Indetectables

Publicado: **08 Feb 2010, 19:50**

Amigos, muchos no saben y se preguntan por que no me sale avira si todo en la source esta FUD o les cuesta sacarlo superficialmente, pues bien muchos no tienen en cuenta que estas encryptaciones han sido muy usadas y por tal ya tienen firmitas pues bien.

Les traigo una mod de estas ambas FUD, un pequeño cambio en XOR es

Encryptar String = hEnStr
Desencryptar String = hDeStr
Encryptar file = hEnFile
Desencryptar file = hDeFile

La forma de llamar la accion cambio solo en XOR
espero les sirva y las dejo con 3 protecciones no importantes pero mejor que no se quemen tan rapido =)

Scan usando RC4:
File Info

Report date: 8.2.2010 at 20.58.06 (GMT 1)
File name: iRC4.exe
File size: 16384 bytes
MD5 Hash: 92a754928351229bc914c554933490e0
SHA1 Hash: 5757A247348D604F11E010993920068B0E36910E
Detection rate: 0 on 20
Status: CLEAN

Detections

a-squared - -
Avira AntiVir - -
Avast - -
AVG - -
BitDefender - -
ClamAV - -
Comodo - -
Dr.Web - -
F-PROT6 - -
G-Data - -
Ikarus T3 - -
Kaspersky - -
McAfee - -
NOD32 - -
Panda - -
Solo Antivirus - -
Sophos - -
TrendMicro - -
VBA32 - -
VirusBuster - -

Scan report generated by
[Enlace externo eliminado para invitados]

Scan usando XOR:
File Info

Report date: 8.2.2010 at 20.58.06 (GMT 1)
File name: iXOR.exe
File size: 16384 bytes
MD5 Hash: 653c679ff2fb92bfa431c53c2712c34b
SHA1 Hash: BBAD7805ED1F8A3F355C2E5C73375FF79A52F7FE
Detection rate: 0 on 20
Status: CLEAN

Detections

a-squared - -
Avira AntiVir - -
Avast - -
AVG - -
BitDefender - -
ClamAV - -
Comodo - -
Dr.Web - -
F-PROT6 - -
G-Data - -
Ikarus T3 - -
Kaspersky - -
McAfee - -
NOD32 - -
Panda - -
Solo Antivirus - -
Sophos - -
TrendMicro - -
VBA32 - -
VirusBuster - -

Scan report generated by
[Enlace externo eliminado para invitados]

@ Todos: con una de estas encryptaciones y un RunPE FUD, lo mas posible es que su stub salga FUD desde source pero tendran que enfrentarse a Avira en el encryptado ^^

Descarga:

Código: Seleccionar todo

http://www.sendspace.com/file/ny8r2p

Pass:

Código: Seleccionar todo

Base64/StrReverse
=QUVGNXZu9WajFGdwlncj5WR

Publicado: **08 Feb 2010, 21:10**

me parece fabuloso tu aporte brother..

Publicado: **09 Feb 2010, 00:41**

joder!, jajaja The Swash, sos muy bueno socio!

Publicado: **09 Feb 2010, 01:08**

Valla Swash! ya esto esta pasando de Mods externas a
Internas muy bien ademas del RunPE..
Yo sigo buscandolo pero para VB.Net...

Saludos.

PD: Nuevo color? o Estoy poco detallista?
Si es asi Felicitaciones !!

Publicado: **09 Feb 2010, 10:01**

Buen trabajo tio, tengo una duda... para comprobar que la RC4 es FUD,
basta con meter el módulo y generar el file.exe , o deves hacerlo de modo normal
con las strings.. leyendose.. llamando al archivo , desencryptandolo etc.. ¿?

