Indetectables

saludos mi pregunta es esta como saber que el crypter o herramienta se dirige a un servidor no-ip osea que el crypter se conecte al no-ip de aLGUIEN que no sea la tu ya como hago para descubrirlo ya que tengos unas dudas

lo que yo ago siempre cuando uso algun tool que ne es echo pormi...
tengo instalado Virtual PC, con eso puedes cryptar los trojaners tranquilamente
espero que entendiste lo que te quiero desir ^^,
mi espanol es muy malo sry

lo del virtual pc si lo se fiewall servira para detectar la conexion ya ... es como ver saber el no-ip a la que se dirige y banearla ej: se conecTA A ccccccasd.no-ip.org

Un consejo agranda la firma que no se ve


Una respuesta : Busca en el foro mas precisamente en manuales y tutoriales esta lo que busca !

Lo puedes analisar con Anubis: [Enlace externo eliminado para invitados]


Aquí te dejo un ejemplo de uno stub infectado:

Verlo en HTML
[Enlace externo eliminado para invitados]

Verlo en PDF
[Enlace externo eliminado para invitados]


Al princio del análisis te dan las descripciones:

Ingles escribió: Description

Autostart capabilities: This executable registers processes to be executed at system start. This could result in unwanted actions to be performed automatically.

Performs File Modification and Destruction: The executable modifies and destructs files which are not temporary.

Performs Registry Activities: The executable reads and modifies register values. It also creates and monitors register keys.

Español escribió: Descripción

Capacidades del autoejecución: El ejecutable modifica el regristro para que algunos procesos se ejecuten en el comienzo del sistema. Esto podía dar lugar a las acciones indeseadas que se realizarán automaticamente.

Realiza la modificación y la destrucción del archivo: El ejecutable modifica y destruye archivos que no son temporales.

Realiza actividades del registro: El ejecutable lee y modifica valores del registro. También crea y controla las claves de registro.

Nos enfocaremos en las 2 primeras descrypciones.

Para verificar la descripción "Autostart capabilities" (Capacidades del autoejecución) ve a estar parte "2.a) Stub.exe - Registry Activities" y despues a "- Registry Keys Created" Ahy podras ver que el ejecutable creo 2 llaves de regritro que son las siguientes:

HKLM\?SOFTWARE\?MICROSOFT\?WINDOWS\?CURRENTVERSION\?policies\?explorer
HKLM\?SOFTWARE\?MICROSOFT\?WINDOWS\?CURRENTVERSION\?policies\?explorer\?run

Esto nos indica que ejecutable a creado 2 llaves de registro para la autoejecución de unos archivos creador por el mismo.

Para verificar la descripción "Performs File Modification and Destruction" ve a estar parte "2.b) Stub.exe - File Activities" y despues a "- Files Created:" veras que el ejecutable creo los siguientes archivos:

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\uptodate.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DF2AD4.tmp
C:\Documents and Settings\Administrator\Application Data\FlashSDK.exe
C:\Program Files\JavaSDK.exe

Esto nos indeca que el ejecutable a creado 1 archivo .tmp y 3 .exe los cuales pueden se autoejecutar al inicio del sistema por las llaves creadas en el registro.


FIN

BUENO ESPERO QUE TE SEA DE AYUDA, LO EXPLIQUE LO MEJOR QUE PUDE, NO TE LO PUEDO EXPLICAR MEJOR PORQUE TODAVIA NO SOY MUY BUENO ANALISANDO ARCHIVOS.

SALUDOS

Ortek escribió:Lo puedes analisar con Anubis: [Enlace externo eliminado para invitados]


Aquí te dejo un ejemplo de uno stub infectado:

Verlo en HTML
[Enlace externo eliminado para invitados]

Verlo en PDF
[Enlace externo eliminado para invitados]


Al princio del análisis te dan las descripciones:

Ingles escribió: Description

Autostart capabilities: This executable registers processes to be executed at system start. This could result in unwanted actions to be performed automatically.

