Indetectables

Buenas,estoy trabajando desde source y este es el unico AV que me queda,trate de sacarlo desde binario y me salta avira,y avira no me deja funcionales

Filename: Stub.exe
Type: File
Filesize: 867328 bytes
Date: 30/06/2015 - 04:37 GMT+2
MD5: 60ac63b87b19347982ee9a41c9d4482f
SHA1: 780e66a779339f0df4bbd75a2a9189a7c778486e
Status: Infected
Result: 1/35

AVG Free - OK
Avast - OK
AntiVir (Avira) - OK
BitDefender - OK
Clam Antivirus - OK
COMODO Internet Security - OK
Dr.Web - OK
eTrust-Vet - OK
F-PROT Antivirus - OK
F-Secure Internet Security - OK
G Data - OK
IKARUS Security - OK
Kaspersky Antivirus - OK
McAfee - OK
MS Security Essentials - OK
ESET NOD32 - OK
Norman - OK
Norton Antivirus - OK
Panda Security - OK
A-Squared - OK
Quick Heal Antivirus - OK
Solo Antivirus - OK
Sophos - OK
Trend Micro Internet Security - OK
VBA32 Antivirus - OK
Zoner AntiVirus - OK
Ad-Aware - OK
BullGuard - OK
FortiClient - OK
K7 Ultimate - OK
NANO Antivirus - OK
Panda CommandLine - OK
SUPERAntiSpyware - OK
Twister Antivirus - Trojan.Injector.Autoit.DR.plpk
VIPRE - OK

Scan Result: [Enlace externo eliminado para invitados]
[Enlace externo eliminado para invitados]



Algun tip?,no uso UPX

Has probado cambiar de compilador?

el tip esta aqui http://www.indetectables.net/viewtopic. ... c1d591eb2d

la firma se encuentra más o menos en aquellas partes
se puede buscar con avfucker

que otro compilador???

si, desde 1000 y 1100 deja sin twister y funcional pero salta avira,y avira no me deja funcional

me di cuenta de algo, compile sin código alguno y en mi virtual usando "AutoIt3Wrapper" y me salta la firma igual .________________________.
use refud.me pensando que Majyx puede estar bug o algo.



Twister estara mas paranoico que Avira??
Que mierda hago ahora

Elargrt escribió:me di cuenta de algo, compile sin código alguno y en mi virtual usando "AutoIt3Wrapper" y me salta la firma igual .________________________.
use refud.me pensando que Majyx puede estar bug o algo.

Twister estara mas paranoico que Avira??
Que mierda hago ahora

codigo autoit? haciendo avfucker con 00 sale igual avira ?

Elargrt escribió:me di cuenta de algo, compile sin código alguno y en mi virtual usando "AutoIt3Wrapper" y me salta la firma igual .________________________.
use refud.me pensando que Majyx puede estar bug o algo.

Twister estara mas paranoico que Avira??
Que mierda hago ahora

Siempre se compilan stubs con ciertos parametros de configuracion, y puede que la firma se deba a eso (si eliges los parametros '123' te salta la firma, si eliges los parametros '122' no te salta )

Por ejemplo, los binarios en Visual Basic 6 'normales' no son detectados, pero los binarios que usen CallWindowProc son un 90% mas detectados...

Prueba otras opciones en el compilador y nos cuentas

PD: Con respecto al mensaje de arriba, si, el compilador al cual me referia era AutoIt3Wrapper

Saludos!

El AutoIt3Wrapper en realidad es para cambiar las directivas de compilado del script, ya sea de forma manual desde la GUI o especificandolo en el codigo.

AutoIt esta firmado con firmas muy genericas, el Quick Heal y el Twister siempre suelen saltar con este tipo de firmas, prueba a compilar con el nivel de compresión mas bajo, algunas veces me ha funcionado.

//Regards.

Logre sacarla compilando en 64bits y en baja compresion , pero al abrir el anotador encriptado no funciona.
Alguien tiene alguna idea de otra forma de sacarla?

El compilado de 64 Bits solo funciona en dicha arquitectura, intenta a jugar con el icono y el version info compilando con baja compresion.

//Regards.

Lo logre trabajando desde HEX y comparando el compilado de 64 bits con el de 32 bits
si alguien le interesa me manda un MP

Saludos y gracias