Gracias por avisar, lo he expulsado.MCN escribió:ESTE ES IGUAL CruZeLKiLLeR http://indetectables.net/memberlist.php ... le&u=57955
IGUAL FIRMA
Blau me temo que cometes un grave error, si as leido correctamente el foro de FC en ningun momento e infectado a nadie, ni e echo nada contra las normas de indetectables.net simplemente a ellos les dio un error de la dependencia Comdlg32.ocx y automaticamente creyeron que era un virus y que los habia infectado, pero eso no es asi, solo an sumado 2+2 con mi pasado y an echo simples suposiciones, pero la realidad esque en ningun momento nadie a dicho que este infectado, ni nadie a encontrado procesos u archivos raros en su ordenador. Resumiendo todo esto, en FC hay un malentendido y no respetare que yo reciba un ban de indetectables por un simple malentendido, asique pido una restauracion de la cuenta CruZeLKiLLeR
-=TheCruZ=-
Algunos aportes:
Multiples aportes de crypters V
Bypass Eset en el scan de memoria(No a las funciones) V
Crypter polimorfico V
Quitar errores de dll con ollydbg V
Multi S.O Checker V
Archive Ejecutor V
Generador de strings V
Scanner de puertos V
Algunos aportes:
Multiples aportes de crypters V
Bypass Eset en el scan de memoria(No a las funciones) V
Crypter polimorfico V
Quitar errores de dll con ollydbg V
Multi S.O Checker V
Archive Ejecutor V
Generador de strings V
Scanner de puertos V
Que poca vergüenza tienes... esperemos que la guardia civil haga su trabajoTheCruZ escribió:Blau me temo que cometes un grave error, si as leido correctamente el foro de FC en ningun momento e infectado a nadie, ni e echo nada contra las normas de indetectables.net simplemente a ellos les dio un error de la dependencia Comdlg32.ocx y automaticamente creyeron que era un virus y que los habia infectado, pero eso no es asi, solo an sumado 2+2 con mi pasado y an echo simples suposiciones, pero la realidad esque en ningun momento nadie a dicho que este infectado, ni nadie a encontrado procesos u archivos raros en su ordenador. Resumiendo todo esto, en FC hay un malentendido y no respetare que yo reciba un ban de indetectables por un simple malentendido, asique pido una restauracion de la cuenta CruZeLKiLLeR
Le he pedido a ukranow que analice los 2 rar que subiste (él tiene más experiencia y buen criterio que yo en análisis). Si no hay nada sospechoso con gusto me disculparé y desbanearé tus dos cuentas anteriores.TheCruZ escribió:Blau me temo que cometes un grave error, si as leido correctamente el foro de FC en ningun momento e infectado a nadie, ni e echo nada contra las normas de indetectables.net simplemente a ellos les dio un error de la dependencia Comdlg32.ocx y automaticamente creyeron que era un virus y que los habia infectado, pero eso no es asi, solo an sumado 2+2 con mi pasado y an echo simples suposiciones, pero la realidad esque en ningun momento nadie a dicho que este infectado, ni nadie a encontrado procesos u archivos raros en su ordenador. Resumiendo todo esto, en FC hay un malentendido y no respetare que yo reciba un ban de indetectables por un simple malentendido, asique pido una restauracion de la cuenta CruZeLKiLLeR
Ya, hombre, ya.TheCruZ escribió:Blau me temo que cometes un grave error, si as leido correctamente el foro de FC en ningun momento e infectado a nadie, ni e echo nada contra las normas de indetectables.net simplemente a ellos les dio un error de la dependencia Comdlg32.ocx y automaticamente creyeron que era un virus y que los habia infectado, pero eso no es asi, solo an sumado 2+2 con mi pasado y an echo simples suposiciones, pero la realidad esque en ningun momento nadie a dicho que este infectado, ni nadie a encontrado procesos u archivos raros en su ordenador. Resumiendo todo esto, en FC hay un malentendido y no respetare que yo reciba un ban de indetectables por un simple malentendido, asique pido una restauracion de la cuenta CruZeLKiLLeR
Llegas allí y pides ayuda para depurar un programa (supuestamente para hacer una lista de la compra) que te ha encargado tu profesor (tu profesor de Visual Basic 6 ). Al ver que estás perdiendo un montón de infecciones porque los Windows modernos no vienen de serie con un archivo .ocx de un entorno de desarrollo de hace 15 años, envías otra versión del programa sin esa dependencia.
