Jump to content
YOUR-AD-HERE
HOSTING
TOOLS

Locked tip para quitar algunos avs By ELBARTOkpc

ELBARTOkpc
 Share

Recommended Posts

ELBARTOkpc Initiate

INACTIVE ELBARTOkpc

Posted
Posted

Hola.

Hace unas semanas que no posteo algun crypter, porque he estado haciendo pruebas de varias cosas xD.

bueno ayer me decidi a moddear desde binario, porque hace tiempo no lo hacia y me puse a hacer pruebas con hex y descubri un tip, que luego con las pruebas me di cuenta que sirve para la suspicius de panda(al menos en todo los crypters que he probado funciono), mcafee, algunas de kas, la tr.dropper.vb.gen(testeado en un crypter, pero no consegui la misma firma en otros stubs), quita muchas firmas de bit defender, comodo y otros avs que ahora no me acuerdo.

 

el tip esta testeado en window xp sp2 y window 8, si el tip ya existia, les pido me perdonen y borren el post pues luego de hacer los test pertinentes lo googlie y no lo encontre.

 

les dejo unas pruebas de los resultados:

binario original crypter corp-51

 

 

Url

This is the hidden content, please

FileName = Corp-51.exe

FileSize = 90,226 Kbs

Scan :

Detections = 22 Of 26

 

 

arcavir : OK

avast : Win32:VB-ACOC [Trj]

avg : Trojan horse Dropper.Generic5.AAFK

avira : Is the TR/Dropper.Gen Trojan

bitdefender : Gen:Variant.Graftor.24204

clamav : WIN.Worm.Palevo-91 FOUND

comodo : TrojWare.Win32.Injector.NEN@285993120

drweb : infected with Win32.HLLW.Lime.2897

emsisoft : Gen:Variant.Graftor.24204 (B)

nod32 : a variant of Win32/Injector.NEN trojan

fprot : OK

fsecure : Gen:Variant.Graftor.24204

ikarus : Trojan.Win32.VBKrypt

kaspersky : P2P-Worm.Win32.Palevo.emjd

mcafee : Found the Generic Malware.er!ats trojan !!!

microsoft : VirTool:Win32/VBInject

norman : winpe/VBKrypt.DEB

panda : Suspicious file

quickheal : Detected: \"I-Worm.Palevo.emjd\"

sophos : OK

symantec : Trojan.ADH.2

etrust : OK

trendmicro : Found Virus [TROJ_SPNR.30L412]

vipre : Trojan.Win32.Generic!BT

vba32 : infected Malware-Cryptor.VB.gen.1

virusbuster : virus found: Worm.P2P.Palevo!+iXjIzZT1sU

 

BB-Code Generado por

[ M3 Online Chk4Me BBCode Tool ]

Análisis por Chk4Me.com

 

 

binario original modificado por el tip:

 

Url

This is the hidden content, please

FileName = Corp-51tip.exe

FileSize = 90,226 Kbs

Scan :

Detections = 15 Of 26

 

 

arcavir : OK

avast : Win32:VB-ACOC [Trj]

avg : Trojan horse Dropper.Generic5.AAFK

avira : Is the TR/Dropper.Gen Trojan

bitdefender : Gen:Trojan.Heur.VB.fm0@eyxNHkji

clamav : OK

comodo : OK

drweb : infected with Win32.HLLW.Lime.2897

emsisoft : Gen:Trojan.Heur.VB.fm0@eyxNHkji (B)

nod32 : a variant of Win32/Injector.NEN trojan

fprot : [Found security risk]

fsecure : Gen:Trojan.Heur.VB.fm0@eyxNHkji

ikarus : Trojan.Win32.VBKrypt

kaspersky : P2P-Worm.Win32.Palevo.emjd

mcafee : OK

microsoft : VirTool:Win32/VBInject

norman : winpe/VBKrypt.DEB

panda : OK

quickheal : OK

sophos : OK

symantec : OK

etrust : OK

trendmicro : OK

vipre : OK

vba32 : infected Malware-Cryptor.VB.gen.1

virusbuster : virus found: Worm.P2P.Palevo!+iXjIzZT1sU

 

BB-Code Generado por

[ M3 Online Chk4Me BBCode Tool ]

Análisis por Chk4Me.com

 

 

snake crypter by fudmario binario original:

 

Url

This is the hidden content, please

FileName = sss.exe

FileSize = 77,824 Kbs

Scan :

Detections = 8 Of 26

 

 

arcavir : OK

avast : OK

avg : OK

avira : Is the TR/Dropper.VB.Gen Trojan

bitdefender : Gen:Trojan.Heur.VP2.em0@aSddZCJ

clamav : OK

comodo : OK

drweb : OK

emsisoft : Gen:Trojan.Heur.VP2.em0@aSddZCJ (B)

nod32 : a variant of Win32/Injector.AEEA trojan

fprot : OK

fsecure : Gen:Trojan.Heur.VP2.em0@aSddZCJ

ikarus : OK

kaspersky : Trojan.Win32.Bublik.azrr

mcafee : OK

microsoft : OK

norman : OK

panda : Suspicious file

quickheal : OK

sophos : OK

symantec : OK

etrust : OK

trendmicro : OK

vipre : Trojan.Win32.VBInject.gen (v)

vba32 : OK

virusbuster : OK

 

BB-Code Generado por

[ M3 Online Chk4Me BBCode Tool ]

Análisis por Chk4Me.com

 

 

snake crypter modificado por el tip

 

Url

This is the hidden content, please

FileName = ssstip.exe

FileSize = 77,824 Kbs

Scan :

Detections = 6 Of 26

 

 

arcavir : OK

avast : OK

avg : OK

avira : Is the TR/Crypt.ZPACK.Gen Trojan

bitdefender : Gen:Trojan.Heur.VB.em0@e0TSe9I

clamav : OK

comodo : OK

drweb : OK

emsisoft : Gen:Trojan.Heur.VB.em0@e0TSe9I (B)

nod32 : a variant of Win32/Injector.AEEA trojan

fprot : OK

fsecure : Gen:Trojan.Heur.VB.em0@e0TSe9I

ikarus : OK

kaspersky : OK

mcafee : OK

microsoft : OK

norman : OK

panda : OK

quickheal : OK

sophos : OK

symantec : OK

etrust : OK

trendmicro : OK

vipre : Trojan.Win32.VBInject.gen (v)

vba32 : OK

virusbuster : OK

 

BB-Code Generado por

[ M3 Online Chk4Me BBCode Tool ]

Análisis por Chk4Me.com

 

 

sin mas aca les dejo el tip:

en esta parte localizamos la zona, para que tu puedan encontrarla guiense por la estring "text", luego fijense en los valores hexadecimales, que se encuentran en la izquierda

 

This is the hidden content, please

This is the hidden content, please

 

ahi tendran que buscar el lugar en donde se encuentra el valor "01 00 00 10" ambos valores 00 00 son reemplazados por 90 y 90, quedando de esta forma 01 90 90 10, como lo explica la siguiente imagen

This is the hidden content, please

This is the hidden content, please

 

no soy muy bueno explicando, a si ue cualquier duda aqui en el post lo podemos resolver ;)

deben saber que el tip tiene una deventaja, si se cambia el primer offset en cuestio, el archivo pierde muchas posibilidades de modificacion como en olly o algunas opciones de lordpe.

 

saludos a todos y hasta la proxima

Link to comment
Share on other sites
Guest
This topic is now closed to further replies.
 Share
Go to topic listing
×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.