Performs File Modification and Destruction: The executable modifies and destructs files which are not temporary.

Performs Registry Activities: The executable reads and modifies register values. It also creates and monitors register keys.

Español escribió: Descripción

Capacidades del autoejecución: El ejecutable modifica el regristro para que algunos procesos se ejecuten en el comienzo del sistema. Esto podía dar lugar a las acciones indeseadas que se realizarán automaticamente.

Realiza la modificación y la destrucción del archivo: El ejecutable modifica y destruye archivos que no son temporales.

Realiza actividades del registro: El ejecutable lee y modifica valores del registro. También crea y controla las claves de registro.

Nos enfocaremos en las 2 primeras descrypciones.

Para verificar la descripción "Autostart capabilities" (Capacidades del autoejecución) ve a estar parte "2.a) Stub.exe - Registry Activities" y despues a "- Registry Keys Created" Ahy podras ver que el ejecutable creo 2 llaves de regritro que son las siguientes:

HKLM\?SOFTWARE\?MICROSOFT\?WINDOWS\?CURRENTVERSION\?policies\?explorer
HKLM\?SOFTWARE\?MICROSOFT\?WINDOWS\?CURRENTVERSION\?policies\?explorer\?run

Esto nos indica que ejecutable a creado 2 llaves de registro para la autoejecución en las direcciones anteriores.


Para verificar la descripción "Performs File Modification and Destruction" ve a estar parte "2.b) Stub.exe - File Activities" y despues a "- Files Created:" veras que el ejecutable creo los siguientes archivos:

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\uptodate.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DF2AD4.tmp
C:\Documents and Settings\Administrator\Application Data\FlashSDK.exe
C:\Program Files\JavaSDK.exe

Esto nos indeca que el ejecutable a creado 1 archivo .tmp y 3 .exe los cuales pueden se autoejecutados al inicio del sistema por las llaves creadas en el registro.


FIN

BUENO ESPERO QUE TE SEA DE AYUDA, LO EXPLIQUE LO MEJOR QUE PUDE, NO TE LO PUEDO EXPLICAR MEJOR PORQUE TODAVIA NO SOY MUY BUENO ANALISANDO ARCHIVOS.

SALUDOS

buena explicasion esto es para ver si esta contaminado pero como no se con un editor de hex etc.. saber o ver al no-ip o dyndns que se conectAA para banearlo para que QUEde claro ej
bajmos dicho crypter no lo ves infectado al encrptar se conecta a 2 servidores mi no-ip y la del otro user las conexiones llegan a los dos pc [/size] eso es loque quiero saber aprender

ahh perdon por la letra grande un error disculpen por eso no quiero dar entender de que estoy gritando o algo asi cuando pueda lo corijo

MIssing creo que intendi a lo que te fieres, recuerdo aver visto un manual sobre eso, si lo vi deja lo busco y te lo paso.

Saludos

Ortek escribió:MIssing creo que intendi a lo que te fieres, recuerdo aver visto un manual sobre eso, si lo vi deja lo busco y te lo paso.

Saludos

key broth... mientras busca a he encontrado alg de help esperare tu manual y otra ayuda salu2!

MIssing ya encontre la manera se saber lo que dices, deja hago un pequeño manual y telo paso


Saludos

Ortek escribió:MIssing ya encontre la manera se saber lo que dices, deja hago un pequeño manual y telo paso


Saludos

uff ..viejo gracias de ante mano ... te agrego al msn me lo pasas por ahi xD! salu2!

MIssing agregame al msn mi msn esta en mi perfil, mañana termino el manual es que ahorita estoy ocupado.


Saludos

/offtopic:
Missing, ¿porqué el título del thread parecía un circo? esto no es el messenger. la próxima te borro el thread sin avisar.-

okey verbal lo tomare en cuenta salu2!