Modificando un Crypter by cLaRoScUrO

[!x0k.]

Modificando un Crypter by cLaRoScUrO

Bueno en vista de que todos quieren tener su troyano indetectable pero los crypters posteados en el foro duran dias y a veces horas les voy a enseñar o tratar al menos como modificar un crypter para que sea indetectable... Bueno manos a la obra...
Las herramientas que necesitaremos seran:
*Un Crypter para este tutorial vamos a usar este "CrYpT3R" ( Crypter and Binder)
*HexWorkShop
*Olly DBG
*ResHack
*SignatureZero (o cualquier herramienta para buscar las firmas que detecta el antivirus)
*Ganas y Paciencia :P

Descargar:

You do not have sufficient rights to see the hidden data contained here.

Bueno para empezar vamos al ResHack y abrimos nuestro crypter... y vamos a retirar nuestro stub tal como muestra la imagen para empezar a hacer las modificaciones...vamos a Action/Save Resource as a binary file... y lo guardamos con el nombre que queramos.

[Dear Guest/Member you can't see link before replyclick here to register]

Despues vamos a hacer un escaneo en [Dear Guest/Member you can't see link before replyclick here to register] (siempre marcando la opcion de no distribuir muestras) para ver cuantos Avs no los detectan y para ver que Avs necesitaremos...

Detection rate: 9 on 24

Detections

a-squared - Backdoor.Win32.Bifrose!IK
Avira AntiVir - Nothing found!
Avast - Win32:Bifrose-DXJ [trj]
AVG - Nothing found!
BitDefender - Backdoor.Generic.144576
ClamAV - Nothing found!
Comodo - Backdoor.Win32.Bifrose.~AJX
Dr.Web - Win32.HLLW.MyBot
Ewido - Nothing found!
F-PROT 6 - Nothing found!
G DATA - Backdoor.Win32.Poison.rao A
IkarusT3 - Backdoor.Win32.Bifrose
Kaspersky - Backdoor.Win32.Poison.rao
McAfee - Nothing found!
MHR (Malware Hash Registry) - Nothing found!
NOD32 v3 - Nothing found!
Norman - Nothing found!
Panda - Nothing found!
Quick Heal - Nothing found!
Solo Antivirus - Nothing found!
Sophos - Nothing found!
TrendMicro - Nothing found!
VBA32 - Backdoor.Win32.Bifrose.ajlb
Virus Buster - Nothing found!

Scan report generated by
[Dear Guest/Member you can't see link before replyclick here to register]

Ya ahora podemos comenzar, yo voy empezar a buscar firmas con Avast ustedes pueden empezar con el que gusten...
Con el antivirus instalado y actualizado (si no desean tener que estar desinstalando su antivirus para instalar otro pueden usar una VirualBox y instalar en esta los Avs que van a usar) abrimos el SignatureZero y buscamos nuestro Stub.
Aqui tenemos dos formas de encontrar nuestra firma/as, podemos dejar los marcadores a los extremos y seleccionar "Entre los marcadores" y darle al boton Crear archivos y cuando termine escanear la carpeta Temp con nuestro Av`s asi nos quedaran solo los archivos donde esta nuestra firma o la segunda opcion es ir rellenando con ceros por pedazitos hasta cercar nuestra firma. Es bueno aclarar que la primer ocion solo es recomdable dependiendo del peso del stub si nuestro stub pesa unos 500 kb no es para nada recomdable usar esta opcion ya que se crean un archivo por cada offset por lo cual tendriamos unos 500.000 archivos de 500 kb y esto se pondria pesado. Pero tambien se pueden utilizar ambas opciones es decir vamos rellenando con ceros y ponemos los marcadores solo en la parte verde como para cercar exactamente nuestra firma.
IMPORTANTE: para la primera opcion nuestro antivirus tiene que estar desactivado para la segunda es necesario tenerlo activado en tiempo real.

Opcion 1

[Dear Guest/Member you can't see link before replyclick here to register]

Opcion 2

[Dear Guest/Member you can't see link before replyclick here to register]

imagen solo para guiarse, aqui no esta cercada la firma.

Ok ya tenemos nuestra firma cercada para este antivirus (Avast) la firma esta entre los offsets 5804 y 5835. (utilize la primer opcion rellenando primero como en la imagen de arriba gran parte con ceros)

[Dear Guest/Member you can't see link before replyclick here to register]

bien aqui podemos pasar al editor Hexadecimal (HexWorkShop) o directamente al Olly, yo siempre primero lo miro en el editor Hexadecimal ya que aveces se puede modificar muy facilomente y evitar el trabajo mas latoso con el Olly... bueno veamos nuestra firma...

