Comentarios

Mi humilde aportacion para toda la comunidad una super fud en nvt sale un bug de trend micro prueben y comenten

SO Testeado

Windows Xp S2
Windows Xp SP3
Windows Seven

Encriptaciones Con Rats

IndSocket RAT v0.5 conecta
Infection Ratio: 0/29 - [FUD]

Spy Net Conecta
Infection Ratio: 0/29 - [FUD]

Poison Ivy Conecta
Infection Ratio: 0/29 - [FUD]
Avast Pro Win32:VB-LTZ [Trj]
G Data Win32:VB-LTZ [Trj] (Engine-B)
NOTA: " Una vez encriptado el serve de PI modifican el offset 379468 x 90 "

MiniTuto

Las firmas de los encriptados de los rats la saque independiente con el encriptado del serve del rats probando aver si funcionaban uno por uno lo offset no detectado con el rat prendido.
Spy-Net le busque la firma en el serve encriptado y le añadi los bytes faltantes y modifique el offset en el stub en hex
Poison ivy este no pude lo que hise que busque un offset funcional e indetecable y cambiarlo directamente en hexadecimal pero no en el stub si no en el encriptado del serve de tal rat.

Stub Original

Multi-AV Scan Results
File Name: stub.exe
File Size: 24576 Bytes
Scan Date: 22/Aug/2010
Infection Ratio: 16/29
Scan Results:
- A-Squared >> Virus.Win32.VBInject!IK
- ArcaVir >> CLEAN
- Avast Pro >> CLEAN
- AVG Free >> CLEAN
- Avira AntiVir >> TR/Dropper.Gen
- BitDefender >> Gen:Trojan.VB.Refpron.1
- Clam Av >> CLEAN
- COMODO Internet Security >> TrojWare.Win32.VBInject.IK@105481527
- Dr.Web >> CLEAN
- ESET NOD32 >> Trojan.Win32/Injector.BDS
- eTrust-Vet >> Win32/VBInject.A!generic
- F-PROT Antivirus >> W32/VBTrojan.17!Generic
- F-Secure Internet Security >> Packed:W32/Vbcrypt.N
- G Data >> Gen:Trojan.VB.Refpron.1 (Engine-A)
- IKARUS Security >> Virus.Win32.VBInject
- Kaspersky Antivirus >> Worm.Win32.VBNA.b
- McAfee Antivirus >> Generic VB.i
- MS Security Essentials >> VirTool:Win32/Vbinder.gen!G
- Norman Antivirus >> CLEAN
- Norton Antivirus >> CLEAN
- Panda Security >> Blocked Suspicious
- Quick Heal Antivirus >> VirTool.Vbinder.Gen
- Rising Antivirus >> CLEAN
- Solo Antivirus >> CLEAN
- Sophos Antivirus >> Sus/VB-ABS
- Trend Micro Internet Security >> CLEAN
- VBA32 >> CLEAN
- VirusBuster Internet Security >> CLEAN
- Webroot Internet Security >> CLEAN
[Tienes que estar registrado y conectado para ver este vínculo]

Stub MOD

Multi-AV Scan Results
File Name: stub2.exe
File Size: 65543 Bytes
Scan Date: 22/Aug/2010
Infection Ratio: 0/29
Scan Results:
- A-Squared >> CLEAN
- ArcaVir >> CLEAN
- Avast Pro >> CLEAN
- AVG Free >> CLEAN
- Avira AntiVir >> CLEAN
- BitDefender >> CLEAN
- Clam Av >> CLEAN
- COMODO Internet Security >> CLEAN
- Dr.Web >> CLEAN
- ESET NOD32 >> CLEAN
- eTrust-Vet >> CLEAN
- F-PROT Antivirus >> CLEAN
- F-Secure Internet Security >> CLEAN
- G Data >> CLEAN
- IKARUS Security >> CLEAN
- Kaspersky Antivirus >> CLEAN
- McAfee Antivirus >> CLEAN
- MS Security Essentials >> CLEAN
- Norman Antivirus >> CLEAN
- Norton Antivirus >> CLEAN
- Panda Security >> CLEAN
- Quick Heal Antivirus >> CLEAN
- Rising Antivirus >> CLEAN
- Solo Antivirus >> CLEAN
- Sophos Antivirus >> CLEAN
- Trend Micro Internet Security >> CLEAN
- VBA32 >> CLEAN
- VirusBuster Internet Security >> CLEAN
- Webroot Internet Security >> CLEAN
[Tienes que estar registrado y conectado para ver este vínculo]

Contraseña:

01101100 10011100 11001100 00000100 01101100 10011100 11001100 00000100 11001100 10011100 11001100 00000100 10011100 10101100 11001100 00000100 00001100 11001100 00101100 00000100 11101100 01101100 11001100 00000100 00001100 10001100 00101100 00000100 01001100 10001100 00101100 00000100 00001100 00011100 11001100 00000100 10011100 01101100 11001100 00000100 00001100 10001100 00101100 00000100 00001100 01001100 00101100 00000100 10101100 01001100 00101100 00000100 00101100 10011100 11001100 00000100 00011100 01001100 00101100 00000100 10101100 10011100 11001100 00000100 00001100 10011100 11001100 00000100 10011100 01101100 11001100 00000100 10001100 00011100 11001100 00000100 10011100 10101100 11001100

EDIT: Pass Editada Un Simple Fallo

Encriptacion

Reverse - Binary - ZARA 128 - TRIPO-5 - Reverse

[Tienes que estar registrado y conectado para ver este vínculo]

que MOD! Gran trabajo Brother ! pero ahora biene la prueba de fuego con el Antvirus de nuestro foro

Segui asi loco!!

thnax

hey gracias

:O

folken321 evita comentar asi...., si vas a comentar un "gracias amigos vere si me sirve", un simple :O no basta y se considera basura,es una falta en este foro....