Indetectables

impresionante si ha conseguido burlar a los antivirus más conocidos teniendo en cuenta que la técnica runpe es más detectada que matusalen.

mkw900 escribió:hola lo he probado con un server de spynet 2.6 y si lo deja totalmente fud
cuando lo ejecuto en un pc para pruebas que tengo con windows 7 y sin ningun
antivirus ni programa de seguridad la maquina se infecta correctamente
pero cuando la reinicio pierde la infeccion parace que se ejecute solamente en memoria
y no instale el server en el disco duro sigo haciendo pruebas
saludos

Hola buenas tardes!! Como os habréis dado cuenta este no se trata de un Crypter "común", ya que su principal objetivo es no parecerlo. Normalmente el Stub de un Crypter, suele ir unido al binario cifrado, ya sea por splits, recursos... En este caso el Stub no es más que un Loader, el cual se encuentra separado del binario cifrado. La unión entre ambos es una aplicación que actúa como extractor "Iexpress". Cuando el Loader corre en memoria el archivo "config.bin" que se encuentra unido con el extractor, tu malware se ejecuta. Si tu malware trata de copiarse a sí mismo en el sistema, por defecto copiará exclusivamente el proceso que se encuentra en ejecución osea el Loader. Para que este método funcione después de un reinicio, necesitarás extraer el "config.bin" en la carpeta de instalación del malware, puedes realizar su descarga tras la ejecución a la carpeta, puedes hacer un "copy" en la carpeta, utilizar otra forma de bindear los archivos... eso ya es cosa tuya ;)

ok gracias 4n0nym0us

ya me queda mas claro
muy buena herramienta la tuya

Te felicito amigo.
Gran trabajo y que bien que alguien decide compartir algo nuevo.

Saludos.

4n0nym0us escribió:

mkw900 escribió:hola lo he probado con un server de spynet 2.6 y si lo deja totalmente fud
cuando lo ejecuto en un pc para pruebas que tengo con windows 7 y sin ningun
antivirus ni programa de seguridad la maquina se infecta correctamente
pero cuando la reinicio pierde la infeccion parace que se ejecute solamente en memoria
y no instale el server en el disco duro sigo haciendo pruebas
saludos

Hola buenas tardes!! Como os habréis dado cuenta este no se trata de un Crypter "común", ya que su principal objetivo es no parecerlo. Normalmente el Stub de un Crypter, suele ir unido al binario cifrado, ya sea por splits, recursos... En este caso el Stub no es más que un Loader, el cual se encuentra separado del binario cifrado. La unión entre ambos es una aplicación que actúa como extractor "Iexpress". Cuando el Loader corre en memoria el archivo "config.bin" que se encuentra unido con el extractor, tu malware se ejecuta. Si tu malware trata de copiarse a sí mismo en el sistema, por defecto copiará exclusivamente el proceso que se encuentra en ejecución osea el Loader. Para que este método funcione después de un reinicio, necesitarás extraer el "config.bin" en la carpeta de instalación del malware, puedes realizar su descarga tras la ejecución a la carpeta, puedes hacer un "copy" en la carpeta, utilizar otra forma de bindear los archivos... eso ya es cosa tuya ;)

osea que el loader si es visible ok

que buen trabajo sin siqiuiera probarlo se que es bueno .
años que no habia algo nuevo

exitos 4n0nym0us .

Gracias 4n0nym0us gran trabajo

Ver para creer, funciona a la perfeccion.
Gracias compañero.

Nueva versión 1.1


Agregada la opción de auto-inicio con windows para vuestros servers y la elección de compresión con UPX.


Download: [Enlace externo eliminado para invitados]

Excelente Tool gracias BRO

Saludos

thanks bro...but i cant download it...

Osea que le has metido una opcion para que arranque con windows impresioannte!

Se me queda travado:

A lo mejor es porque es la última version o este haciendo algo mal!
Vale se me quedaba travado cuando comprimia con upx curioso!

Cuando ejecuto la aplicacion me da el siguiente error:

davinciomar escribió:Cuando ejecuto la aplicacion me da el siguiente error:

Holaaa! Gracias por el testeo, en que sistema te está pasando esto? He probado en varios diferentes y no encontré problemas. De hecho, si te funcionó el anterior sluck, este es prácticamente el mismo, solo que descifra una clave de registro para ejecutarla.

Gracias, un saludo! ;)