[Dear Guest/Member you can't see link before replyclick here to register]

Como ven ahi tenemos nuestra firma, aqui podemos intentar modificar algo a ver si nos evitamos ir al Olly. Bueno aqui tendran que ir probando de ir cambiando una letra de Mayuscula a Minuscula, un numero por otro, un caracter por otro y asi, ahora si aparece en la firma Kernel32.dll o algo similar no se gasten en tocar esta parte porq quedara inservible, Aqui ya juega un poquito la practica y el sentido comun.
Yo directamente fui a las " que aparecian en la firma que es igual al numero 22 y lo cambie por 23 y lo guardamos, una tontera :P, bien ahora le pasamos nuestro antivirus y seguramente no lo detectara pero funcionara? como lo sabemos? Bueno vamos nuevamente al ResHack y abrimos nuestro stub y nos posicionamos como muestra la imagen y click con el boton derecho y vamos a Remplace Resource...

[Dear Guest/Member you can't see link before replyclick here to register]

Buscamos nuestro stub con la modificacion lo cargamos y escribimos los datos como los tenemos en el ResHack y se ve en la imagen y le damos en Remplace... Despues vamos a File, Save as y lo guardamos como queramos.

[Dear Guest/Member you can't see link before replyclick here to register]

Y ahora lo probamos si funciona o rompimos el stub, yo voy a juntar y encriptar solo el server del Bifrost sin ningun otro archivo.

[Dear Guest/Member you can't see link before replyclick here to register]

Como ven funciona y si volvemos a escanear nuestro stub modificado en NoVirusThaks.org vemos que no solo nos saltamos la firma del Avast si no de otros dos y ya solo nos los detectan 6 de los 9 que lo detectaban en un principio.

Detection rate: 6 on 24

Detections

a-squared - Backdoor.Win32.Bifrose!IK
Avira AntiVir - Nothing found!
Avast - Nothing found!
AVG - Nothing found!
BitDefender - Nothing found!
ClamAV - Nothing found!
Comodo - Backdoor.Win32.Bifrose.~AJX
Dr.Web - Win32.HLLW.MyBot
Ewido - Nothing found!
F-PROT 6 - Nothing found!
G DATA - Backdoor.Win32.Poison.rao A
IkarusT3 - Backdoor.Win32.Bifrose
Kaspersky - Backdoor.Win32.Poison.rao
McAfee - Nothing found!
MHR (Malware Hash Registry) - Nothing found!
NOD32 v3 - Nothing found!
Norman - Nothing found!
Panda - Nothing found!
Quick Heal - Nothing found!
Solo Antivirus - Nothing found!
Sophos - Nothing found!
TrendMicro - Nothing found!
VBA32 - Nothing found!
Virus Buster - Nothing found!

Pero supongamos que esta forma de modificar no funcionara, tendriamos que usar otro metodo, podemos usar el [Dear Guest/Member you can't see link before replyclick here to register] o el [Dear Guest/Member you can't see link before replyclick here to register]... aqui usare el RIT que me parece un poquito mas latoso que el XOR y mejor explicar lo mas complicado.
Ok abrimos el Olly y buscamos nuestro stub (es el sin modificar ya que suponemos que no funciono lo anterior). Vamos a View, Executable file tal cual lo muestra la imagen...

[Dear Guest/Member you can't see link before replyclick here to register]

en la pantalla de Executable file apretamos Control + G y ponemos el offset donde teniamos nuetra firma (5804). unavez que nos lleva a esta firma podemos hacer otra vez lo mismo poniendo el offset donde terminaba la firma pero solo para ver la direccion donde terminaba asi vemos donde empieza y termina.

[Dear Guest/Member you can't see link before replyclick here to register]

Bueno una vez que tenemos localizada y seleccionada nuestra firma hacemos click boton derecho y vamos a View image in Disassembler...

[Dear Guest/Member you can't see link before replyclick here to register]

Bueno nos llevara a la la primer pantalla marcandonos toda nuestra firma, aqui seleccionaremos una parte y haremos un JUMP de esta, yo eleji desde la direccion 004016AC hasta 004016B5, teniendo seleccionada esta parte hacemos click boton derecho y vamos a Binary, Binary Copy...

[Dear Guest/Member you can't see link before replyclick here to register]

Aqui nos vamos al final de nuetrso stub donde tenemos bytes libres y vamos a pegar esto que copiamos, siguiendo basicamente el mismo paso Binary, Binary Paste en vez de Copy, se daran cuenta que no nos quedo como lo que copiamos pero a no preocupar que esta todo bien igual.

