impresionante si ha conseguido burlar a los antivirus más conocidos teniendo en cuenta que la técnica runpe es más detectada que matusalen.
Defender a los debiles!
Hola buenas tardes!! Como os habréis dado cuenta este no se trata de un Crypter "común", ya que su principal objetivo es no parecerlo. Normalmente el Stub de un Crypter, suele ir unido al binario cifrado, ya sea por splits, recursos... En este caso el Stub no es más que un Loader, el cual se encuentra separado del binario cifrado. La unión entre ambos es una aplicación que actúa como extractor "Iexpress". Cuando el Loader corre en memoria el archivo "config.bin" que se encuentra unido con el extractor, tu malware se ejecuta. Si tu malware trata de copiarse a sí mismo en el sistema, por defecto copiará exclusivamente el proceso que se encuentra en ejecución osea el Loader. Para que este método funcione después de un reinicio, necesitarás extraer el "config.bin" en la carpeta de instalación del malware, puedes realizar su descarga tras la ejecución a la carpeta, puedes hacer un "copy" en la carpeta, utilizar otra forma de bindear los archivos... eso ya es cosa tuya ;)mkw900 escribió:hola lo he probado con un server de spynet 2.6 y si lo deja totalmente fud
cuando lo ejecuto en un pc para pruebas que tengo con windows 7 y sin ningun
antivirus ni programa de seguridad la maquina se infecta correctamente
pero cuando la reinicio pierde la infeccion parace que se ejecute solamente en memoria
y no instale el server en el disco duro sigo haciendo pruebas
saludos
osea que el loader si es visible ok4n0nym0us escribió:Hola buenas tardes!! Como os habréis dado cuenta este no se trata de un Crypter "común", ya que su principal objetivo es no parecerlo. Normalmente el Stub de un Crypter, suele ir unido al binario cifrado, ya sea por splits, recursos... En este caso el Stub no es más que un Loader, el cual se encuentra separado del binario cifrado. La unión entre ambos es una aplicación que actúa como extractor "Iexpress". Cuando el Loader corre en memoria el archivo "config.bin" que se encuentra unido con el extractor, tu malware se ejecuta. Si tu malware trata de copiarse a sí mismo en el sistema, por defecto copiará exclusivamente el proceso que se encuentra en ejecución osea el Loader. Para que este método funcione después de un reinicio, necesitarás extraer el "config.bin" en la carpeta de instalación del malware, puedes realizar su descarga tras la ejecución a la carpeta, puedes hacer un "copy" en la carpeta, utilizar otra forma de bindear los archivos... eso ya es cosa tuya ;)mkw900 escribió:hola lo he probado con un server de spynet 2.6 y si lo deja totalmente fud
cuando lo ejecuto en un pc para pruebas que tengo con windows 7 y sin ningun
antivirus ni programa de seguridad la maquina se infecta correctamente
pero cuando la reinicio pierde la infeccion parace que se ejecute solamente en memoria
y no instale el server en el disco duro sigo haciendo pruebas
saludos
Holaaa! Gracias por el testeo, en que sistema te está pasando esto? He probado en varios diferentes y no encontré problemas. De hecho, si te funcionó el anterior sluck, este es prácticamente el mismo, solo que descifra una clave de registro para ejecutarla.davinciomar escribió:Cuando ejecuto la aplicacion me da el siguiente error:
Volver a “Troyanos y Herramientas”