Indetectables

demonio666vip escribió:

costee escribió:publico publico publico jajaja siempre hay una primera vez para las cosa sfuertes..

Eso me suena a lo que un dia me conto blackmaster1212 y Mcpriros

No querran saberlo... enserio...

Que te conte yo ¬¬, joder si aqui el bizarro eres tu

porque mi antivirus DrWeb 5.0.0.12182 2009.07.14 BackDoor.Bifrost.1000
detectaria algo

porque mi antivirus DrWeb 5.0.0.12182 2009.07.14 BackDoor.Bifrost.1000
detectaria algo

Análisis del archivo Indetectables.net recibido el 2009.07.14 05:54:37 (UTC)
Estado actual: Cargando ... en cola en espera en proceso análisis terminado NO ENCONTRADO DETENIDO
Resultado: 1/40 (2.5%)
Cargando información del servidor..
Su archivo se encuentra encolado en la posición: 1.
Se estima que tendrá que esperar entre 43 y 62 segundos
hasta el comienzo del análisis.
No cierre la ventana hasta se haya completado el análisis.
El analizador que estaba procesando su muestra se encuentra detenido,
se va a esperar unos segundos por si fuera posible recuperar el resultado.
Si lleva esperando varios minutos necesitará reenviar su archivo de nuevo.
Su archivo está siendo analizado por VirusTotal en estos momentos,
los resultados se iran mostrando a continuación.
Compactar Compactar Imprimir resultados Imprimir resultados
La muestra ha caducado o no existe.
El sistema se encuentra detenido en estos momentos, su muestra se encuentra a la espera de ser analizada (posicion: ) por un tiempo indefinido.

Usted puede continuar esperando la respuesta por web (se recargará automaticamente) o bien introducir su email en el siguiente formulario y pulsar el botón "solicitar" para que la respuesta le sea automaticamente remitida por correo electrónico.
Email:

Motor antivirus Versión Última actualización Resultado
a-squared 4.5.0.22 2009.07.14 -
AhnLab-V3 5.0.0.2 2009.07.14 -
AntiVir 7.9.0.204 2009.07.14 -
Antiy-AVL 2.0.3.1 2009.07.10 -
Authentium 5.1.2.4 2009.07.14 -
Avast 4.8.1335.0 2009.07.13 -
AVG 8.5.0.387 2009.07.13 -
BitDefender 7.2 2009.07.14 -
CAT-QuickHeal 10.00 2009.07.10 -
ClamAV 0.94.1 2009.07.14 -
Comodo 1643 2009.07.14 -
DrWeb 5.0.0.12182 2009.07.14 BackDoor.Bifrost.1000
eSafe 7.0.17.0 2009.07.13 -
eTrust-Vet 31.6.6612 2009.07.14 -
F-Prot 4.4.4.56 2009.07.13 -
Fortinet 3.120.0.0 2009.07.14 -
GData 19 2009.07.14 -
Ikarus T3.1.1.64.0 2009.07.14 -
Jiangmin 11.0.706 2009.07.13 -
K7AntiVirus 7.10.791 2009.07.13 -
Kaspersky 7.0.0.125 2009.07.14 -
McAfee 5675 2009.07.13 -
McAfee+Artemis 5675 2009.07.13 -
McAfee-GW-Edition 6.8.5 2009.07.14 -
Microsoft 1.4803 2009.07.14 -
NOD32 4240 2009.07.13 -
Norman 6.01.09 2009.07.13 -
nProtect 2009.1.8.0 2009.07.14 -
Panda 10.0.0.14 2009.07.14 -
PCTools 4.4.2.0 2009.07.13 -
Prevx 3.0 2009.07.14 -
Rising 21.38.10.00 2009.07.14 -
Sophos 4.43.0 2009.07.14 -
Sunbelt 3.2.1858.2 2009.07.14 -
Symantec 1.4.4.12 2009.07.14 -
TheHacker 6.3.4.3.366 2009.07.14 -
TrendMicro 8.950.0.1094 2009.07.14 -
VBA32 3.12.10.8 2009.07.14 -
ViRobot 2009.7.14.1834 2009.07.14 -
VirusBuster 4.6.5.0 2009.07.13 -
Información adicional
Tamano archivo: 405504 bytes
MD5...: 91fda95de56833be1197bf0cec46fa25
SHA1..: 55df3ecd044d48315882a2a20fe7cfead5f62c22
SHA256: 5a985d09483d7073a9af8dc9a5b361b947377512ac9bf42a3836e8f057cc206c
ssdeep: 6144:ALBKFDwYhPgmbHCsbffZsUNfLwTEM2cTaO:AAFDLbi4fhNDwYPcN
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1430
timedatestamp.....: 0x4a55b26f (Thu Jul 09 09:03:43 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4cf0 0x5000 5.60 2a3c25b78422b4092bc7ce5bb1269cf4
.data 0x6000 0x388 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x7000 0x5bb84 0x5c000 4.03 b29c5721f2e7dce267d7181bb2c0235e

