Mostrar mensajes previos
Ordenar por
por top10 Delirios esporádicos
4n0nym0us escribió:Deja la configuración del crypter por defecto, con los 15 segundos de Delay que necesita para AVG y Avast. Hice pruebas con DarkComet e incluso con un Reverse_TCP y todo perfecto. Prueba con otros tipos de Malware.
Si entiendo lo que dices pero lo probe combinando la mayoria de combinaciones posibles para el crypter y el darkcomet(default delay etc..)
davinciomar escribió:
top10 escribió:A mi siempre me lo detecta AVG use la configuracion que use en el crypter y en el server en runtime(no scantime),parece que cuando se desencripta en memoria

Imagen
Puedes intentar con darkcomet seguro te irá
Precisamente lo probe solo con el darkcomet y combinando con todas las configuraciones del crypter y siempre saltaba la misma firma.

Probado en Win7 x32 VMWare.
por 4n0nym0us Usa camisa de fuerza
Yo hice la prueba con la última versión de pago de AVG y no he tenido problemas.

Imagen


He visto que tienes un Free antiguo, puede incluso que esa detección provenga de algún módulo IDS. No tengo ni idea, porque parece que no hay documentación de la detección.

Casualmente de los 35 antivirus, utilizando el loader polimórfico, tan solo lo está detectando actualmente AVG. Felicitaciones para el equipo jeje
No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.
por Melbourne Esquizofrénico
Hola seguiras actualizando este crypter? Sigue saltandose la firma de nod32? a veces me da alerta por eso pregunto y muchas gracias por su gran trabajo y colaboracion. salu2
Defender a los debiles!
por 4n0nym0us Usa camisa de fuerza
Sí... ;)

Dejo a continuación los cambios:
  • The names of the controls for each loader are modified.
  • The contents of the internal images are modified for each loader.
  • The PE header is modified by adding the actual timestamp for each loader.
  • Important, Intelligent... If you use any polymorphic mode check this option. The PE header is modified by adding the CheckSum of the new loader.
Dejo una imagen con 4n4lDetector. (Perdonen las dimensiones)

Imagen


Download: [Enlace externo eliminado para invitados]
No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.
por Melbourne Esquizofrénico
Cuando ejecute mi programa de prueba sale este mensaje.
Imagen

En cuanto a la proactiva de avast se lo salta también uno puede saltarselo haciendo un junk code en el crypter. gracias por tu aporte.
Defender a los debiles!
por Melbourne Esquizofrénico
El escudo de comportamiento de avast consigue detectarlo:
Imagen

Parece ser que el grupo de avast entro por la mañana a indetectables y lo parcheo xD.
:cry: :cry:
Con nod va perfecto!
Defender a los debiles!
por 4n0nym0us Usa camisa de fuerza
Hola buenos días! Supongo que depende de las versiones y de las configuraciones de cada antivirus... pero después de 14 días me ha dado por enviar una muestra polimórfica a Virustotal y el resultado varía entre 14 y 15 detecciones sobre los más de 60 antivirus que posee:
[Enlace externo eliminado para invitados]
[Enlace externo eliminado para invitados]

Para mayor asombro... en Scan Majyx, me parece raro que siga sin saltar NOD32, puede que no tengan su base de datos actualizada, pero sigue FUD a 0/35:
[Enlace externo eliminado para invitados]
[Enlace externo eliminado para invitados]

:whistling:
No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.
por Scorpio Moderador
4n0nym0us escribió: 09 May 2017, 12:18 Hola buenos días! Supongo que depende de las versiones y de las configuraciones de cada antivirus... pero después de 14 días me ha dado por enviar una muestra polimórfica a Virustotal y el resultado varía entre 14 y 15 detecciones sobre los más de 60 antivirus que posee:
[Enlace externo eliminado para invitados]
[Enlace externo eliminado para invitados]

Para mayor asombro... en Scan Majyx, me parece raro que siga sin saltar NOD32, puede que no tengan su base de datos actualizada, pero sigue FUD a 0/35:
[Enlace externo eliminado para invitados]
[Enlace externo eliminado para invitados]

:whistling:
La mayoria de Scanners se volvieron locos, y están dando problemas al analizar, de hay que de 0/35, esperemos que Scan4You arregle esto.

//Regards.
Ikarus: Backdoor.VBS.SafeLoader
Agnitum: Trojan.VBS.Safebot.A
http://indeseables.github.io/
Temas similares
Almafuerte Full Protector ByRoda MOD Zion-92 por Zion-92 en Troyanos y Herramientas
Links sobre el tema
Variantes de tema
Responder

Volver a “Troyanos y Herramientas”