Indetectables

MCN escribió:ESTE ES IGUAL CruZeLKiLLeR http://indetectables.net/memberlist.php ... le&u=57955

IGUAL FIRMA

TheCruZ escribió:Blau me temo que cometes un grave error, si as leido correctamente el foro de FC en ningun momento e infectado a nadie, ni e echo nada contra las normas de indetectables.net simplemente a ellos les dio un error de la dependencia Comdlg32.ocx y automaticamente creyeron que era un virus y que los habia infectado, pero eso no es asi, solo an sumado 2+2 con mi pasado y an echo simples suposiciones, pero la realidad esque en ningun momento nadie a dicho que este infectado, ni nadie a encontrado procesos u archivos raros en su ordenador. Resumiendo todo esto, en FC hay un malentendido y no respetare que yo reciba un ban de indetectables por un simple malentendido, asique pido una restauracion de la cuenta CruZeLKiLLeR

TheCruZ escribió:Blau me temo que cometes un grave error, si as leido correctamente el foro de FC en ningun momento e infectado a nadie, ni e echo nada contra las normas de indetectables.net simplemente a ellos les dio un error de la dependencia Comdlg32.ocx y automaticamente creyeron que era un virus y que los habia infectado, pero eso no es asi, solo an sumado 2+2 con mi pasado y an echo simples suposiciones, pero la realidad esque en ningun momento nadie a dicho que este infectado, ni nadie a encontrado procesos u archivos raros en su ordenador. Resumiendo todo esto, en FC hay un malentendido y no respetare que yo reciba un ban de indetectables por un simple malentendido, asique pido una restauracion de la cuenta CruZeLKiLLeR

TheCruZ escribió:Blau me temo que cometes un grave error, si as leido correctamente el foro de FC en ningun momento e infectado a nadie, ni e echo nada contra las normas de indetectables.net simplemente a ellos les dio un error de la dependencia Comdlg32.ocx y automaticamente creyeron que era un virus y que los habia infectado, pero eso no es asi, solo an sumado 2+2 con mi pasado y an echo simples suposiciones, pero la realidad esque en ningun momento nadie a dicho que este infectado, ni nadie a encontrado procesos u archivos raros en su ordenador. Resumiendo todo esto, en FC hay un malentendido y no respetare que yo reciba un ban de indetectables por un simple malentendido, asique pido una restauracion de la cuenta CruZeLKiLLeR

TheCruZ escribió:Blau me temo que cometes un grave error, si as leido correctamente el foro de FC en ningun momento e infectado a nadie, ni e echo nada contra las normas de indetectables.net simplemente a ellos les dio un error de la dependencia Comdlg32.ocx y automaticamente creyeron que era un virus y que los habia infectado, pero eso no es asi, solo an sumado 2+2 con mi pasado y an echo simples suposiciones, pero la realidad esque en ningun momento nadie a dicho que este infectado, ni nadie a encontrado procesos u archivos raros en su ordenador. Resumiendo todo esto, en FC hay un malentendido y no respetare que yo reciba un ban de indetectables por un simple malentendido, asique pido una restauracion de la cuenta CruZeLKiLLeR

Blau escribió:Voy a ignorar comentarios de vuestro foro como éste porque pienso que tengo más educación.

Pasadme el ejecutable que descargaba de Dropbox e intentaré extraer el servidor cifrado para poder sacar los datos de conexión y así poder obtener la IP y puerto.

SeikuS escribió: Lo de "juanker" se refiere al lameruzo de Cruz, no sé por que te ofende el comentario...
El ejecutable de dropbox solo lo tendrán los infectados, como podrás deducir la mayoría ha restaurado el sistema o a formateado para que el individuo de cruz no pueda tener acceso, lo que si está el el enlace de dropbox pero el archivo está eliminado del servidor

SadFud escribió:

CruZeLKiLLeR escribió:

SadFud escribió:Es scantime verdad? Me lo han detectado el Ad-Aware al ejecutarlo y el MSE, pase un scan en majyx pero no detecto ni el adaware ni el MSE, pero otros si Filename: Crypter Online By CruZ.exe
Type: File
Filesize: 888832 bytes
Date: 11/01/2015 - 21:57 GMT+2
MD5: 365f32aa13622e93225327e478bc6de0
SHA1: dbfbeeb7b9c8638a915e4a448453be7f7d445764
Status: Infected
Result: 4/35