( 1 imports )
> MSVBVM60.DLL: _CIcos, _adj_fptan, __vbaVarMove, __vbaVarVargNofree, __vbaFreeVar, __vbaAryMove, __vbaStrVarMove, __vbaLenBstr, __vbaFreeVarList, _adj_fdiv_m64, __vbaFreeObjList, -, _adj_fprem1, __vbaRecAnsiToUni, __vbaStrCat, __vbaSetSystemError, __vbaHresultCheckObj, _adj_fdiv_m32, __vbaAryVar, __vbaAryDestruct, __vbaOnError, _adj_fdiv_m16i, _adj_fdivr_m16i, _CIsin, __vbaErase, -, __vbaVarZero, __vbaChkstk, -, __vbaFileClose, __vbaGenerateBoundsError, __vbaGet3, __vbaAryConstruct2, __vbaI2I4, DllFunctionCall, _adj_fpatan, __vbaRedim, __vbaRecUniToAnsi, __vbaUI1I2, _CIsqrt, __vbaExceptHandler, -, __vbaStrToUnicode, _adj_fprem, _adj_fdivr_m64, -, __vbaFPException, -, __vbaUbound, __vbaStrVarVal, __vbaVarCat, -, _CIlog, __vbaErrorOverflow, __vbaFileOpen, __vbaNew2, -, __vbaVar2Vec, _adj_fdiv_m32i, _adj_fdivr_m32i, __vbaStrCopy, -, __vbaFreeStrList, _adj_fdivr_m32, _adj_fdiv_r, -, __vbaI4Var, __vbaAryLock, __vbaStrToAnsi, __vbaVarDup, -, _CIatan, __vbaStrMove, __vbaAryCopy, _allmul, _CItan, __vbaAryUnlock, _CIexp, __vbaI4ErrVar, __vbaFreeStr

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-

volhack escribió:porque mi antivirus DrWeb 5.0.0.12182 2009.07.14 BackDoor.Bifrost.1000
detectaria algo

Ahorita lo escanie con poison Ivy

File Info

Report generated: 14.7.2009 at 7.59.35 (GMT 1)
Filename: PI.exe
File size: 405 KB
MD5 Hash: ec14247f77cc623baed6ec58fdb9ca26
SHA1 Hash: 1CA7BB9466F91C2039F87F2DA96B248E96F8034D
Self-Extract Archive: Nothing found
Binder Detector: Nothing found
Detection rate: 0 on 24

Detections

a-squared - -
Avira AntiVir - -
Avast - -
AVG - -
BitDefender - -
ClamAV - -
Comodo - -
Dr.Web - -
Ewido - -
F-PROT6 - -
G-Data - -
Ikarus T3 - -
Kaspersky - -
McAfee - -
Malware Hash Registry - -
NOD32 v3 - -
Norman - -
Panda - -
QuickHeal - -
Solo Antivirus - -
Sophos - -
TrendMicro - -
VBA32 - -
VirusBuster - -

Scan report generated by
[Enlace externo eliminado para invitados]

Ese es el resultado, al menos que uses otro troyano...

Que escaneaste?

uy este man dond se metio demon sabesq , ayer estaba en no virusthanks y hay uno q lo detecta...

costee escribió:uy este man dond se metio demon sabesq , ayer estaba en no virusthanks y hay uno q lo detecta...

Con PI sin keylogger esta fud man, pero...