[Dear Guest/Member you can't see link before replyclick here to register]

Ahora tenemos que hacer el JUMP, para ello volvemos al pedazito de firma que copiamos y nos posicionamos desde donde comenzamos a copiar y hacemos click boton derecho y vamos a Assembler o apretando la barra espaciadora y ponemos "JMP 00405E74" y le damos Assembler, 00405E74 es la direccion donde comienza la firma que hemos copiado al final de nuetrso stub, si observan las imagenes se daran cuenta, esto siempre tienen que anotarlo para asi no tener que estar volviendo para atras cuando necesiten la direccion a la cual tienen que hacer el JUMP.

[Dear Guest/Member you can't see link before replyclick here to register]

Hacemos lo mismo pero desde donde termina la firma que copiamos hacia donde termina la firma original...

[Dear Guest/Member you can't see link before replyclick here to register]

Una vez hecho esto nos posicionamos sobre alguna de las modificaciones otra vez click boton derecho y vamos a Copy to executable, All Modifications y por ultimo Copy All.

[Dear Guest/Member you can't see link before replyclick here to register]

En esta pantalla solo hacemos click boton derecho y vamos a Backup, Save data to file. y lo guardamos como Custom_Mod o con el nombre que queramos.

[Dear Guest/Member you can't see link before replyclick here to register]

Bien ahora repetimos el paso que habiamos hecho con el ResHack y volvemos a cargar nuetrso stub modificado al crypter y lo probamos, antes probamos que se salte nuestro Antivirus tambien...

[Dear Guest/Member you can't see link before replyclick here to register]

Y funciona!!!

Bueno espero les haya gustado el tutorial y sirva para que haya menos ¿Como hago mi troyano indetectable? y haya mas crypters indetectables.

NOTA: Yo aqui explique el [Dear Guest/Member you can't see link before replyclick here to register] pero tambien pueden utilizar el [Dear Guest/Member you can't see link before replyclick here to register] o ambos ya que a veces hay firmas que no se pueden hacer un JUMP y tendran que recurrir al otro metodo. Saludos y hasta la proxima cLaRoScUrO.

No Suban sus mods a VirusTotal

Tutorial hecho para Foro.PortalHacker.net

by cLaRoScUrO

[Dear Guest/Member you can't see link before replyclick here to register]

[Fuen]

Eso esta muy bien, pero si solo tienes 1 antivirus instalado en el ordenador, al pasarle el signature zero solo dejara de ser detectable para nuestro antivirus no? como lo hago indetectable a los demas?

[!x0k.]

Eso esta muy bien, pero si solo tienes 1 antivirus instalado en el ordenador, al pasarle el signature zero solo dejara de ser detectable para nuestro antivirus no? como lo hago indetectable a los demas?

tienes que instalarte un máquina virtual y ahi instalar los antivirus que quieras para modifcarlos

manual aqui
[Dear Guest/Member you can't see link before replyclick here to register]

ejemplo
[Dear Guest/Member you can't see link before replyclick here to register]

[C-ChacK]

Si lo mejor que puedes hacer es eso, instalar una maquina virtual!! Pero la verdad desde que lo hagas a unos cuantos indetectable solucionaras otros... ya que algunos antivirus detectan los mismos offsets como sospechosos...

[coyot3]

tengo un problema cada stub que abro en el olly para provar el metodo xor incluido el stub del crypter que as puesto para el tutorial, cuando lo abro no me aparece en el mismo punto que ati en vezde aparecerme en el "push custom.0040xxx" me aparece en un punto totalmente distinto "REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS>" y si sigo los pasos que dices no haciendo caso a esto me sale mal.. ¿por que es?

[!x0k.]

no lo estas abriendo bien,si te fijas en el titulo del olly debe de poner otro archivo en vez de la ruta /stub.exe ..........cargas el archivo al olly y después haces alt+E y te aprecerá una ventana le das bloble click al que tiene la ruta del stub asi se cargará bien

[coyot3]

cuando busco la firma empieza en la posicion 00001200 pero en cuanto arrrastro para seleccionar hasta el final de la firma no esta el numero tendria que ser el 000013CB y en el olly salta del 000013CA al 000013CE y si empiezo a seleccionar desde el final de la firma con control+g me sale la posicion 000013CB (la buena) pero no me sale el principio xD se salta el 00001200.
osea que no puedo deselcionar la firma por que las dos posiciones no me salen, se las bota
¿es normal?

[viciushack]

ola porke no se ven dos imagenes, ke ademas son muy importantes para enterarme de esto??? no las uedo conseguir de algun lado un saludo

[!x0k.]

ola porke no se ven dos imagenes, ke ademas son muy importantes para enterarme de esto??? no las uedo conseguir de algun lado un saludo

ahora ya se pueden ver todas,es que estaba el server caido

[nadie]

WOWW ERES SUPER ME ENSEÑARIAS? snox dejo mi msn espero me ayudes estoy aprendiendo soy un usuario nuevo me ayudas porfavorr
mi msn