¿El ejecutable que tu programa intenta descargarse desde DropBox cuenta como bug? Porque si es así, le debes un euro a alguien
Te has caído con todo el equipo. A estas alturas, en FC se sabe hasta cuántas pajas te hiciste ayer. No digo que una disculpa por tu parte vaya arreglar nada, pero quizás disculpándote evitarías males mayores.
De lo de ir de superhacker e ir por ahí dejando más rastros que un elefante con diarrea crónica hablamos otro día, lameruzo.
Si no has infectado a mas usuarios es porque faltaba la dependencia .ocx (error por tu parte).TheCruZ escribió:Blau me temo que cometes un grave error, si as leido correctamente el foro de FC en ningun momento e infectado a nadie, ni e echo nada contra las normas de indetectables.net simplemente a ellos les dio un error de la dependencia Comdlg32.ocx y automaticamente creyeron que era un virus y que los habia infectado, pero eso no es asi, solo an sumado 2+2 con mi pasado y an echo simples suposiciones, pero la realidad esque en ningun momento nadie a dicho que este infectado, ni nadie a encontrado procesos u archivos raros en su ordenador. Resumiendo todo esto, en FC hay un malentendido y no respetare que yo reciba un ban de indetectables por un simple malentendido, asique pido una restauracion de la cuenta CruZeLKiLLeR
No solo has infectado a los que hablan por el hilo de forocohes, hay usuarios que quizás aun no saben que el tema está abierto y desconocen que están infectados, aparte de los que han entrado solamente a leer y les a dado por probar el "programa".
El programa que supuestamente hacia una lista de la compra descargaba un ejecutable desde dropbox que ya los has borrado, por que bajaba un .exe desde dropbox un programa para hacer una lista de la compra?
Hay que ser tonto...
Voy a ignorar comentarios de vuestro foro como éste porque pienso que tengo más educación.
Pasadme el ejecutable que descargaba de Dropbox e intentaré extraer el servidor cifrado para poder sacar los datos de conexión y así poder obtener la IP y puerto.
Pasadme el ejecutable que descargaba de Dropbox e intentaré extraer el servidor cifrado para poder sacar los datos de conexión y así poder obtener la IP y puerto.
Blau escribió:Voy a ignorar comentarios de vuestro foro como éste porque pienso que tengo más educación.
Pasadme el ejecutable que descargaba de Dropbox e intentaré extraer el servidor cifrado para poder sacar los datos de conexión y así poder obtener la IP y puerto.
Lo de "juanker" se refiere al lameruzo de Cruz, no sé por que te ofende el comentario...
El ejecutable de dropbox solo lo tendrán los infectados, como podrás deducir la mayoría ha restaurado el sistema o a formateado para que el individuo de cruz no pueda tener acceso, lo que si está el el enlace de dropbox pero el archivo está eliminado del servidor
Perdón, pensé que se refería a mí.SeikuS escribió: Lo de "juanker" se refiere al lameruzo de Cruz, no sé por que te ofende el comentario...
El ejecutable de dropbox solo lo tendrán los infectados, como podrás deducir la mayoría ha restaurado el sistema o a formateado para que el individuo de cruz no pueda tener acceso, lo que si está el el enlace de dropbox pero el archivo está eliminado del servidor
Cuando tengáis una muestra posteadla aquí. Seguramente usará un crypter convencional, del que sabe hacer todo el mundo. Un simple hook en WriteProcessMemory o RtlMoveMemory y podré obtener el servidor original, después sólo sería analizarlo para identificar el RAT o bot y obtener la información de conexión.