Ufff, quizas dentro de poco lo veran mas, si te fijas mas arriba

un usuario lo subio a virustotal y segun ahi esta a 1/40

muy buena gracias

volhack escribió:porque mi antivirus DrWeb 5.0.0.12182 2009.07.14 BackDoor.Bifrost.1000
detectaria algo

Análisis del archivo Indetectables.net recibido el 2009.07.14 05:54:37 (UTC)
Estado actual: Cargando ... en cola en espera en proceso análisis terminado NO ENCONTRADO DETENIDO
Resultado: 1/40 (2.5%)
Cargando información del servidor..
Su archivo se encuentra encolado en la posición: 1.
Se estima que tendrá que esperar entre 43 y 62 segundos
hasta el comienzo del análisis.
No cierre la ventana hasta se haya completado el análisis.
El analizador que estaba procesando su muestra se encuentra detenido,
se va a esperar unos segundos por si fuera posible recuperar el resultado.
Si lleva esperando varios minutos necesitará reenviar su archivo de nuevo.
Su archivo está siendo analizado por VirusTotal en estos momentos,
los resultados se iran mostrando a continuación.
Compactar Compactar Imprimir resultados Imprimir resultados
La muestra ha caducado o no existe.
El sistema se encuentra detenido en estos momentos, su muestra se encuentra a la espera de ser analizada (posicion: ) por un tiempo indefinido.

Usted puede continuar esperando la respuesta por web (se recargará automaticamente) o bien introducir su email en el siguiente formulario y pulsar el botón "solicitar" para que la respuesta le sea automaticamente remitida por correo electrónico.
Email:

Motor antivirus Versión Última actualización Resultado
a-squared 4.5.0.22 2009.07.14 -
AhnLab-V3 5.0.0.2 2009.07.14 -
AntiVir 7.9.0.204 2009.07.14 -
Antiy-AVL 2.0.3.1 2009.07.10 -
Authentium 5.1.2.4 2009.07.14 -
Avast 4.8.1335.0 2009.07.13 -
AVG 8.5.0.387 2009.07.13 -
BitDefender 7.2 2009.07.14 -
CAT-QuickHeal 10.00 2009.07.10 -
ClamAV 0.94.1 2009.07.14 -
Comodo 1643 2009.07.14 -
DrWeb 5.0.0.12182 2009.07.14 BackDoor.Bifrost.1000
eSafe 7.0.17.0 2009.07.13 -
eTrust-Vet 31.6.6612 2009.07.14 -
F-Prot 4.4.4.56 2009.07.13 -
Fortinet 3.120.0.0 2009.07.14 -
GData 19 2009.07.14 -
Ikarus T3.1.1.64.0 2009.07.14 -
Jiangmin 11.0.706 2009.07.13 -
K7AntiVirus 7.10.791 2009.07.13 -
Kaspersky 7.0.0.125 2009.07.14 -
McAfee 5675 2009.07.13 -
McAfee+Artemis 5675 2009.07.13 -
McAfee-GW-Edition 6.8.5 2009.07.14 -
Microsoft 1.4803 2009.07.14 -
NOD32 4240 2009.07.13 -
Norman 6.01.09 2009.07.13 -
nProtect 2009.1.8.0 2009.07.14 -
Panda 10.0.0.14 2009.07.14 -
PCTools 4.4.2.0 2009.07.13 -
Prevx 3.0 2009.07.14 -
Rising 21.38.10.00 2009.07.14 -
Sophos 4.43.0 2009.07.14 -
Sunbelt 3.2.1858.2 2009.07.14 -
Symantec 1.4.4.12 2009.07.14 -
TheHacker 6.3.4.3.366 2009.07.14 -
TrendMicro 8.950.0.1094 2009.07.14 -
VBA32 3.12.10.8 2009.07.14 -
ViRobot 2009.7.14.1834 2009.07.14 -
VirusBuster 4.6.5.0 2009.07.13 -
Información adicional
Tamano archivo: 405504 bytes
MD5...: 91fda95de56833be1197bf0cec46fa25
SHA1..: 55df3ecd044d48315882a2a20fe7cfead5f62c22
SHA256: 5a985d09483d7073a9af8dc9a5b361b947377512ac9bf42a3836e8f057cc206c
ssdeep: 6144:ALBKFDwYhPgmbHCsbffZsUNfLwTEM2cTaO:AAFDLbi4fhNDwYPcN
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1430
timedatestamp.....: 0x4a55b26f (Thu Jul 09 09:03:43 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4cf0 0x5000 5.60 2a3c25b78422b4092bc7ce5bb1269cf4
.data 0x6000 0x388 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x7000 0x5bb84 0x5c000 4.03 b29c5721f2e7dce267d7181bb2c0235e

