Este tutorial es muy sencillo, lo unico que nesecitamos es un editor hexadecimal...
Bueno el metodo consiste en cambiar un par de cosas en el exe que no afecte en nada!
Abrimos nuestro stub, en este caso estoy utilizando el sky crypt by sonic ( original )
y Hex Workshop!
Antes de seguir miremos cuantos avs detectan nuestro stub...
Detection rate: 21 on 24
a-squared - Virus.Trojan.Win32.VB!IK
Avira AntiVir - TR/VB.hsn.4
Avast - Win32:VB-KQI [Drp]
AVG - VB.FPA
BitDefender - Trojan.Generic.1232587
ClamAV - Trojan.VB-5974
Comodo - TrojWare.Win32.VB.~RA
Dr.Web - Trojan.Inject.5338
Ewido - Nothing found!
F-PROT 6 - W32/Trojan2.FSPK
G DATA - Trojan.Win32.VB.hpq A
IkarusT3 - Virus.Trojan.Win32.VB
Kaspersky - Trojan.Win32.VB.hpq
McAfee - Generic VB.f trojan
MHR (Malware Hash Registry) - Virus Found - detect rate 21%
NOD32 v3 - Win32/Injector.JC
Norman - Trojan W32/VBTroj.ACUL
Panda - Trj/Agent.LDF
Quick Heal - Trojan.VB.htc
Solo Antivirus - Nothing found!
Sophos - Troj/Pasod-Gen
TrendMicro - Nothing found!
VBA32 - Trojan.Win32.VB.hpq
Virus Buster - Trojan.VB.EVTQ
Bueno, una vez abierto nuestro stub con el editor presionamos Ctrl + F
Buscamos cosas como: VB5!
[Dear Guest/Member you can't see link before replyclick here to register]
Luego lo rellenamos con ceros...
[Dear Guest/Member you can't see link before replyclick here to register]
Ahora buscamos cosas como:
kernel32
vba6.dll
user32
msvbvm60.dll
etc...
Lo que tenemos que hacer es cambiar mayusculas por minusculas y vice versa!
[Dear Guest/Member you can't see link before replyclick here to register]
Nos vamos hasta el final del exe y rellenamos de ceros la version info asi:
[Dear Guest/Member you can't see link before replyclick here to register]
Y por ultimo ponemos todo lo demas en mayusculas asi:
[Dear Guest/Member you can't see link before replyclick here to register]
Ahora guardamos los cambios, escaneamos nuestro stub para ver los resultados...
Detection rate: 13 on 24
a-squared - Trojan.Win32.VB!IK
Avira AntiVir - TR/VB.hpq
Avast - Win32:VB-KQI [Drp]
AVG - Nothing found!
BitDefender - Nothing found!
ClamAV - Nothing found!
Comodo - Nothing found!
Dr.Web - Trojan.Inject.5338
Ewido - Nothing found!
F-PROT 6 - W32/VCrypt.B.gen!Eldorado
G DATA - Trojan.Win32.VB.hpq A
IkarusT3 - Trojan.Win32.VB
Kaspersky - Trojan.Win32.VB.hpq
McAfee - Nothing found!
MHR (Malware Hash Registry) - Nothing found!
NOD32 v3 - Win32/Injector.JC
Norman - Trojan W32/VBTroj.ACUL
Panda - Nothing found!
Quick Heal - Trojan.VB.htc
Solo Antivirus - Nothing found!
Sophos - Troj/Pasod-Gen
TrendMicro - Nothing found!
VBA32 - Trojan.Win32.VB.hpq
Virus Buster - Nothing found!
Bueno con este crypter quitamos 8 avs sin tener que buscar firmas, ya quitandole el text seguro se iran
muchos mas...
Los resultados varian dependiendo del stub, si tienes suerte puedes saltar avs como kav, nod32, avira... :dance1:
Bueno, espero que les hayga gustado... :drinking:
Tutorial hecho por demonio666vip ;)
+ Responder Tema
Resultados 1 al 1 de 1
-
24/03/2009 22:23 #1
- Fecha de Ingreso
- 12 ene, 09
- Mensajes
- 72
-
0 For This Post - Points
- 3,053
- Level
- 34
9 Total
Tutorial: Hexing antes de buscar firmas by demonio666vip
Citar
Permisos de Publicación
- No puedes crear nuevos temas
- No puedes responder temas
- No puedes subir archivos adjuntos
- No puedes editar tus mensajes
- Códigos BB están Activo
- Los Emoticonos están Activo
- Código [IMG] está Activo
- Código HTML está Inactivo