Jump to content

[Anti-heurística] Cómo Cansar a los AV + Ejemplo compilable


Recommended Posts

Cómo Cansar a los AV + Ejemplo compilable

 

Bueno gente, hoy les traigo un ejemplo practico en forma de pseudo codigo:

les voy a mostrar como hacer para evitar que la heuristica de TODOS los AV caigan de una manera sencilla

El codigo que voy a usar de ejemplo es algo que programe recien que es detectado por 8 antivirus segun VirusTotal

 

primero les presento el codigo detectado, el cual es una funcion para agregar una clave al registro.

 

Hidden Content

    Give reaction to this post to see the hidden content.

 

cualquier antivirus berretin se da cuenta de que

 

Hidden Content

    Give reaction to this post to see the hidden content.

 

es un virus (mas allá del nombre)

 

entonces que vamos a hacer, vamos a lo que yo llamo "cansar" a los AV.

les vamos a agregar ciclos redundantes a nuestro programa.

Dado que los antivirus, ejecutan el programa en su "sandbox" para ver si tiene virus y esa ejecucion es limitada, que pasa si

pasamos ese limite?, y bueno es facil deducir que no va a poder llegar a fondo.

entonces lo que voy a hacer es separar las funciones, a una meterla adentro de un ciclo y las demas dejarla separadas.

El ciclo es grande y ademas contiene un calculo de seno avanzado,

 

aqui esta el codigo nuevo:

 

Hidden Content

    Give reaction to this post to see the hidden content.

 

fijese que agregue esto de mas

 

Hidden Content

    Give reaction to this post to see the hidden content.

 

que pasa entonces? el motor del antivirus se cansa y su heuristica no sirve para nada y que obtenemos

obtenemos un lindo 0

 

File name: registro.exe

Submission date: 2011-02-24 04:36:14 (UTC)

Current status: finished

Result: 0/ 43 (0.0%)

 

NOTA: si bien engañamos a los AV nuestra CPU va a tardar en ejecutar todo eso,pasa que yo lo exagere, se puede bajar el numero de ciclos e ir probando, con algo mas razonable, pero bueno si es agregar algo al registro, no creo que joda que tarde 5 segundos mas :P

 

un abrazo muchachos a los nuevos, a los viejos y a los de siempre

 

LeoS *;D

 

Hidden Content

    Give reaction to this post to see the hidden content.

Link to comment
Share on other sites

  • 4 years later...
  • 10 months later...
Guest
This topic is now closed to further replies.
 Share

Chat Room

Chat Room

Chatroom Rules

No support in chat, open a thread.

×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.