( 1 imports )
> MSVBVM60.DLL: _CIcos, _adj_fptan, __vbaVarMove, __vbaVarVargNofree, __vbaFreeVar, __vbaAryMove, __vbaStrVarMove, __vbaLenBstr, __vbaFreeVarList, _adj_fdiv_m64, __vbaFreeObjList, -, _adj_fprem1, __vbaRecAnsiToUni, __vbaStrCat, __vbaSetSystemError, __vbaHresultCheckObj, _adj_fdiv_m32, __vbaAryVar, __vbaAryDestruct, __vbaOnError, _adj_fdiv_m16i, _adj_fdivr_m16i, _CIsin, __vbaErase, -, __vbaVarZero, __vbaChkstk, -, __vbaFileClose, __vbaGenerateBoundsError, __vbaGet3, __vbaAryConstruct2, __vbaI2I4, DllFunctionCall, _adj_fpatan, __vbaRedim, __vbaRecUniToAnsi, __vbaUI1I2, _CIsqrt, __vbaExceptHandler, -, __vbaStrToUnicode, _adj_fprem, _adj_fdivr_m64, -, __vbaFPException, -, __vbaUbound, __vbaStrVarVal, __vbaVarCat, -, _CIlog, __vbaErrorOverflow, __vbaFileOpen, __vbaNew2, -, __vbaVar2Vec, _adj_fdiv_m32i, _adj_fdivr_m32i, __vbaStrCopy, -, __vbaFreeStrList, _adj_fdivr_m32, _adj_fdiv_r, -, __vbaI4Var, __vbaAryLock, __vbaStrToAnsi, __vbaVarDup, -, _CIatan, __vbaStrMove, __vbaAryCopy, _allmul, _CItan, __vbaAryUnlock, _CIexp, __vbaI4ErrVar, __vbaFreeStr

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-

Poreque lo subes a virustotal

hola buenas, tengo un problemilla al usar este programa, lo he usado con los servers del bifrost 1.21 y del 1.2, y cuando lo encripta y crea el archivo nuevo se abre la consola de windows y me sale un error diciendo " La CPU NTVM ha encontrado una instruccion no permitida" con las opciones de cerrar y omitir, he hecho algo mal o.. no funciona con el bifrost?

Un saludo.

murachi escribió:hola buenas, tengo un problemilla al usar este programa, lo he usado con los servers del bifrost 1.21 y del 1.2, y cuando lo encripta y crea el archivo nuevo se abre la consola de windows y me sale un error diciendo " La CPU NTVM ha encontrado una instruccion no permitida" con las opciones de cerrar y omitir, he hecho algo mal o.. no funciona con el bifrost?

Un saludo.

Bajaste la version actualizada?

La del link con azul? xD

Perfect y muy bueno

lo usare antes de que lo pillen mas av , gracias demon

PD: El que lo mando a VT es un HDP Hijo De Puta!

Sanlegas escribió:PD: El que lo mando a VT es un HDP Hijo De Puta!

Aprovecho esto apra preguntar una duda que tenia hace rato, los troyanos que pruebe indetectabilizar (alta palabraaaaaaaaa jajaj) con diversos crypters no deben ser subidos a virustotal cierto?. Y no pasa lo mismo con "NoVirusThanks"??.

Es decir, justamente ahora estoy probando poison 2.3.2 crypteada con este crypter. Probe con el Kaspersky y paso sin que se entere de nada pero no me anime a subirloa ninguna pagina porque anteriormente lei que eso no se ahce :P. Puedo tranquilamente cryptear con varios crypters e ir probando si quedan FUD mandandolos a NoVirusThanks?