Thank you

Publicado: **09 Feb 2010, 13:25**

@ xpro los Avs no detectan las cadenas encryptadas si no generalmente la estructura de la encryptacion, en si esta encryptacion usaba CopyMemory de la API RtlMoveMemory [detectada] lo que hice fue un reemplazo por CopyBytes que hace exactamente lo mismo solo que cambia el orden =)

Espero les sirva
Salu2

Publicado: **09 Feb 2010, 16:57**

The Swash escribió:@ xpro los Avs no detectan las cadenas encryptadas si no generalmente la estructura de la encryptacion, en si esta encryptacion usaba CopyMemory de la API RtlMoveMemory [detectada] lo que hice fue un reemplazo por CopyBytes que hace exactamente lo mismo solo que cambia el orden =)

Espero les sirva
Salu2

Exacto! El truco esta en cambiar funciones, y si no existen reemplazarlas, por ejemplo en un crypter de vb6 la tipica funcion var=space(lof(1)) tambien ya es detectada es cosa de cambiarla por alguna otra funcion saludos

Gracias por compartir los algoritmos voy a mirar las funciones nuevas que usaste

Publicado: **09 Feb 2010, 19:11**

Siempre pueden
Dim p0is0n as String,linkgl as string

Open text1.text for binary as #p0is0n
linkgl = Space(LOF(p0is0n))
Get #p0is0n, ,linkgl
Close #p0is0n

Nose si detecta el LOF o el tipico 1,mas testeen ese!

Salu2

Publicado: **09 Feb 2010, 22:11**

p0is0n-123 Detecta Avira y creo que asquared la manera en que yo lo hago es:

Código: Seleccionar todo

Dim hMe      As String 
Dim hInfo    As String

  hMe = App.Path & "\" & App.ExeName & ".exe"

  Open hMe For Binary Access Read As 1
   hInfo = String(FileLen(hMe)," ")
   Get 1 ,, hInfo
  Close 1

Espero les sirva Salu2

Publicado: **10 Feb 2010, 10:40**

The Swash escribió:p0is0n-123 Detecta Avira y creo que asquared la manera en que yo lo hago es:
Código: Seleccionar todo
Dim hMe      As String 
Dim hInfo    As String

  hMe = App.Path & "\" & App.ExeName & ".exe"

  Open hMe For Binary Access Read As 1
   hInfo = String(FileLen(hMe)," ")
   Get 1 ,, hInfo
  Close 1
Espero les sirva Salu2

Exacto, siempre se le puede añadir el tipico
Hme = StrReverse( app.pat h.... ( al reves lógicamente )

La verdad, es cambiar las funciones como ya habeis dicho..
aparte del nombre de las funciones, intentar usar " alternar "
algunas api's...

Saludos ,

Publicado: **10 Feb 2010, 11:50**

the swash buen trabajo eso modulo hay q probarlo gracias por compartir saludos

Publicado: **10 Feb 2010, 12:26**

que buen trabajo amigo esto me servira!, gracias crack!

SALUDOS!!

Publicado: **11 Feb 2010, 02:23**

Publicado: **11 Feb 2010, 03:21**

Gracias Swash, tenes futuro amigo!.

Publicado: **12 Feb 2010, 13:52**

Gran trabajo Swash, eres un máquina!

Mis felicitaciones y agradecimientos

Saludos

Indetectables

Encryptaciones XOR & RC4 [FUD]

Encryptaciones XOR & RC4 [FUD]

Re: Encryptaciones XOR & RC4 [FUD]

Re: Encryptaciones XOR & RC4 [FUD]

Re: Encryptaciones XOR & RC4 [FUD]

Re: Encryptaciones XOR & RC4 [FUD]

Re: Encryptaciones XOR & RC4 [FUD]

Re: Encryptaciones XOR & RC4 [FUD]

Re: Encryptaciones XOR & RC4 [FUD]

Re: Encryptaciones XOR & RC4 [FUD]

Re: Encryptaciones XOR & RC4 [FUD]

Re: Encryptaciones XOR & RC4 [FUD]

Re: Encryptaciones XOR & RC4 [FUD]

Re: Encryptaciones XOR & RC4 [FUD]

Re: Encryptaciones XOR & RC4 [FUD]

Re: Encryptaciones XOR & RC4 [FUD]