ELBARTOkpc Posted June 24, 2013 Share Posted June 24, 2013 Hola. Hace unas semanas que no posteo algun crypter, porque he estado haciendo pruebas de varias cosas xD. bueno ayer me decidi a moddear desde binario, porque hace tiempo no lo hacia y me puse a hacer pruebas con hex y descubri un tip, que luego con las pruebas me di cuenta que sirve para la suspicius de panda(al menos en todo los crypters que he probado funciono), mcafee, algunas de kas, la tr.dropper.vb.gen(testeado en un crypter, pero no consegui la misma firma en otros stubs), quita muchas firmas de bit defender, comodo y otros avs que ahora no me acuerdo. el tip esta testeado en window xp sp2 y window 8, si el tip ya existia, les pido me perdonen y borren el post pues luego de hacer los test pertinentes lo googlie y no lo encontre. les dejo unas pruebas de los resultados: binario original crypter corp-51 Url This is the hidden content, please Sign In or Sign Up FileName = Corp-51.exe FileSize = 90,226 Kbs Scan : Detections = 22 Of 26 arcavir : OK avast : Win32:VB-ACOC [Trj] avg : Trojan horse Dropper.Generic5.AAFK avira : Is the TR/Dropper.Gen Trojan bitdefender : Gen:Variant.Graftor.24204 clamav : WIN.Worm.Palevo-91 FOUND comodo : TrojWare.Win32.Injector.NEN@285993120 drweb : infected with Win32.HLLW.Lime.2897 emsisoft : Gen:Variant.Graftor.24204 (B) nod32 : a variant of Win32/Injector.NEN trojan fprot : OK fsecure : Gen:Variant.Graftor.24204 ikarus : Trojan.Win32.VBKrypt kaspersky : P2P-Worm.Win32.Palevo.emjd mcafee : Found the Generic Malware.er!ats trojan !!! microsoft : VirTool:Win32/VBInject norman : winpe/VBKrypt.DEB panda : Suspicious file quickheal : Detected: \"I-Worm.Palevo.emjd\" sophos : OK symantec : Trojan.ADH.2 etrust : OK trendmicro : Found Virus [TROJ_SPNR.30L412] vipre : Trojan.Win32.Generic!BT vba32 : infected Malware-Cryptor.VB.gen.1 virusbuster : virus found: Worm.P2P.Palevo!+iXjIzZT1sU BB-Code Generado por [ M3 Online Chk4Me BBCode Tool ] Análisis por Chk4Me.com binario original modificado por el tip: Url This is the hidden content, please Sign In or Sign Up FileName = Corp-51tip.exe FileSize = 90,226 Kbs Scan : Detections = 15 Of 26 arcavir : OK avast : Win32:VB-ACOC [Trj] avg : Trojan horse Dropper.Generic5.AAFK avira : Is the TR/Dropper.Gen Trojan bitdefender : Gen:Trojan.Heur.VB.fm0@eyxNHkji clamav : OK comodo : OK drweb : infected with Win32.HLLW.Lime.2897 emsisoft : Gen:Trojan.Heur.VB.fm0@eyxNHkji (B) nod32 : a variant of Win32/Injector.NEN trojan fprot : [Found security risk] fsecure : Gen:Trojan.Heur.VB.fm0@eyxNHkji ikarus : Trojan.Win32.VBKrypt kaspersky : P2P-Worm.Win32.Palevo.emjd mcafee : OK microsoft : VirTool:Win32/VBInject norman : winpe/VBKrypt.DEB panda : OK quickheal : OK sophos : OK symantec : OK etrust : OK trendmicro : OK vipre : OK vba32 : infected Malware-Cryptor.VB.gen.1 virusbuster : virus found: Worm.P2P.Palevo!+iXjIzZT1sU BB-Code Generado por [ M3 Online Chk4Me BBCode Tool ] Análisis por Chk4Me.com snake crypter by fudmario binario original: Url This is the hidden content, please Sign In or Sign Up FileName = sss.exe FileSize = 77,824 Kbs Scan : Detections = 8 Of 26 arcavir : OK avast : OK avg : OK avira : Is the TR/Dropper.VB.Gen Trojan bitdefender : Gen:Trojan.Heur.VP2.em0@aSddZCJ clamav : OK comodo : OK drweb : OK emsisoft : Gen:Trojan.Heur.VP2.em0@aSddZCJ (B) nod32 : a variant of Win32/Injector.AEEA trojan fprot : OK fsecure : Gen:Trojan.Heur.VP2.em0@aSddZCJ ikarus : OK kaspersky : Trojan.Win32.Bublik.azrr mcafee : OK microsoft : OK norman : OK panda : Suspicious file quickheal : OK sophos : OK symantec : OK etrust : OK trendmicro : OK vipre : Trojan.Win32.VBInject.gen (v) vba32 : OK virusbuster : OK BB-Code Generado por [ M3 Online Chk4Me BBCode Tool ] Análisis por Chk4Me.com snake crypter modificado por el tip Url This is the hidden content, please Sign In or Sign Up FileName = ssstip.exe FileSize = 77,824 Kbs Scan : Detections = 6 Of 26 arcavir : OK avast : OK avg : OK avira : Is the TR/Crypt.ZPACK.Gen Trojan bitdefender : Gen:Trojan.Heur.VB.em0@e0TSe9I clamav : OK comodo : OK drweb : OK emsisoft : Gen:Trojan.Heur.VB.em0@e0TSe9I (B) nod32 : a variant of Win32/Injector.AEEA trojan fprot : OK fsecure : Gen:Trojan.Heur.VB.em0@e0TSe9I ikarus : OK kaspersky : OK mcafee : OK microsoft : OK norman : OK panda : OK quickheal : OK sophos : OK symantec : OK etrust : OK trendmicro : OK vipre : Trojan.Win32.VBInject.gen (v) vba32 : OK virusbuster : OK BB-Code Generado por [ M3 Online Chk4Me BBCode Tool ] Análisis por Chk4Me.com sin mas aca les dejo el tip: en esta parte localizamos la zona, para que tu puedan encontrarla guiense por la estring "text", luego fijense en los valores hexadecimales, que se encuentran en la izquierda This is the hidden content, please Sign In or Sign Up This is the hidden content, please Sign In or Sign Up ahi tendran que buscar el lugar en donde se encuentra el valor "01 00 00 10" ambos valores 00 00 son reemplazados por 90 y 90, quedando de esta forma 01 90 90 10, como lo explica la siguiente imagen This is the hidden content, please Sign In or Sign Up This is the hidden content, please Sign In or Sign Up no soy muy bueno explicando, a si ue cualquier duda aqui en el post lo podemos resolver ;) deben saber que el tip tiene una deventaja, si se cambia el primer offset en cuestio, el archivo pierde muchas posibilidades de modificacion como en olly o algunas opciones de lordpe. saludos a todos y hasta la proxima Link to comment Share on other sites More sharing options...
Recommended Posts