Indetectables

Publicado: **03 Feb 2017, 22:29**

4n0nym0us escribió:Deja la configuración del crypter por defecto, con los 15 segundos de Delay que necesita para AVG y Avast. Hice pruebas con DarkComet e incluso con un Reverse_TCP y todo perfecto. Prueba con otros tipos de Malware.

Si entiendo lo que dices pero lo probe combinando la mayoria de combinaciones posibles para el crypter y el darkcomet(default delay etc..)

davinciomar escribió:
top10 escribió:A mi siempre me lo detecta AVG use la configuracion que use en el crypter y en el server en runtime(no scantime),parece que cuando se desencripta en memoria

Puedes intentar con darkcomet seguro te irá

Precisamente lo probe solo con el darkcomet y combinando con todas las configuraciones del crypter y siempre saltaba la misma firma.

Probado en Win7 x32 VMWare.

Publicado: **07 Feb 2017, 11:06**

Yo hice la prueba con la última versión de pago de AVG y no he tenido problemas.

He visto que tienes un Free antiguo, puede incluso que esa detección provenga de algún módulo IDS. No tengo ni idea, porque parece que no hay documentación de la detección.

Casualmente de los 35 antivirus, utilizando el loader polimórfico, tan solo lo está detectando actualmente AVG. Felicitaciones para el equipo jeje

Hola seguiras actualizando este crypter? Sigue saltandose la firma de nod32? a veces me da alerta por eso pregunto y muchas gracias por su gran trabajo y colaboracion. salu2

Sí... ;)

Dejo a continuación los cambios:

The names of the controls for each loader are modified.

The contents of the internal images are modified for each loader.

The PE header is modified by adding the actual timestamp for each loader.

Important, Intelligent... If you use any polymorphic mode check this option. The PE header is modified by adding the CheckSum of the new loader.

Dejo una imagen con 4n4lDetector. (Perdonen las dimensiones)

Download: [Enlace externo eliminado para invitados]

excelente aporte

Cuando ejecute mi programa de prueba sale este mensaje.

En cuanto a la proactiva de avast se lo salta también uno puede saltarselo haciendo un junk code en el crypter. gracias por tu aporte.

El escudo de comportamiento de avast consigue detectarlo:

Parece ser que el grupo de avast entro por la mañana a indetectables y lo parcheo xD.

Con nod va perfecto!

Publicado: **09 May 2017, 12:18**

Hola buenos días! Supongo que depende de las versiones y de las configuraciones de cada antivirus... pero después de 14 días me ha dado por enviar una muestra polimórfica a Virustotal y el resultado varía entre 14 y 15 detecciones sobre los más de 60 antivirus que posee:
[Enlace externo eliminado para invitados]
[Enlace externo eliminado para invitados]

Para mayor asombro... en Scan Majyx, me parece raro que siga sin saltar NOD32, puede que no tengan su base de datos actualizada, pero sigue FUD a 0/35:
[Enlace externo eliminado para invitados]
[Enlace externo eliminado para invitados]

Publicado: **09 May 2017, 15:41**

4n0nym0us escribió: 09 May 2017, 12:18 Hola buenos días! Supongo que depende de las versiones y de las configuraciones de cada antivirus... pero después de 14 días me ha dado por enviar una muestra polimórfica a Virustotal y el resultado varía entre 14 y 15 detecciones sobre los más de 60 antivirus que posee:
[Enlace externo eliminado para invitados]
[Enlace externo eliminado para invitados]

Para mayor asombro... en Scan Majyx, me parece raro que siga sin saltar NOD32, puede que no tengan su base de datos actualizada, pero sigue FUD a 0/35:
[Enlace externo eliminado para invitados]
[Enlace externo eliminado para invitados]

La mayoria de Scanners se volvieron locos, y están dando problemas al analizar, de hay que de 0/35, esperemos que Scan4You arregle esto.

//Regards.

Indetectables

Insanity Protector

Re: Insanity Protector

Re: Insanity Protector

Re: Insanity Protector

Re: Insanity Protector

Re: Insanity Protector

Re: Insanity Protector

Re: Insanity Protector

Re: Insanity Protector

Re: Insanity Protector