PDA

Ver la versión completa : me detecta mi troyano como encubridor



pato21
11-03-2009, 21:09
cree un troyano en vb el cual se copia automaticamente en la carpeta del sistema y en el registro,para hacer la prueba me infecte yo mismo pero a inicializar la pc me salta el antivirus diciendo que ha detectado un encubridor asi que borre partes de codigo para probrar y ver cual es larutina que me delataba,pero nada seguia detectandome.

entonces cree un nuevo proyecto y simplemente le agrege un control winsock y un for y lo hice ejecutable lo pegue en la carpeta system32 y que arrancara al inicio y aun asi sigue detectandolo pero no se por que si no tiene practicamente nada de codigo ¿?

CAMIbmx
12-03-2009, 17:54
yo no se que es eso del encubridor y no se si es bueno

yo cuando empecé con mi poison y el bifrost los acia casi indetectables con alluda del signature 0 que buscaba firmas que aun no los detectara mi nod 32 y asi poder usarlo en otros ordenadores

lo malo que conseguirlo es algo j o d i d o y cuesta un poco po merece la pena

ota manera era con el temida o algo asi que nunca llegue a entender po que dicen que va mu bien

mi consejo es que busques un tuto del signature 0

te digo que ami me fue mu bien y le gracias a mi poison chingue a mi pofesor =) XP

yo te recomiendo que uses el troyano que uses (que no se cual usas) sea de conexion inversa como el poison que te ira mejor pa lo que quieras gggg xp

RaidMan
12-03-2009, 21:14
ota manera era con el temida o algo asi que nunca llegue a entender po que dicen que va mu bien

Actualmente empaquetar un programa con el Themida es asi como "pintarlo de rojo" y ponerle un cartelito que diga: VIRUS!



El consejo que te doy es que no uses tutoriales que haya en internet para copiar el programa en la carpeta del sistema, ya que todos los antivirus detectan estos intentos, y que no utilices una API demasiado comun para copiarlos.
Siempre puedes hacer que se copie mediante codigo BATCH incluido en tu troyano en VB y haciendo que no detecte la copia como algo dañino.


Un saludo

hystd
12-03-2009, 22:58
Preguntate por qué lo detecta... Sólo así encontrarás e investigarás como hacerlo indetectable (por lo menos al principio).

¿Crees que hay un superprograma para ocultar tu troyano y que las empresas antivirus no lo saben? pensemos un poquito por favor...

Analiza e innova... Piensa que hay dos tipos de análisis: de binarios y de procesos. El primero analiza el binario (.exe, .dll, etc...) en cuestión y el segundo analiza código almacenado en RAM. Para el primero puedes acudir a la criptografía, y para el segundo al polimorfismo. Hay múltiples formas de realizar cada uno de ellos. De la mismo modo, no sólo existe el polimorfismo y la criptografía para ocultar un proceso... existen otras filosofías como por ejemplo, acceder al espacio de memoria de un proceso fiable y modificarlo con el código que se desea, y un largo etc...

Un saludo.

pato21
13-03-2009, 07:44
muchas gracias por sus respuestas pero me han dicho que es por que uso scripts en mi troyano y eso hace mas facil que el av lo detecte es verdad

hystd
13-03-2009, 09:33
Hombre si usas rutinas en tu troyano, que ya son conocidas por los antivirus, es lógico que salte la alarma.

En tal caso, puedes modularizar tu troyano y hacerlo en ficheros independientes, de forma que el fichero principal sea un simple "Downloader" que vaya descargando de un servidor (FTP por ejemplo), cada uno de esos ficheros y posteriormente irlos cargando en memoria.


Un saludo.

pato21
18-03-2009, 21:58
para hacer la prueba me infecte yo mismo pero a inicializar la pc me salta el antivirus diciendo que ha detectado un encubridor asi que borre partes de codigo para probrar y ver cual es larutina que me delataba,pero nada seguia detectandome.

entonces cree un nuevo proyecto y simplemente le agrege un control winsock y un for y lo hice ejecutable lo pegue en la carpeta system32 y que arrancara al inicio y aun asi sigue detectandolo pero no se por que si no tiene practicamente nada de codigo ¿?

hystd
19-03-2009, 21:14
tal vez tu antivirus/firewall, (observa cuando digo "firewall"), salte porque estás intentando establecer una conexión a un puerto sospechoso/no estandar, ya sea como cliente o servidor.

La solución para que no salte cuando se realiza una conexión es utilizar un puerto conocido (si es como servidor, por ejemplo el 80), e inyectar el código en el hilo de ejecución del proceso que utilice ese puerto.

Por ejemplo, un troyano instalado como cliente, podría inyectar su código en el hilo de ejecución de un proceso que sabemos que posee permisos de conexión en el firewall, por ejemplo iexplore.exe.

Un saludo.