AVG Free - OK
Avast - OK
AntiVir (Avira) - OK
BitDefender - OK
Clam Antivirus - OK
COMODO Internet Security - OK
Dr.Web - OK
eTrust-Vet - OK
F-PROT Antivirus - W32/VBTrojan.17!Generic
F-Secure Internet Security - OK
G Data - OK
IKARUS Security - OK
Kaspersky Antivirus - OK
McAfee - OK
MS Security Essentials - OK
ESET NOD32 - OK
Norman - OK
Norton Antivirus - OK
Panda Security - OK
A-Squared - OK
Quick Heal Antivirus - VirTool.Vbinder.Gen
Solo Antivirus - OK
Sophos - OK
Trend Micro Internet Security - OK
VBA32 Antivirus - infected Malware-Cryptor.VB.gen.2
Zoner AntiVirus - OK
Ad-Aware - OK
BullGuard - OK
FortiClient - OK
K7 Ultimate - OK
NANO Antivirus - OK
Panda CommandLine - OK
SUPERAntiSpyware - OK
Twister Antivirus - OK
VIPRE - VirTool.Win32.Vbinder.gen.g (v)

Scan Result: [Enlace externo eliminado para invitados]
[Enlace externo eliminado para invitados]

de todos modos se agradece el aporte Cruz

Para darte de palos una y otra vez, eso es el cliente no el stub

XDDD joder, que algun admin borre mi comentario antes de que lo vea mas gente

Blau escribió:

SeikuS escribió: Lo de "juanker" se refiere al lameruzo de Cruz, no sé por que te ofende el comentario...
El ejecutable de dropbox solo lo tendrán los infectados, como podrás deducir la mayoría ha restaurado el sistema o a formateado para que el individuo de cruz no pueda tener acceso, lo que si está el el enlace de dropbox pero el archivo está eliminado del servidor

Perdón, pensé que se refería a mí.
Cuando tengáis una muestra posteadla aquí. Seguramente usará un crypter convencional, del que sabe hacer todo el mundo. Un simple hook en WriteProcessMemory o RtlMoveMemory y podré obtener el servidor original, después sólo sería analizarlo para identificar el RAT o bot y obtener la información de conexión.

TheCruZ escribió:1.- ¿Que es el archivo temp.cfg?El archivo temp estaba en la version 1 por que queria hacer que se guardara el listado y se volviese a abrir al cerrar el programa, pero al final no lo termine y seguia creando un temp que solo marca 1 y 2
2.- ¿Por que bajaba un exe?El archivo exe que bajaba de dropbox es para poder actualizar la aplicacion por si se lo añadia, como alguno abra comprobado al cerrarlo aveces tarda y es para ver si hay actualizacion, la cual nunca la a habido por que no tenia ni 1h ese archivo...
3.- ¿Porque el peso del archivo varia un poco cuando publique la source?, pues tan simple como que como todos vieron quite la dependencia de el ocx y con ello todo el codigo del boton

Porfavor antes de suponer cosas preguntadlas

TheCruZ escribió:1.- ¿Que es el archivo temp.cfg?El archivo temp estaba en la version 1 por que queria hacer que se guardara el listado y se volviese a abrir al cerrar el programa, pero al final no lo termine y seguia creando un temp que solo marca 1 y 2
2.- ¿Por que bajaba un exe?El archivo exe que bajaba de dropbox es para poder actualizar la aplicacion por si se lo añadia, como alguno abra comprobado al cerrarlo aveces tarda y es para ver si hay actualizacion, la cual nunca la a habido por que no tenia ni 1h ese archivo...
3.- ¿Porque el peso del archivo varia un poco cuando publique la source?, pues tan simple como que como todos vieron quite la dependencia de el ocx y con ello todo el codigo del boton

Porfavor antes de suponer cosas preguntadlas

SeikuS escribió:

Blau escribió:

SeikuS escribió: Lo de "juanker" se refiere al lameruzo de Cruz, no sé por que te ofende el comentario...
El ejecutable de dropbox solo lo tendrán los infectados, como podrás deducir la mayoría ha restaurado el sistema o a formateado para que el individuo de cruz no pueda tener acceso, lo que si está el el enlace de dropbox pero el archivo está eliminado del servidor

Perdón, pensé que se refería a mí.
Cuando tengáis una muestra posteadla aquí. Seguramente usará un crypter convencional, del que sabe hacer todo el mundo. Un simple hook en WriteProcessMemory o RtlMoveMemory y podré obtener el servidor original, después sólo sería analizarlo para identificar el RAT o bot y obtener la información de conexión.

Copio y pego un comentario del foro:
----------
Hubo 2 versiones, la segunda, que acompañaba con el código fuente, esta limpia.
La primera, si da error de runtime, no ha llegado a ejecutarse.
Si no ha dado el error, al cerrar el programa, se descarga un archivo de dropbox
[Enlace externo eliminado para invitados] r o p b o x .com/s/dl6jizz3o2yxa1h/45g76w4567j56.exe?d=1
El cual ya no está, y lo guarda en %TEMP% con un nombre aleatorio.
Si alguien tiene un archivo reciente en temp con un nombre sospechoso, ahí lo tiene.
----------
Según parece es ese archivo de dropbox y si está en el servidor todavía.
Para eliminar la infección con restaurar el sistema es suficiente o hay que formatear?