Rdesktop

[ivan16]

an oido hablar de el?

Es un troyano q se usa para entrar a la pc de otra persona, esta compuesto por 2 partes " eso creo " , servidor y cliente, como la mayoria sabe, el servidor se manda y el cliente es el q se instala en nuestra pc.

Mi problema es el siguiente, como mando el cliente, sin que la persona se de cuenta?, normalmente lo quiero mandar por via E-Mail "msn-messenger" ,por medio de un correo, pero cada vez q lo mando, el msn lo detecta como una amenaza, como ago para q no lo detecte como una amensa??

Salu2

[morza2]

Los antivirus reconocen un troyano (o un virus) por el método de firmas.
Esto es, una cadena de bytes especifica dentro del ejecutable o virus; que cada vez que tu antivirus analice y encuentre esa cadena exacta de bytes, zacate!, ALERTA, VIRUS DETECTADO.
Cuando actualizas tu antivirus, lo que haces es descargar esas firmas de nuevos programas o troyanos o virus, ya que si un virus NO esta analizado por los laboratorios tampoco va a ser detectado. (excepto por métodos heurísticos)
¿Y que hacemos para ocultar un troyano?
Obvio: Cambiamos esa firma que hace detectable al mismo.
¿Y como?
Buscando la firma, reduciendo el espacio de búsqueda donde el AV nos identifica la cadena de bytes que tiene catalogada, y cambiando esos bytes hasta lograr que no detecte nada.
¿Es posible?
Si, y de hecho es lo que se llama "modificar" un gusano o un bicho de estos famosos, para volver a ponerlos en circulacion.
¿Puedo hacerlo en mi casa con mi PC?
Si, usando un método meticuloso, lleno de paciencia y con un poco de conocimiento en ASM. (un poco dije)
Yo creo que debes buscar algún articulo por la web, ya que el tema es complejo y hoy no basta con usar un BINDER o camuflar un virus para lograrlo, y de hecho, la palabra indetectable es muy relativa, ya que habiendo tantos AV en el mercado, se hace muy difícil esta misión.
Si lo que buscas es un programita que lo haga todo fácil...yo al menos no lo conozco.
Probé con muchos, pero ninguno sirve, lo único que me funciono fue cambiar la firma que detectaba el AV...y sorpresa, puedes actualizar un troyano para ponerlo en circulacion nuevamente como si nunca hubiera sido analizado por un laboratorio de AV.
Suena lindo, pero busca en Google: METODO RIT, destapar offset maliciosos, etc...
salu2

[ivan16]

osea q para q no sea detectable tengo q cambiarle esa tal firma del troyano, reduciendo el espacio de búsqueda donde el AV nos identifica la cadena de bytes que tiene catalogada, y cambiando esos bytes hasta lograr que no detecte nada.
esta es mi duda,
q es el AV y bytes? + infromacion plzzz

[morza2]

Perdon...
AV= Anti Virus
Bytes= Ya sabes lo que son los Bytes, lo que sucede es que un programa obedece a un conjunto de instrucciones que se ejecutan y realizan acciones, pero en ultima instancia todo esto esta compuesto por bytes.
Deberias bajarte un editor Hexadecimal, que sirve para abrir, ver y editar un archivo a nivel de bytes.(pruebalo) Podrias editar todo tu disco duro con un edtor Hexadecimal.
Cadena de Bytes=E8D5 FFFF ECF6 etc...Esto no significa nada para ti o para mi, pero asi puedes ver y editar un archivo cualquiera de manera muy precisa.
Entonces supongamos que abres un nuevo VIRUS llamado CUCO con el editor HEXA, y ves que el VIRUS en realidad esta compuesto simplemente por esta linea de Bytes:

PEPA FFFF AH67 AAAA MAMA E8D5 FFFF ECF6

Lo que hace una compañia de AV normalmente cuando descubre un nuevo VIRUS es tomar una muestra, una parte que sea CARACTERISTICA y UNICA del VIRUS, y esa pequeña parte pasa a ser la "FIRMA" de este VIRUS, que luego sera enviada a todos los clientes para que estén actualizados...Entonces, cuando tu AV analiza tu disco, ahora lo que hace es buscar dentros de los "bytes" de tus archivos y compararlos con sus firmas o muestras que posee en su Base de datos...Si encuentra una coincidencia: virus detectado!!!...
Digamos que del VIRUS CUCO, la FIRMA elegida por NORTON es la cadena MAMA. (es un ejemplo XD)
Entonces, ¿Como hacemos para que el VIRUS deje de ser detectado? Obvio, reemplazamos los bytes MAMA por otros, usando un editor Hexadecimal...¿Como?...abrimos el archivo exe, buscamos la cadena MAMA, la borramos y le escribimos MATA en su lugar.
Lo guardamos y listo...el AV jamas podrá detectarlo, ya que no encuentra la cadena MAMA dentro del archivo.

