descraga JAJAJAJAJAJAJAJAJAJAJAJAJAAJAJA

edito: ya estoy prendiendo el xp que tenia el avast y les digo que version es la que me jode

edito nuevamente: [Enlace externo eliminado para invitados] esa es la version que me salta
Última edición por FroZenFeW el 25 May 2012, 04:58, editado 1 vez en total.
Imagen
en el msn ♣Conejo escribió:[26/03/11 10:39:13] Su firma contiene 281 caracteres. El máximo número de caracteres permitidos es 200.
menos mal que soy admin
Lo que me acabo de fijar es que absolutamente siempre que ejecutes cualquier fichero, realiza una conexión a algún servidor de avast, en mi caso lo hace a 195.39.12.117.
UDTools.net
GitHub: https://github.com/MetalUDT
Interesante propuesta, me apunto para aprender y aportar lo poco que se.
Metal_Kingdom escribió:Lo que me acabo de fijar es que absolutamente siempre que ejecutes cualquier fichero, realiza una conexión a algún servidor de avast, en mi caso lo hace a 195.39.12.117.
¿Algún puerto en específico?, si se capturan los datos se puede hacer una redirección para que siempre de buena reputación o simplemente bloquear la conexión.

Saludos!
We do what we must, because, we can-> [www.youtube.com/watch?v=Y6ljFaKRTrI]
Pasa a saludar: NeoDark-Labs.BlogSpot.mx
<<<<Proyectos en curso>>>>
[+]Restauración de SSDT
[+]Driver v3 - Ocultar drivers
[+]Anti-rootkit
(Variable)

Transmission Control Protocol, Src Port: ltp-deepspace (1113), Dst Port: http (80), Seq: 1, Ack: 1, Len: 0
UDTools.net
GitHub: https://github.com/MetalUDT
pero creo que ha bajado esa paranoia porque el programa que me saltaba ya no lo hace con esa version de avast :S
Imagen
en el msn ♣Conejo escribió:[26/03/11 10:39:13] Su firma contiene 281 caracteres. El máximo número de caracteres permitidos es 200.
menos mal que soy admin
@Metal, Recuerdo tambien que decian que las versiones free de avast son "mejores" que las empresariales (supongo son mas paranoicas las free), al igual decian de Avira, comprobado no tengo nada
tambien hablan mucho de la proactiva del avg que ami solo em salta a nivel localpero sin embargo tengo remotos a tutiplen con avg
Abolición para el torneo del toro de la vega. Death to the murderers of bulls.
joder ahora se hablo del tema y ningun av salta xDDDDD
Imagen
en el msn ♣Conejo escribió:[26/03/11 10:39:13] Su firma contiene 281 caracteres. El máximo número de caracteres permitidos es 200.
menos mal que soy admin
Estuve testeando el puto Avast en su version pro, y vi que conecta cada vez que se ejecuta un archivo y hasta cuando se abren carpetas. A donde ? Pues a mi me ha conectado alternativamente a
1) vl.ff.avast.com
2) su.ff.avast.com

(cuando no conectaba a uno, conectaba a otro)

Sencillamente le agregué 2 lineas al hosts y a la mierda, no conectó mas.
Hice la prueba con DarkComet con mis 2 crypters favoritos, el Cogote y el NinFa, y el Avast y su Sandbox se la comieron doblada...

Mi Hosts:

0.0.0.0 vl.ff.avast.com
0.0.0.0 su.ff.avast.com


Bye
Imagen
ok ahora como haces para saltar la proteccion xD ya que eso lo instalaste con el avast desactivado ;) estaba testeando y esta buena la opcion del sanbox que posee mas en el avast v7 el finde le echo un vistaso mas a fondo
no se permiten firmas de este tipo. la próxima no va a ser una advertencia sino un ban.
Alguno habéis probado el método "DLL HIJACKING" ? Con esto, si no le pones install o startup al server, debería propasar la proactiva.. (Ojo, no lo he probado, es para ver si se le puede sacar "jugo" a esto..)


Aquí os dejo este PDF está en ingles: [Enlace externo eliminado para invitados]

Dll Hijacking con metasploit: [Enlace externo eliminado para invitados]

Varios ejemplos: [Enlace externo eliminado para invitados]


También os dejo un archivo host con más de 2500 lineas que puede servir: [Enlace externo eliminado para invitados] (Este lo saque de una pequeña botnet que andaba por ahí..)


Un saludo.
osnaraus pero antes de editar el fichero host te cargaba el archivo en sandbox, puesto que mis pruebas eran sin conexion.

suc seria una buena idea pero seria bueno primero encontrar el metodo para saltarlo sol editando el ejecutable
Imagen
en el msn ♣Conejo escribió:[26/03/11 10:39:13] Su firma contiene 281 caracteres. El máximo número de caracteres permitidos es 200.
menos mal que soy admin
@osni
Perdistes el riñon. Ami tanto el 1 como el 2 me salta.

@metal No te puedo decir la version exacta, estoy en el movil, pero es la version free.
Y no sin autoinicios ni huevos, abri vb6 y simplemente compile un form vacio sin modificar nada no tiene nada de code y salta.



Y bloquear la conexion del host tambien lo veo dificil. Si es un archivo sin reputacion no va a dejar que lo ejecutemos para cambiar el host de todos modos.

Esta es la version.
Imagen
La Free no tiene sandbox (según dice la web), por eso me puse la Pro..

Entonces lo que usan ambas es el sistema de reputación (nada que ver con la sandbox), cuando pueda la pongo y hago pruebas a ver qué pasa con ese zorrón de av.
UDTools.net
GitHub: https://github.com/MetalUDT
A ver, por momentos parecemos locos hablando, ya que no podemos llevar un hilo en comun...
Por ahora sigamos con el Avast:

Lo que me ha quedado claro (por ahora) :
1) La Version Pro no detecta "software personal limpio" (lease MsgBox de vb6)
(Comprobado por Metal y por mi)

2) Cada vez que se ejecuta un .exe (o se navega dentro de una carpeta que lo contiene) el avast envia "cierta informacion" hacia el exterior (las url estan en un comment mio mas arriba)

Ahora no me queda claro muchos puntos...

* Cuando uno descarga la Version Free de Avast de la Página Oficial, claramente dice que NO tiene el servicio de ejecucion de archivos en una sandbox... entonces la deteccion que sufre rudeboy no es debido a la sandbox de Avast (despues descargo la version free y pruebo)

* Ya sé que no es sencillo modificar el archivo hosts, y mucho menos si está la UAC activa, pero agregandole un .manifest (runasAdmin) se puede . SIII, y ya se que antes de cambiar el hosts se va a ejecutar en la sandbox.... pero se podria tener un exe "aparte" para dicho menester.

Sigamos con las pruebas, a algo vamos a llegar
Imagen
Responder

Volver a “Mensajes Entre Nosotros”