SadFud escribió:XDDD joder, que algun admin borre mi comentario antes de que lo vea mas genteCruZeLKiLLeR escribió:SadFud escribió:Es scantime verdad? Me lo han detectado el Ad-Aware al ejecutarlo y el MSE, pase un scan en majyx pero no detecto ni el adaware ni el MSE, pero otros si Filename: Crypter Online By CruZ.exe
Type: File
Filesize: 888832 bytes
Date: 11/01/2015 - 21:57 GMT+2
MD5: 365f32aa13622e93225327e478bc6de0
SHA1: dbfbeeb7b9c8638a915e4a448453be7f7d445764
Status: Infected
Result: 4/35
AVG Free - OK
Avast - OK
AntiVir (Avira) - OK
BitDefender - OK
Clam Antivirus - OK
COMODO Internet Security - OK
Dr.Web - OK
eTrust-Vet - OK
F-PROT Antivirus - W32/VBTrojan.17!Generic
F-Secure Internet Security - OK
G Data - OK
IKARUS Security - OK
Kaspersky Antivirus - OK
McAfee - OK
MS Security Essentials - OK
ESET NOD32 - OK
Norman - OK
Norton Antivirus - OK
Panda Security - OK
A-Squared - OK
Quick Heal Antivirus - VirTool.Vbinder.Gen
Solo Antivirus - OK
Sophos - OK
Trend Micro Internet Security - OK
VBA32 Antivirus - infected Malware-Cryptor.VB.gen.2
Zoner AntiVirus - OK
Ad-Aware - OK
BullGuard - OK
FortiClient - OK
K7 Ultimate - OK
NANO Antivirus - OK
Panda CommandLine - OK
SUPERAntiSpyware - OK
Twister Antivirus - OK
VIPRE - VirTool.Win32.Vbinder.gen.g (v)
Scan Result: [Enlace externo eliminado para invitados]
[Enlace externo eliminado para invitados]
de todos modos se agradece el aporte Cruz
Para darte de palos una y otra vez, eso es el cliente no el stub
jajjajjajjaaj tranquilo bro son errores que suelen pasar de vez en cuando
saludos.
_VERSION
1.- ¿Que es el archivo temp.cfg?El archivo temp estaba en la version 1 por que queria hacer que se guardara el listado y se volviese a abrir al cerrar el programa, pero al final no lo termine y seguia creando un temp que solo marca 1 y 2
2.- ¿Por que bajaba un exe?El archivo exe que bajaba de dropbox es para poder actualizar la aplicacion por si se lo añadia, como alguno abra comprobado al cerrarlo aveces tarda y es para ver si hay actualizacion, la cual nunca la a habido por que no tenia ni 1h ese archivo...
3.- ¿Porque el peso del archivo varia un poco cuando publique la source?, pues tan simple como que como todos vieron quite la dependencia de el ocx y con ello todo el codigo del boton
Porfavor antes de suponer cosas preguntadlas
2.- ¿Por que bajaba un exe?El archivo exe que bajaba de dropbox es para poder actualizar la aplicacion por si se lo añadia, como alguno abra comprobado al cerrarlo aveces tarda y es para ver si hay actualizacion, la cual nunca la a habido por que no tenia ni 1h ese archivo...
3.- ¿Porque el peso del archivo varia un poco cuando publique la source?, pues tan simple como que como todos vieron quite la dependencia de el ocx y con ello todo el codigo del boton
Porfavor antes de suponer cosas preguntadlas
-=TheCruZ=-
Algunos aportes:
Multiples aportes de crypters V
Bypass Eset en el scan de memoria(No a las funciones) V
Crypter polimorfico V
Quitar errores de dll con ollydbg V
Multi S.O Checker V
Archive Ejecutor V
Generador de strings V
Scanner de puertos V
Algunos aportes:
Multiples aportes de crypters V
Bypass Eset en el scan de memoria(No a las funciones) V
Crypter polimorfico V
Quitar errores de dll con ollydbg V
Multi S.O Checker V
Archive Ejecutor V
Generador de strings V
Scanner de puertos V
Copio y pego un comentario del foro:Blau escribió:Perdón, pensé que se refería a mí.SeikuS escribió: Lo de "juanker" se refiere al lameruzo de Cruz, no sé por que te ofende el comentario...
El ejecutable de dropbox solo lo tendrán los infectados, como podrás deducir la mayoría ha restaurado el sistema o a formateado para que el individuo de cruz no pueda tener acceso, lo que si está el el enlace de dropbox pero el archivo está eliminado del servidor
Cuando tengáis una muestra posteadla aquí. Seguramente usará un crypter convencional, del que sabe hacer todo el mundo. Un simple hook en WriteProcessMemory o RtlMoveMemory y podré obtener el servidor original, después sólo sería analizarlo para identificar el RAT o bot y obtener la información de conexión.
----------
Hubo 2 versiones, la segunda, que acompañaba con el código fuente, esta limpia.
La primera, si da error de runtime, no ha llegado a ejecutarse.
Si no ha dado el error, al cerrar el programa, se descarga un archivo de dropbox
[Enlace externo eliminado para invitados] r o p b o x .com/s/dl6jizz3o2yxa1h/45g76w4567j56.exe?d=1
El cual ya no está, y lo guarda en %TEMP% con un nombre aleatorio.
Si alguien tiene un archivo reciente en temp con un nombre sospechoso, ahí lo tiene.
----------
Según parece es ese archivo de dropbox y si está en el servidor todavía.