¿Como harias para descubrir la FIRMA del AV?
DIVIDIENDO los bytes de manera progresiva y descartando la parte sana:

Hagamos de cuenta que no sabemos que la cadena "MAMA" es la FIRMA del VIRUS CUCO.
-Tomas la primera parte de la cadena de Bytes del VIRUS CUCO y la rellenas con ceros quedaria esto:
0000 0000 0000 0000 MAMA E8D5 FFFF ECF6
Ejecuta el AV...pero este sigue detectando al VIRUS CUCO, porque la cadena MAMA es reconocida por el.
-Toma ahora la cadena y reemplaza la segunda parte con ceros:
PEPA FFFF AH67 AAAA 0000 0000 0000 0000
Ejecuta el AV, y esta vez no canta, porque hicimos desaparecer la FIRMA (MAMA)
-Tomas esa segunda parte y reemplazas con ceros esa nueva mitad:
MAMA E8D5 0000 0000
El antivirus seguira cantando...
-Tomas ahora la primera parte, y reemplaza con ceros la nueva mitad:
MAMA 0000
Sigue cantando el AV.
Ahora sabes con seguridad que la cadena de bytes MAMA es la FIRMA del AV que habra que modificar para que no lo detecte nunca mas...Esto se aplica a un Troyano o archivo mailicioso...

PROBLEMAS:
La realidad...
1- Un ejecutable pequeño está formado por varios millones de bytes...nada facil de encontrar la firma que NORTON a elegido en ese mar de bytes.
2- No se pueden cambiar bytes porque si, ni por cualquier cadena a tu gusto, porque puede que no funcione mas el ejecutable.Por eso se usa el Metodo RIT, por ejemplo, para "mover" parte del codigo del programa a otro lugar sin romper su logica...busca...
3- Verdaderas ganas y tiempo invertidos en esto...

Perdon por las aberraciones recien descritas, pero es mi forma de hacerme entender, y encima escribiendo rapido.
Se perfectamente que esto no es util, a menos que lo hagamos con un ejemplo real, pero supongo que ya tendremos la ocasion en otro momento.
Mi idea es mostrar que si fuera facil conseguir un troyano activo, nadie tendria que aprender nada nuevo ni complicarse la vida...pero no es el caso.
salu2

[ivan16]

AAAAAAAAAAH OOOK, bueno, ya me kdo muy claro q es el AV y los bytes, esto fue lo q entendi.

Necesito un editor Hexadecimal para poder cambiar los bytes q estan adentro del virus o troyano, tengo q cambiar el bytes q a seleccionado el AV.
haora este es mi pregunta:

tu me dijistes q hay q cambiar solo el q a q legido el AV, de millones de bytes q hay en el virus, no puedo cambiar todos los bytes del virus o troyano?, q sucederia, se daña el programa?

Donde bajo el editor hexadecimal?

ah si, y , Muchisimas gracias por tu ayuda

[morza2]

no!, es que los bytes SON DIRECTAMENTE el programa/troyano, si cambias un solo byte aleatoriamente, simplemente estas corriendo el riesgo de que no funcione...y si cambias todo, simplemente destruyes totalmente al programa. (ya te dije que leas sobre el metodo RIT)
No dije que fuera facil...solo te doy una idea...pero si tu objetivo es solo joder al otro o jugar con un troyano, simplemente estas perdido, porque sin ganas de aprender no vas a querer meter las manos en el barro con algo como esto.
Editores hay muchos, como el HEXWORKSHOP...busca en google...
suerte

[ivan16]

Gracias ya puede mandar el programa por htomail sin ser detectable , muchichichichisisisisismas gracias