Video: Dejando indetectable el poison ivy al nod32 con signaturezero
Introduccion:
En este video se ve como dejo un server puro del troyano poison ivy 2.3.2 indetectable al antivirus nod32 actualizado al dia.
El metodo que uso es uno de los mas faciles y rapidos, lo que realizo es buscar y encontrar la firma detectada por el antivirus con el signaturezero, reemplazando con ceros por partes el codigo hasta ayarla, una vez ayada la firma detectada exactamente, simplemente la reemplazo con ceros y el server queda indetectable al antivirus y totalmente funcional. Este metodo no requiere de edicion hexadecimal, cambios de flujo ni nada de eso, simplemente lo que se hace es borrar la firma, por lo tanto no funcionara con todos los troyanos ni con la mayoria de los encriptadores, porque romperian el archivo, si lo quieren terminar con cualquier encriptador o troyano pueden continuar leyendo el manual de Octalh* (desde pag9).
Yo lo demostre con el poison ivy porque el tamaño de su server es muy pequeño y es rapido para encontrar las firmas, y utilize el nod32 porque es el antivirus que utilizo, pero un amigo lo probo con el KAV y funciona perfectamente (tienen que desactivar la inyeccion en la creacion del server para que no lo detecte la defensa proactiva de mierda)
Video:
Pasos que realize:
-Primero y principal exclui del nod32 la carpeta con la que voy a trabajar por el simple hecho de evitar que salte el cartelito diciendo que se encontro un virus cada vez que ejecuto el signaturezero, el poison ivy, los server, y demas.
-Descargue el poison ivy 2.3.2 y el signaturezero y los puse en la carpeta donde trabajare, anteriormente excluida con el nod32.
-Lo siguiente que realize fue crear el server del poison ivy 2.3.2 y lo coloque en la misma carpeta con el nombre SERVER.exe.
-Lo escanie con el nod32 y obiamente lo detectaba como troyano.
-Ejecute el siganturezero y abri el server que cree con el poison ivy (SERVER.exe)
-Rellene con ceros la parte de la derecha del server y guarde el archivo resultante con nombre "1" sin extencion.
-Abri el notepad para anotar los datos, en este caso anote 3498 que es hasta donde rellenare de ceros (no es nesesario, pero sirve para agilizar)
-Escanie el archivo "1" que guarde, con el nod32 y me aparecia que el archivo estaba infectado, lo que quiere decir que la firma que buscamos se encuentra del lado izquierdo, ya que no se relleno de ceros ese lado.
-Abri de vuelta el signaturezero, abri el server y rellene de ceros la parte izquierda del server desde 512 hasta 3498 y guarde el archivo como "2"
-Escanie el archivo "2" con el nod y me decia que el archivo estaba desinfectado, quiere decir que la firma se encuentra entre 512 y 3498.
-Despues avanze un poco hacia la izquierda, pase de 3498 a 2505, lleno de ceros guarde como "3" y analise el server: limpio, por lo tanto la firma se encuentra entre 512 y 2505.
-Seguidamente avanze hacia la derecha de 512 a 1287 lleno de ceros, guardo, analizo: server limpio, la firma se encuentra entre 1287 y 2505
-Avanzo hacia izquierda de 2505 a 2029, lleno, guardo, analizo, server limpio, la firma se encuentra entre 1287 y 2029
-Y haci sigo hasta que llego a llenar de ceros entre 1679 y 1777, guardo, analizo y me da que esta infectado, por lo tanto la firma no esta entre 1679 y 1777, por logica tiene que estar entre 1777 y 2029 y sigo el procedimiento.
-De esta manera sigo avanzando de izquierda a derecha e inversamente hasta llegar ayar la firma.
-Una vez allada la firma exacta (en mi caso esta entre 1971 y 1973), la relleno de ceros y guardo el archivo resultante con extencion .exe.
-Eso es todo ya tengo mi server del poison ivy indetectable al nod32 y pueden ver que funciona perfectamente.
El Pharming es una nueva modalidad de fraude online, que consiste básicamente en
modificar la relación que existe entre el nombre de una web en internet y su respectivo servidor Web. Se trata de suplantar el sistema de resolución de nombres de dominio (DNS) para conducir al usuario a una página web falsa idéntica a la original.
Para que se entienda mejor: en situaciones normales, si tipeamos en nuestro Internet
Explorer la dirección www.bancorio.com.ar, estaremos ingresando al sitio web del
Banco Río de Buenos Aires. Pero si hemos sido víctimas de un ataque de Pharming, al
tipear www.bancorio.com.ar ingresaremos sin saberlo a un sitio web falso exactamente
igual al del banco, pero que ha sido creado por los atacantes con el fin de robar los datos de nuestra cuenta bancaria.
Imagen con un ejemplo del pharming y gmail, utilizado para robar cuentas de gmail.
En este manual se explica todo desde 0 como si no se supiera nada, todo con imagenes. Esta muy completo, hasta incluye algo de como programar en batch un ejecutable que cambie el archivo host. Tambien incluye como podemos protegernos de estas amenazas y varias cosas mas. Esta muy bueno, se los recomiendo.
si ejecutas el archivo worm.bat se crearan archivos infinitos en nuestro pc.
nuestro worm se autocopiara en el directorio
c:windowssystem32worm.bat
cada ves que se incie el pc y la segunda linea es para agregar una entrada al registro lo kual iniciara el virus kada ves ke se inicie sesion.
Método MEEPA by MazarD
Un tutorial práctico sobre como hacer indetectable un troyano modificando sus firmas, este método resuelve los principales problemas del método RIT de hackxcrack como las firmas en encriptaciones o la imposibilidad de automatizar el proceso. Está enfocado a gente con pocos o nulos conocimientos sobre ensamblador. También subo un zip con una herramienta y el troyano para seguir el tutorial.
Publicado en la e-zine InSecurity
Este sitio web fue creado de forma gratuita con PaginaWebGratis.es. ¿Quieres también tu sitio web propio?
