuZx
blakhacker escribió:Al Avira es muy dificil solo algunos tenemos un metodo y por lo general lo inventamos nosotros mismos pero no te preocupes el avira es poco usado si quieres otro metodo para hacer indetectable avisa
si tienes un metodo publicalo y eso de que el avira casi nadie lo usa es mentira hoy en dia avira es uno de los mas usados compañero lo mejor es q buskes los videos de DEMONIOVIP666 y aprendas
Re: Como dejar stub indetectable al NOD32 sin modificar el Avira
Publicado: 13 Ago 2009, 14:03
por deck
este metodo es muy bueno probarlo :)
Re: Como dejar stub indetectable al NOD32 sin modificar el Avira
Publicado: 13 Ago 2009, 17:22
por masternico
Ya intené con el método de demonio666vip de éste post:
viewtopic.php?f=8&t=11167
pero no me sirvió para el avira
Se podría hacer algún salto del offset 319 al 323 por ejemplo sin que tenga que pasar por el 320 que es el me los detectan el NOD32 y el AVIRA !!!
o algo asi nose
salu2
Re: Como dejar stub indetectable al NOD32 sin modificar el Avira
Publicado: 13 Ago 2009, 17:27
por deck
master el offset 320 quita nod pero no avira avira es mu complicao
Re: Como dejar stub indetectable al NOD32 sin modificar el Avira
Publicado: 13 Ago 2009, 18:22
por masternico
deck escribió:master el offset 320 quita nod pero no avira avira es mu complicao
Si ya se me tendré que quedar con uno o con otro, y ya que la mayoria tiene más el NOD32 que el avira elijo quitarle el NOD32, que lastima yo pensé que NOD32 no era tan complicado como el AVIRA
Pero bueno de todos modos gracias deck y a los demás por comentar !!!
salu2
Re: Como dejar stub indetectable al NOD32 sin modificar el Avira
Publicado: 13 Ago 2009, 18:29
por deck
usa el 0E q es el q suele quitarselo
Re: Como dejar stub indetectable al NOD32 sin modificar el Avira
Publicado: 13 Ago 2009, 18:37
por p0is0n-123
si saltas avira y no rompe aparece una nueva firma de nod es muy facil, sacas nod otra vez y punto
Re: Como dejar stub indetectable al NOD32 sin modificar el Avira
Publicado: 13 Ago 2009, 18:38
por deck
bueno aki os dejo como lo deja solo poniendo 0E
Antes:
File Info
Report generated: 13.8.2009 at 19.37.51 (GMT 1)
Filename: Stub.exe
File size: 72 KB
MD5 Hash: 62accfe530f3ea805b379b4617847a55
SHA1 Hash: B4E78E2C9784A7853031E01B8F2A8F94B0A6C544
Self-Extract Archive: Nothing found
Binder Detector: Nothing found
Detection rate: 17 on 22
Detections
a-squared - Backdoor.Win32.Bifrose!IK
Avira AntiVir - BDS/Bifrose.ausz
Avast - Win32:Trojan-gen {Other}
AVG - BackDoor.Generic11.JCI
BitDefender - Backdoor.Generic.202841
ClamAV - -
Comodo - Backdoor.Win32.Bifrose.ausz
Dr.Web - BackDoor.Bifrost.8
Ewido - -
F-PROT6 - W32/Backdoor2.EYAX
Ikarus T3 - Backdoor.Win32.Bifrose
Kaspersky - Backdoor.Win32.Bifrose.ausz
McAfee - Generic VB.az trojan
NOD32 v3 - Win32/Bifrose
Norman - Backdoor W32/Smalldoor.DXZQ
Panda - -
QuickHeal - Backdoor.Bifrose.avul
Solo Antivirus - -
Sophos - Mal/Generic-E
TrendMicro - -
VBA32 - Backdoor.Win32.Bifrose.ausz
VirusBuster - Backdoor.Bifrose.AAHZ
Scan report generated by
[Enlace externo eliminado para invitados]
Despues:
File Info
Report generated: 13.8.2009 at 19.33.12 (GMT 1)
Filename: prueba.exe
File size: 72 KB
MD5 Hash: 5f96f1b9f94c107000c62effe6822fab
SHA1 Hash: C2FAF039DE2D8ADBD07CA76D43FCF2953A42CAA4
Self-Extract Archive: Nothing found
Binder Detector: Nothing found
Detection rate: 12 on 22
Detections
a-squared - Backdoor.Win32.Bifrose!IK
Avira AntiVir - -
Avast - -
AVG - BackDoor.Generic11.JCI
BitDefender - -
ClamAV - -
Comodo - -
Dr.Web - BackDoor.Bifrost.8
Ewido - -
F-PROT6 - W32/Backdoor2.EYAX
Ikarus T3 - Backdoor.Win32.Bifrose
Kaspersky - Backdoor.Win32.Bifrose.ausz
McAfee - Generic VB.az trojan
NOD32 v3 - -
Norman - Backdoor W32/Smalldoor.DXZQ
Panda - -
QuickHeal - Backdoor.Bifrose.avul
Solo Antivirus - -
Sophos - Mal/Generic-E
TrendMicro - -
VBA32 - Backdoor.Win32.Bifrose.ausz
VirusBuster - Backdoor.Bifrose.AAHZ
Scan report generated by
[Enlace externo eliminado para invitados]
Re: Como dejar stub indetectable al NOD32 sin modificar el Avira
Publicado: 13 Ago 2009, 23:23
por fexx
segun tengo entendido yo al mover el entry point salta avira no saltees el entry point o saltara avira... ahora si sigue saltando nose
jaj saludos
Re: Como dejar stub indetectable al NOD32 sin modificar el Avira
Publicado: 14 Ago 2009, 01:23
por masternico
poison-123 escribió:si saltas avira y no rompe aparece una nueva firma de nod es muy facil, sacas nod otra vez y punto
mmmm La idea no esta nada mal, lo voy a probar sacando en bloques de a 1 y ya si eso no sirve, entonces no sirve nada
Gracias poison-123 lo intentaré a ver que tal me va
EDITO: Lo hice y no funcionó, me dejó varios offsets indetectables pero todos al ejecutarlos dicen "NO ENVIAR" y por lo tanto si modifico el stub con esos offsets seguro se rompe
Salu2
Re: Como dejar stub indetectable al NOD32 sin modificar el Avira
Publicado: 14 Ago 2009, 16:36
por p0is0n-123
te recomiendo RIT
sabes lo que es el metodo rit no?,pues en caso de no saberlo en el foro hay ,miles de tutoriales sobre el.Seguramente salga la frima con rit o hagas cosas mal ahora nose pero a mi nod con rit no me da problemas
Re: Como dejar stub indetectable al NOD32 sin modificar el Avira
Publicado: 14 Ago 2009, 19:08
por masternico
poison-123 escribió:te recomiendo RIT
sabes lo que es el metodo rit no?,pues en caso de no saberlo en el foro hay ,miles de tutoriales sobre el.Seguramente salga la frima con rit o hagas cosas mal ahora nose pero a mi nod con rit no me da problemas
OK perfecto, Si escuche escuchar hablar del método RIT pero no lo ví detalladamente todavia ni nunca todavía lo puse en práctica, pero bueno voy a ver si me pongo a ver como es
Muchas gracias poison-123 por todo , un abrazo grande amigo y vamos a ver que tal me va jeje, ojalá lo pueda saltar al NOD32
salu2
