Indetectables

Bueno, un como prometí, este es el proyecto el en que he estado trabajando esta semana: Un Crypter "Simple"
"Simple" por que no tiene opciones, pero no es tan simple. Usa una nueva encriptación, una nueva forma de pasar datos, y un runpe modificado. Por falta de tiempo no he podido testearlo al 100% pero debería funcionar sin problemas. Tampoco he podido escanearlo para ver cómo ha quedado, pero con unos cuantos retoques, se fudea seguro.

[Enlace externo eliminado para invitados]
Pass:==gTvNVZNV2TjVncyVmThRWYRVXZQ9mblJXIhoDR

No hace falta que diga con qué está encriptada la pass no??

Por cierto, si compiláis y testeáis directamente, no funcionará, hay que cambiar unas cositas en el binario del Loader (A.K.A. Stub), si veo que nadie consigue "arreglar" el Loader para que funcione, ya diré como, pero es como una protección adicional contra Rippers :P

Saludos!!

P.D: Mañana pongo una foto, que hoy ya es tardecito, y mañana tengo clase xDD

saludos Slek se ve bn tu proyecto esperemos que el crypter salga genial gracias por compartir y bienvenido amigo Slek saludos crack

Tan innovador como siempre....

Tssss pesado hay que revisar el source... Gracias co

Bueno, no me deja editar, así que pongo aquí la imagen:



Pista1: La pass usa StrReverse (2 veces, alternadas)
Pista2: Fijaos en el Cliente, qué es lo que busca... ¿está en el Loader? jaja

Muchas gracias!!
Saludos!

P.D: Cualquier cosa preguntad!

Gracias fiera.. me alegra ver estas cosas, realmente cada día avanzas con mucha más fuerza!!

Una cosita.. aunque mañana termino de revisarlo por falta de tiempo xD:

'KERNEL32

Ahí hay trampa.. jajaja en ese comentario juraría que no todo es kernel sino que al menos una de las 6 es ntdll, me equivoco?

De todos modos mañana si puedo termino de revisarlo, no des la solución :P

See, hay una que es ntdll, es que el 'KERNEL32 es para las Apis debidamente declaradas (GetProc.. y LoadLib..) las otras las mezclé, y las puse según el orden en el que se usan en el runpe, por comodidad y orden xDD

Ok ok, pero no hay que tocar nada de las Apis

Saludos!!

Que tiene de especial? (esque no quiero descargar jeje)

saludos.

@Metal, aquí hay más pistas, prácticamente digo la solución >,<

@mDrinky: Saludos!!

Scan Anotator encriptado:

Date and Time: 10/10/2011 1:40:17 P
File Name: Crypted.exe
File Size: 45056 Bytes
Detection: 4/35
Status: INFECTED

AntiVir (Avira) - TR/Dropper.Gen
F-Secure Internet Security - Gen:Trojan.Heur.ZGY.5
G Data - Gen:Trojan.Heur.ZGY.5 (Engine-A)
BullGuard - virus: Gen:Trojan.Heur.ZGY.5

Avira salta por el EOF y las APIs GetProccAddress y LoadLibray, tiene fácil solución. Y los otros 3 Avs tienen todos la misma firma, seguramente que sacando Avira saldrán también, o sino sustituyendo algunas APIs por su versión nativa (Heur) :P

Saludos!!

P.D: Perdón por el doble post, no me deja editar >,<

Qué interesante!, muchas gracias por compartir!

Lo Sientoo!! Mi Mod del RunPE tiene un fallito, y no tira con exes muy grandes... Pero tiene fácil arreglo.
Y he estado testeando con @Dune y no le tiraba, pero bueno, por eso está en Beta ;D
La próxima versión será mejor (de eso se trata no? de mejorar xD)

Saludos!

P.D: De todas formas podéis seguir estudiando la forma en que pasa los datos... xDD

Se pinta bien..
Mi parece un gran aporte.
Descargando para probar,

Muchas gracias Slek y si efectivamente las Apis Load y Get son detectadas por Avirita.

Saludos.

se ve muy bueno tu code slek , regressaste com toda carga , salud2 companhero