Página 1 de 1

Avira: TR/Dropper.Gen

MensajePublicado:02 Sep 2019, 12:02
por xMrGhostx1
Buenos días foro!
Vengo con una pregunta para los cracks que se encargan de Modear en el foro,
Acabo de sacar la firma del Avira, intenté sacarla de muchísimas formas, toqueteando los recursos, Dsplit, método rit y todas esas técnicas de años atrás y nada. Sacaba firmas y aparecían otras, pero avira siempre se mantenía constante.
Ahora he ocupado un binder que trae Windows por defecto y uní un servidor con un programa, al momento de hacerlo lo escaneo y veo que no solo la firma del avira desapareció, sino que AVAST, AVG, y todas las otras desaparecieron, a excepción de McAffe y NOD32.

Quiero saber por que después de bindearlo las firmas desaparecieron. Hice muchas cosas para que desaparecieran y nada, pero la misma herramienta de Windows me lo dejo casi FUD.
Tiene algo que ver con la Heuristica de los antivirus y el scan en runtime?

No soy mucho de hacer MODING pero cualquier información adicional que puedan comentar lo agradezco mucho de antemano. :cf::rolleyes:

MensajePublicado:12 Mar 2020, 14:17
por lcno
Hola! Tendríamos que tener ambas muestras y observar inicialmente el tipo de strings que muestran. En todo caso por segundo ver si esa Tool de MS opto por ocultar algunas llamadas a las APIS que eran mas evidentes para otros AV.  (nunca vi nada propietario de microsoft que pueda ayudar tanto a la ofuscación)