Para eliminar la infección con restaurar el sistema es suficiente o hay que formatear?
También es posible que si antes según el forero no estaba en el servidor y ahora si, puede que haya subido otro para intentar guardarse las espaldas. Digo yo... nose
Muy bien... ahora me queda mas claro que has subido otro archivo al dropbox para guardarte las espaldas.... , la guardia civil podrá investigarte mas a fondo, espero verte delante de un juez.TheCruZ escribió:1.- ¿Que es el archivo temp.cfg?El archivo temp estaba en la version 1 por que queria hacer que se guardara el listado y se volviese a abrir al cerrar el programa, pero al final no lo termine y seguia creando un temp que solo marca 1 y 2
2.- ¿Por que bajaba un exe?El archivo exe que bajaba de dropbox es para poder actualizar la aplicacion por si se lo añadia, como alguno abra comprobado al cerrarlo aveces tarda y es para ver si hay actualizacion, la cual nunca la a habido por que no tenia ni 1h ese archivo...
3.- ¿Porque el peso del archivo varia un poco cuando publique la source?, pues tan simple como que como todos vieron quite la dependencia de el ocx y con ello todo el codigo del boton
Porfavor antes de suponer cosas preguntadlas
A ver, yo solo veo un archivo en Dropbox que ha sido modificado hace dos horas.TheCruZ escribió:1.- ¿Que es el archivo temp.cfg?El archivo temp estaba en la version 1 por que queria hacer que se guardara el listado y se volviese a abrir al cerrar el programa, pero al final no lo termine y seguia creando un temp que solo marca 1 y 2
2.- ¿Por que bajaba un exe?El archivo exe que bajaba de dropbox es para poder actualizar la aplicacion por si se lo añadia, como alguno abra comprobado al cerrarlo aveces tarda y es para ver si hay actualizacion, la cual nunca la a habido por que no tenia ni 1h ese archivo...
3.- ¿Porque el peso del archivo varia un poco cuando publique la source?, pues tan simple como que como todos vieron quite la dependencia de el ocx y con ello todo el codigo del boton
Porfavor antes de suponer cosas preguntadlas
Si me dais un Sample, yo mismo creo un desinstalador para esa basura, pero espero no ver mas mofas hacia nuestra comunidad, nosotros analizamos cada uno de los aportes de nuevos miembros para ver que estan limpios, por eso no veras problemas como esos por aquí, con un simple aviso bastaba para que se tomaran medidas con el usuario, he incluso una pequeña cooperación contra este tipo de personas, en Indetectables no se apoya de ninguna forma esta actitud y esta extrictamente prohibida.SeikuS escribió:Copio y pego un comentario del foro:Blau escribió:Perdón, pensé que se refería a mí.SeikuS escribió: Lo de "juanker" se refiere al lameruzo de Cruz, no sé por que te ofende el comentario...
El ejecutable de dropbox solo lo tendrán los infectados, como podrás deducir la mayoría ha restaurado el sistema o a formateado para que el individuo de cruz no pueda tener acceso, lo que si está el el enlace de dropbox pero el archivo está eliminado del servidor
Cuando tengáis una muestra posteadla aquí. Seguramente usará un crypter convencional, del que sabe hacer todo el mundo. Un simple hook en WriteProcessMemory o RtlMoveMemory y podré obtener el servidor original, después sólo sería analizarlo para identificar el RAT o bot y obtener la información de conexión.
----------
Hubo 2 versiones, la segunda, que acompañaba con el código fuente, esta limpia.
La primera, si da error de runtime, no ha llegado a ejecutarse.
Si no ha dado el error, al cerrar el programa, se descarga un archivo de dropbox
[Enlace externo eliminado para invitados] r o p b o x .com/s/dl6jizz3o2yxa1h/45g76w4567j56.exe?d=1
El cual ya no está, y lo guarda en %TEMP% con un nombre aleatorio.
Si alguien tiene un archivo reciente en temp con un nombre sospechoso, ahí lo tiene.
----------
Según parece es ese archivo de dropbox y si está en el servidor todavía.
Para eliminar la infección con restaurar el sistema es suficiente o hay que formatear?
PD: Apoyo totalmente la actitud de mi compañero Blau, siempre respetuoso y demostrando una compostura admirable ante este tipo de situación.
//Regards.
Ikarus: Backdoor.VBS.SafeLoader
Agnitum: Trojan.VBS.Safebot.A
http://indeseables.github.io/
Agnitum: Trojan.VBS.Safebot.A
http://indeseables.github.io/