Graciasssssss

Saludos

EDIT: Revisando lo que me habia dicho un amigo que tiene AVG cuando le pase el Poison Crypteado para probar me instale el AVG Free 8.5 y lo instale en una maquina virtual, cuando quise copiar el Poison Crypteado me lo detecto.

Screenshot:
[Enlace externo eliminado para invitados]

Parece que el stub nuevo duro poco :S malditos antivirus

Crazy escribió:Aprovecho esto apra preguntar una duda que tenia hace rato, los troyanos que pruebe indetectabilizar (alta palabraaaaaaaaa jajaj) con diversos crypters no deben ser subidos a virustotal cierto?. Y no pasa lo mismo con "NoVirusThanks"??.

Es decir, justamente ahora estoy probando poison 2.3.2 crypteada con este crypter. Probe con el Kaspersky y paso sin que se entere de nada pero no me anime a subirloa ninguna pagina porque anteriormente lei que eso no se ahce :P. Puedo tranquilamente cryptear con varios crypters e ir probando si quedan FUD mandandolos a NoVirusThanks?

Graciasssssss

Saludos

Bueno, es que lo que pasa es que ambas paginas hacen lo mismo

Te escanean un archivo y te dice que antivirus lo ven, por ejemplo si te fijas en cada post hay un resultado que

nos dio novirusthanks, ese es el que te dara a ti cuando encryptes tu server...

Ahora bien, si lo subes a virustotal te dara el mismo resultado, pero con la diferencia que lo que hace virustotal es

distribuir las muestras de las herramientas que usamos a las companias de los antivirus cosa que hace que en pocos dias

sea detectado... En cambio en novirusthanks hay una opcion que te da ese escaner para que no pase eso, osea bien

puedes escanear con toda confianza siempre y cuando marques la opcion Do not distribute the sample

Hay varias paginas que hacen lo mismo, marcando la opcion todo bien, pero la mas confiable para nosotros es

[Enlace externo eliminado para invitados]

Edit:

Si, eso mismo pasa, el nuevo stub ya lo ve avg y avast por que fue subido a virustotal

Como quiera eso siempre pasa, lo publico no dura tanto y menos si lo suben xD

Salu2!!!

demonio666vip escribió:

Crazy escribió:Aprovecho esto apra preguntar una duda que tenia hace rato, los troyanos que pruebe indetectabilizar (alta palabraaaaaaaaa jajaj) con diversos crypters no deben ser subidos a virustotal cierto?. Y no pasa lo mismo con "NoVirusThanks"??.

Es decir, justamente ahora estoy probando poison 2.3.2 crypteada con este crypter. Probe con el Kaspersky y paso sin que se entere de nada pero no me anime a subirloa ninguna pagina porque anteriormente lei que eso no se ahce :P. Puedo tranquilamente cryptear con varios crypters e ir probando si quedan FUD mandandolos a NoVirusThanks?

Graciasssssss

Saludos

Bueno, es que lo que pasa es que ambas paginas hacen lo mismo

Te escanean un archivo y te dice que antivirus lo ven, por ejemplo si te fijas en cada post hay un resultado que

nos dio novirusthanks, ese es el que te dara a ti cuando encryptes tu server...

Ahora bien, si lo subes a virustotal te dara el mismo resultado, pero con la diferencia que lo que hace virustotal es

distribuir las muestras de las herramientas que usamos a las companias de los antivirus cosa que hace que en pocos dias

sea detectado... En cambio en novirusthanks hay una opcion que te da ese escaner para que no pase eso, osea bien

puedes escanear con toda confianza siempre y cuando marques la opcion Do not distribute the sample

Hay varias paginas que hacen lo mismo, marcando la opcion todo bien, pero la mas confiable para nosotros es

[Enlace externo eliminado para invitados]

Edit:

Si, eso mismo pasa, el nuevo stub ya lo ve avg y avast por que fue subido a virustotal

Como quiera eso siempre pasa, lo publico no dura tanto y menos si lo suben xD

Salu2!!!

Entendido entonces ya se a donde puedo y a donde no puedo subir :P. Y a ver si esos pelotuditos no aprenden jajajaj. Che, la verdad lo admito no lei. Pero por si las moscas digo, no estaria bueno un sticky que diga NO SUBAN ARCHIVOS A VIRUS TOTAL jajaja