Diferenciar Crypter RUNTIME de SCANTIME
Publicado: 03 Oct 2009, 22:42
Disculpen los mas avanzados... Pero aunque esto parezca de "Jardín de infantes" veo que nos llenamos de chicos que recién empiezan y esto no lo saben... y no hay por ningún lado, algún ejemplo válido de como diferenciarlos...
Podría aburrirlos mostrándoles diferencias desde un editor hexadecimal... Pero aquí "la única verdad es la realidad..." y si troyanos encryptamos... Con un troyano se los voy a demostrar...
Herramientas: En realidad se trata del Poison Ivy V2.20 y un server que conecta al Localhost (elegi esta vieja versión del Poison porque es muy simple, y fácil de encontrar sus server...) Tambien se los doy todo masticado para que nadie diga a mi no me conecta.... No necesitan configurar nada, ni abrir puertos, ni nada... Solo desconectar el AV....
Descarga: [Enlace externo eliminado para invitados]
1°) abren el cliente y no toquen nada...
2°) le dan 2 click a el server (PRUEBA.EXE) y se van a fijar como se instalo en el directorio de Windows...(es fácil de buscarlo, le puse de nombre 0_PRUEBA_0.EXE para que aparezca en los primeros lugares...)
En realidad es así de simple... viendo la diferencia de peso entre el server encryptado y el instalado, podemos darnos cuenta si estamos en presencia de un crypter SCANTIME O RUNTIME...
3°) por ultimo botón derecho del mouse sobre la conexion del cliente y le damos Unistall... Para desinstalar el server (y terminar de estar autoinfectados).... y aquí no ha pasado nada...
Saludos
Podría aburrirlos mostrándoles diferencias desde un editor hexadecimal... Pero aquí "la única verdad es la realidad..." y si troyanos encryptamos... Con un troyano se los voy a demostrar...
Herramientas: En realidad se trata del Poison Ivy V2.20 y un server que conecta al Localhost (elegi esta vieja versión del Poison porque es muy simple, y fácil de encontrar sus server...) Tambien se los doy todo masticado para que nadie diga a mi no me conecta.... No necesitan configurar nada, ni abrir puertos, ni nada... Solo desconectar el AV....
Descarga: [Enlace externo eliminado para invitados]
1°) abren el cliente y no toquen nada...
2°) le dan 2 click a el server (PRUEBA.EXE) y se van a fijar como se instalo en el directorio de Windows...(es fácil de buscarlo, le puse de nombre 0_PRUEBA_0.EXE para que aparezca en los primeros lugares...)
En realidad es así de simple... viendo la diferencia de peso entre el server encryptado y el instalado, podemos darnos cuenta si estamos en presencia de un crypter SCANTIME O RUNTIME...
3°) por ultimo botón derecho del mouse sobre la conexion del cliente y le damos Unistall... Para desinstalar el server (y terminar de estar autoinfectados).... y aquí no ha pasado nada...
Saludos