Resultados 1 al 8 de 8

Tema: me detecta mi troyano como encubridor

  1. #1 me detecta mi troyano como encubridor 
    Iniciado
    Fecha de ingreso
    Jan 2009
    Mensajes
    47
    Descargas
    2
    Uploads
    0
    cree un troyano en vb el cual se copia automaticamente en la carpeta del sistema y en el registro,para hacer la prueba me infecte yo mismo pero a inicializar la pc me salta el antivirus diciendo que ha detectado un encubridor asi que borre partes de codigo para probrar y ver cual es larutina que me delataba,pero nada seguia detectandome.

    entonces cree un nuevo proyecto y simplemente le agrege un control winsock y un for y lo hice ejecutable lo pegue en la carpeta system32 y que arrancara al inicio y aun asi sigue detectandolo pero no se por que si no tiene practicamente nada de codigo ¿?
    Última edición por pato21; 18-03-2009 a las 20:58
    Citar  
     

  2. #2  
    Iniciado
    Fecha de ingreso
    Jan 2009
    Mensajes
    5
    Descargas
    1
    Uploads
    0
    yo no se que es eso del encubridor y no se si es bueno

    yo cuando empecé con mi poison y el bifrost los acia casi indetectables con alluda del signature 0 que buscaba firmas que aun no los detectara mi nod 32 y asi poder usarlo en otros ordenadores

    lo malo que conseguirlo es algo j o d i d o y cuesta un poco po merece la pena

    ota manera era con el temida o algo asi que nunca llegue a entender po que dicen que va mu bien

    mi consejo es que busques un tuto del signature 0

    te digo que ami me fue mu bien y le gracias a mi poison chingue a mi pofesor =) XP

    yo te recomiendo que uses el troyano que uses (que no se cual usas) sea de conexion inversa como el poison que te ira mejor pa lo que quieras gggg xp
    Citar  
     

  3. #3  
    Moderador HH
    Fecha de ingreso
    Nov 2006
    Mensajes
    1.516
    Descargas
    7
    Uploads
    0
    Cita Iniciado por CAMIbmx Ver mensaje
    ota manera era con el temida o algo asi que nunca llegue a entender po que dicen que va mu bien
    Actualmente empaquetar un programa con el Themida es asi como "pintarlo de rojo" y ponerle un cartelito que diga: VIRUS!



    El consejo que te doy es que no uses tutoriales que haya en internet para copiar el programa en la carpeta del sistema, ya que todos los antivirus detectan estos intentos, y que no utilices una API demasiado comun para copiarlos.
    Siempre puedes hacer que se copie mediante codigo BATCH incluido en tu troyano en VB y haciendo que no detecte la copia como algo dañino.


    Un saludo
    Mess with the best, die like the rest.


    Hazle a los demas... antes de que te hagan a ti.
    Citar  
     

  4. #4  
    Moderador Global Avatar de hystd
    Fecha de ingreso
    Jul 2005
    Ubicación
    1, 11, 21, 1211...
    Mensajes
    1.596
    Descargas
    58
    Uploads
    0
    Preguntate por qué lo detecta... Sólo así encontrarás e investigarás como hacerlo indetectable (por lo menos al principio).

    ¿Crees que hay un superprograma para ocultar tu troyano y que las empresas antivirus no lo saben? pensemos un poquito por favor...

    Analiza e innova... Piensa que hay dos tipos de análisis: de binarios y de procesos. El primero analiza el binario (.exe, .dll, etc...) en cuestión y el segundo analiza código almacenado en RAM. Para el primero puedes acudir a la criptografía, y para el segundo al polimorfismo. Hay múltiples formas de realizar cada uno de ellos. De la mismo modo, no sólo existe el polimorfismo y la criptografía para ocultar un proceso... existen otras filosofías como por ejemplo, acceder al espacio de memoria de un proceso fiable y modificarlo con el código que se desea, y un largo etc...

    Un saludo.
    El optimista tiene ideas, el pesimista... excusas

    Citar  
     

  5. #5  
    Iniciado
    Fecha de ingreso
    Jan 2009
    Mensajes
    47
    Descargas
    2
    Uploads
    0
    muchas gracias por sus respuestas pero me han dicho que es por que uso scripts en mi troyano y eso hace mas facil que el av lo detecte es verdad
    Citar  
     

  6. #6  
    Moderador Global Avatar de hystd
    Fecha de ingreso
    Jul 2005
    Ubicación
    1, 11, 21, 1211...
    Mensajes
    1.596
    Descargas
    58
    Uploads
    0
    Hombre si usas rutinas en tu troyano, que ya son conocidas por los antivirus, es lógico que salte la alarma.

    En tal caso, puedes modularizar tu troyano y hacerlo en ficheros independientes, de forma que el fichero principal sea un simple "Downloader" que vaya descargando de un servidor (FTP por ejemplo), cada uno de esos ficheros y posteriormente irlos cargando en memoria.


    Un saludo.
    El optimista tiene ideas, el pesimista... excusas

    Citar  
     

  7. #7  
    Iniciado
    Fecha de ingreso
    Jan 2009
    Mensajes
    47
    Descargas
    2
    Uploads
    0
    para hacer la prueba me infecte yo mismo pero a inicializar la pc me salta el antivirus diciendo que ha detectado un encubridor asi que borre partes de codigo para probrar y ver cual es larutina que me delataba,pero nada seguia detectandome.

    entonces cree un nuevo proyecto y simplemente le agrege un control winsock y un for y lo hice ejecutable lo pegue en la carpeta system32 y que arrancara al inicio y aun asi sigue detectandolo pero no se por que si no tiene practicamente nada de codigo ¿?
    Citar  
     

  8. #8  
    Moderador Global Avatar de hystd
    Fecha de ingreso
    Jul 2005
    Ubicación
    1, 11, 21, 1211...
    Mensajes
    1.596
    Descargas
    58
    Uploads
    0
    tal vez tu antivirus/firewall, (observa cuando digo "firewall"), salte porque estás intentando establecer una conexión a un puerto sospechoso/no estandar, ya sea como cliente o servidor.

    La solución para que no salte cuando se realiza una conexión es utilizar un puerto conocido (si es como servidor, por ejemplo el 80), e inyectar el código en el hilo de ejecución del proceso que utilice ese puerto.

    Por ejemplo, un troyano instalado como cliente, podría inyectar su código en el hilo de ejecución de un proceso que sabemos que posee permisos de conexión en el firewall, por ejemplo iexplore.exe.

    Un saludo.
    El optimista tiene ideas, el pesimista... excusas

    Citar  
     

Temas similares

  1. Respuestas: 0
    Último mensaje: 12-02-2015, 21:05
  2. como crear un troyano i como usarlo
    Por denis26957 en el foro MALWARE
    Respuestas: 7
    Último mensaje: 03-09-2009, 15:52
  3. Avast detecta programa como virus sin ser virus
    Por tamaroque en el foro APLICACIONES
    Respuestas: 2
    Último mensaje: 07-01-2009, 21:27
  4. como usar el MSN TROYANO 2.0
    Por isaacgg83 en el foro INGENIERIA INVERSA
    Respuestas: 13
    Último mensaje: 11-07-2002, 19:48

Marcadores

Marcadores

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •