En este tutorial de 23 paginas se enseña uno de los metodos mas efectivos para burlar los antivirus, se trata de la modificacion de sus firmas maliciosas.
Este metodo requiere algo de paciencia pero vale la pena por sus resultados.
El manual esta muy completo, bien explicado y con muchas imagenes, tambien esta disponible la descarga de las herramientas que se utilizan.
Descargas
Manual (megaupload)
Herramientas (megaupload)
PASS: http://www.octalh.mx.gs
Manual (rapidshare)
Herramientas (rapidshare)
PASS: http://octalh.33host.com
Entradas
73 comentarios:
EXELENTE APORTE AMIGO !!!...GRACIAS
si buen aporte
Hola,
Podrias poner en el paquete de descarga los programas utilizados en el tutorial?
Mas que nada el X-Crypter.exe y el SignatureZero.exe ya que no se consiguen.
Gracias.
Me autorespondo.
X-Crypter y Muchos mas Crypters
http://www.indetectables.net/foro/viewtopic.php?t=2390
Signature ZerØ
http://foro.elhacker.net/index.php/topic,93746.0.html
Los demas ya los tengo.
Hay que cazar a Davile el judas ke informa de todo lo ke ay en esta pagina a la gente de Kaspersky,de lo contrario estas geniales herramientas duraran poco x culpa de ese espia traidor.Sigue adelante amigo Mauro y gracias x tus aportes.
Una preguntita ? que cosa es stub?
Gracias
buen tuto
pero pone un crypter eso de modificar firmas es mucho lio
EN LA PARTE K DISE:
Bien ya hemos terminado de redireccionar el flujo y hemos alterado la firma del antivirus,
ahora procederemos a guardar los cambios, para eso damos clic con botón derecho del
Mouse y damos clic en copy to executable / all modifications, después le damos en copy all.
MI PROBLEMA ES QUE NO SALE COPY ALL SOLO SALE SECTION. NO SE QUE HACER AGRADECERIA UN ALLUDITA PORFAVOR.
Impresionante!! simplemente impresionante, pa los novatos como yo esto es la leche en barra !!
Cual es la contraseña para extraer el RAR?
cual es la contraseña para extraer el rar???????
no furula, ya hize todooooooooooooo lo de tu tutorial, y si me lo detecta, y conste q hize todo igualito a tu modo, ni modo
Por fin consegui modificar la firma del stub, pero cuando encripto el bifrost, me lo detecta el av. ¿esto se puede arreglar de alguna manera?. gracias.
la contraseña la puse ay donde dice pass...
fijensen bien que isieron, si se explican mejor capas q se lso puede ayUdar
Signature Zero no abre el stub, me maraca error que hago?
ayuda please
debe ser por el antivirus...
nose q otra causa puede ser
Una preguntita: Hay algun metodo que facilite instalar el kaspersky si ya tienes ,x ejemplo, el nod? Algo que permita tener varios antivirus a la vez (solo instalados, tenerlos activos ralentizaria muxo el ordenador, no?)
podes instalar el nod y el kav, pero para eso cuando instalas el kav tenes q deseleccionar la defensa proactiva, solo instala el antivirus, yo los tengo a los 2 funcionando
Hola mauro yo hace tiempo tengo en mis manos este manual pero lo consegui por otras fuentes, te queria hacer una consulta, al x-crypter lo escanee con mi nod32 sin cambiarle la firma y no lo detecta, probe encriptar mi server y lo deja indetectable pero tb inservible, sabes a q se debe??? uso el turkojan 4.0
vale me parece un poco de torpe
no leerse bien el manual o tutorial
primero dice: es para el antivirus
kaspersky solo para el esta
basado ahora eso no quiere decir que cuando ultilices otro antivirus no te lo detecte tambien viene en la Guia ...y a lo del archivo se te volvio inservible
leete bien la guia y veras que modificastes mal el archivo
Guiarse bien por la guia y ultilizar exactamente los mismo programas.
! un saludo a todos ¡
ah esta guia es de mi amigo
octalh
http://foro.elhacker.net/index.php/topic,199341.0.html
alguien podria desirme la key de los herramientas del manual octalh porfavor, es que no pudeno pude saber cualas eran.
GraciasS
Excelente tutorial!
Pero tengo un problema..
Llego hasta hacer el stub-modificado (indetectable) pero cuando lo encrypto con el server.exe como resultado me da un archivo sin formato, lo abro y me pregunta con que programa lo quiero abrir.. (me intento aunto infectar para probar si funciona)
Solo eso.. es problema del crypter?
o a que se debe? =/
gracias
jano renombralo a .exe
las pass de los archivos son
http://www.octalh.mx.gs
y
http://octalh.33host.com
ola buenas: cuando aro el ollyDbg despues de haber colocado correctamente los UDD y los PLUGINS. me sale un error:
OLLY ADVANCED
Exception occured @Address 76FE164F
hay varios olly en el pack, proba con los otros, a mi me pasaba lo mismo
hey que onda, pues dejame decirte que soy novato y pues la neta me costo mucho pero si me funciono me tarde com unas 3 horas mas o menos jeje pero al final el stub modificado ya no me lo detecto mi antivirus pues dejame decirte q es una muy buena aportacion la tuya exelnete te doy un 100 ahora solo me falta el ultimo paso que dices pero eso lo hare luego bueno mas bien ahorita y tambien queria ver si me das permiso, me autorizar en pasar todo esto en un video para subirlo a internet pero solo lo hago si tu me das la autorizacion vale te dejo mi correo para que ahi me digs si si o no vale me despido y buen trabajo
astaroth_1222@hotmail.com
hola que tal soy el que te pidio permiso para lo del video, kisiera hacerte una pregunta
si creo un server en el poison ese server lo puedo ocupar para hacer todo lo que dijiste en el manual???
espero y si me hayas entendido a mi pregunta y espero una respuesta pronto vale y gracias
Que tal!?, bueno me he quedado trabado en la parte final donde tengo que dar "copy to executable" solo me aparce la opcion "selection" cuando estoy en la ventana donde estan los NOP y no la otra de "all modifications",solamente me aparece esta de "all modifications" donde estan los MOV, ya he hecho el proceso como 5 veces facil y no se que hacer, please heelp!
Buenasss..!! anonimo,me pasa lo mismo que ati, cuando le doy a "copy excutable" solo me sale la opcion "selection" ..¿?¿?.. aver si alguno nos podeis echar una manita xfavor. Gracias!! ;)
Bueno ya pude, se abre el OllyDbg de la carpeta principal y nos vamos a options-> appearance y le damos en la pestaña directories y ponemos los path donde esta la carpeta UDD y plugin y listo ya aparece all modifications en las dos partes.... Ahora el asunto es que ya puedo hacer todo el procedimiento hasta de memoria me lo se y cuando quiero meter el stub al server con el X-cryper me sale Error 193 e igual el stub modificado me lo sigue detectando el kaspersky, que puedo hacer??
bueno ahora voy a probar jaja
hey lo que quiero saber es si resulta o no todavia
porque es un poco viejo el programa
porfavor si alguien me puede decir
o vos mauro
Mauro, hermano tengo una duda mi firma queda muy grande en comparacion a la del tutorial esto es normal?
http://img134.imageshack.us/img134/2258/firmabf2.png
ese es el link de la imagen para que veas el tamaño
te agradezco de antemano
P.D.: estoy analizandolo con el mcafee
SI ALGUIEN QUE QUIERA COMPARTIR CONOCIMIENTO SOBRE ESTE MANUAL AGREGUENME
rodolfo_host13(arroba)hotmail.com
ya realice el proeceso de acuerdo al tutorial, la primera ves el KIS no me detectaba el stub modificado, pero despues de usar el xcrypter el troyano quedaba inservible, luego configure los directorios de udd y plugins del ollydbg y todo lo realice exactamente igual al tutoiral y el stub modificado resultante si me lo detecta el KIS, igual intente con NOD obteniendo el mismo resultado
si alguien tiene una solucion se agradece
anonimo que no te anda el olly proba con otros como dice el otro anonimo, a mi me paso lo mismo
--------
astaroth_1222@hotmail.com: claro que podes subir lo que quieras, y si me gusta te lo posteo en el blog... y con respecto a tu otra pregunta solo lo podes usar una sola vez a ese server del poison con una sola configuracion me refiero
--------
anonimo trabado.. la verdad que ni idea que decirte
-------
si les sigue detectando el antivirus prueben con otro crypter o troyano menos conocido
-------
anonimo de la firma larga... no creo que sea una firma tan larga, sino que tiene 2 firmas, proba llenando de 00 la parte del medio de esa firma y te vas a dar cuenta...
--------
nando el kis ya lo detecta, porque el tutorial se iso con el kis y el x crypter y seguro q los de kaspersky vieron el tutorial...
saludos
..................................
..................................
12/SEP/2008
Que tal mi problema es el siguiente eh echo este metodo ya contra 2 antivirus pero en el tercer antivirus el symantec al abrir el olly dbg la firma detectada contiene funciones muy raras (ningun mov) las funciones son FFFF o puros 0000 aparte de ser muy pocas, eh intentado el hacer todo el proceso con alguna de las funciones pero no me funciona queda inservible a que se debe o acaso es que el metodo que do inservible ya?
Grax de antemano si alguien me pudiera agregar por msn estaria muy agradecido...
o iiC3 xXShOoT o
LA PAGINA DE LA CLAVE PARA LAS HERRAMIERNTAS ESTA CADUCADA!!!!!!
Mauro, por favor necesito esa pass, quiero provar este metodo, y no tengo las errramientas, gracias desde ya, muy buen manual...
porfavor pasame las passsss por aqui
LA PAGINA DE LAS PASSS ESTA CADUCADAS!!!! pasenla por aca
A anónimo de las pass:
probá con uno de los dos sitios, depende de si bajás de rapid o mega, cambia el pass.
Y acordate de copiarlo al pass TAL CUAL, incluyendo http://
mauro ayudame ya yo cree el server modificado aja a hora abro el cripter que hago ahi donde dice stub file que subo ahi y donde dice selec a file to cryp que pongo ahi porfa ayudame ya hize todo me falta nada mas eso..
bien, pues yo hice todo como decia el manual, me salio a la perfeccion, el stub modificado era indetectable, y la firma solo cambiaba un poco, yo crei que lo habia hecho bien, pero resulta que al encriptar mi server de bifrost me lo deja inservible. intento infectarme a mi mismo, pero nada no funciona, incluso reperi muchas veces con otros crypters, y lo mismo, al parecer los stub quedan indetectables, pero a la hora de encriptar mi server lo deja inservible, de todas formas gracias, buena web
Hace algún tiempo que visito esta WEB y sin ánimo de adular creo que es de las mejores en este apartado de malware.
Mis felicitaciones a Mauro por este trabajo.
Lástima que no pueda estar contento con el material de colaboración, el paquete de herramientas que bajé de RapidShare estaba infectado con nada menos que 4 troyanos un Backdoor y un BotIRC.
Un montón de basura. Los que publican tales "herramientas" deberían respetar un poco mas a los usuarios.
o iiC3 xXShOoT, tendras que probar con otro stub, otro troyano o crypter... no siempre funciona al 100% este metodo
--------------------
las herramientas funcionan perfecto, recien las testee en los 2 link..
----------------------
jhony p no siempre funciona este metodo intenta probar con otro troyano, aunque con bifrost si funciona, proba usar otra version, como la 1.2b o la 1.2d
----------------------
anonimo las herramientas no estan infectadas, ademas subi tal cual las subio el autor
saludos
hola soy miembro de troyanos y virus pero se me olvido mi nombre de usuario y contraseña jeje.
las herramientas para aser esto me detectan virus 4 virus entre eyos 2 troyanos me gustaria saver si es normal o las herramientas estan infectadas por el momento las borre espero respuesta gracias.
Las herramientas estan infectadas q ago hay otros links o algo necesito ayuda no me da confianza usar las herramientas infectadas asi q las borre espero respuesta me urge gracias hay 4 virus entre eyos 2 troyanos ayuda.
el Ollydbg no me abre el archivo y el tope me crea otro es normal me urge respuesta ayuda.
Hola a todos,
Hice todo el proceso de encontrar las firmas del Perfect Keylogger que detecta el NOD32, y las encontre!!! :). Empece a llevar a cabo el metodo rit, pero al llegar al punto de elegir la opcion de "view image in disassembler" no la tengo en el menu contextual (Click derecho). Alguien sabe a que se debe o que estoy haciendo mal?
Muchas gracias.
Botrox
bueno otra vez yo me e vuelto adicto a esta pagina xD!! lo malo esk ni uno me sale Y,Y probe el turkojan4 pero no lo puedo hacer indetectable kon el themida >.< ahora kiero probar este metodo pero la contraseña de las herramientas no funciona >,.< AYUDAAAAAAAAA !!!!!!!! cual es la contraseña pls
hola amigos ayuda con la contraseña del archivo rar ... voy a ejecuatr el archivo y pide la contraseña ayudamene kiero probar este pack
thanks
hola amigos me podrian ayudar con la contraseña del archivo rar ... voy a ejcutarlo y me pide una contraseña y deverdad q tengo ganas de probar este pack ayudenmen plissss
thanks
he hecho el tuto barias veces pro el stub lo detecta el AV, LO HE HECHO AL PIE DE LA LETRA, alguien puede ayudarme, necesito saber si a alguien le ha funcionado al 100%
gracias de ante manos.
Mauro, este metodo sigue funcionando correctamente? Gracias un saludo.
Bueno esto haciendolo, todo perfecto hasta el paso de usar el editor exadecimal, cuando substituyo los numeros y letras por 0, llega un momento en el que al guardar los cambios el antivirus no me lo detecta, pero hay alguna forma de volver atras de ese paso? Osea como en el Signature zero lo de deshacer cambios? Esque cada vez que le doy a la firma e de volver a empezar todo de 0 y es una faena, algun consejo? Espero respuesta.
Alguien conoce otro programa parecido al de Topo12??
la razón porque al momento de cargar el stub.exe, me tira una excepcion y no puedo seguir.
buenas tengo una duda con el troyano me podeis decir donde se encuentra el editor hexadecimal porfavor y como ejecutarlo??
todo entendido mi duda es cyando dice "Ahora solo tienes que utilizar este STUB modificado en el crypter y aplicarlo a cualquier
troyano y lo dejaras indetectable en cuestión de segundos"
que debo hacer? pss ahi quede frito abrir el crypter agradezco respuesta
El Topo 12 no funciona. Le meto el archivo y una vez que le doy desaparece.
Oye amigo, no me va el link :S
El stub al que se le borraron las firmas, osea el crypter... se puede usar en cualquier server o programa malicioso?
jaajajaja mauro perfecto este manual; es una buena forma para todos los iniciando. mauro tomate la molestia y ya que a ti si te hace facil has en tutorial paso a paso
video+voz serial de pelos ... espero que no sea verdad lo de que aca hay muchisimos o la gran moyoria de programas infectado... aunque yo no creoque sea asi ! pienso y hay que ser bien pajuo y estupido para... tirarle!!! si se puede decir de cierta forma a tus seguidores que cada vez son mas... tengo como un meses entrando aca... y veo esta weblog super ...
hay de todo sabes deberia de tener un chat para poder compartir apiniendo en linea ... felicidades ! saludos desde venezuela.
OLAS GENTE SABEN COMO SE CALLA ALOS SOPLONES REVENTANDOLES EL OSICO DANDOLE EN LA MADRE SOLO DENME LA DIRECCION DE ESE SOPLON DE MIRDA I LO CALLO PA SIEMPRE
ESTA MECHA ES LA DE INGINIERIA SOCIAL VS INGINIERIA PROFESIONAL I LEGAL SE HACEN LLAMAR LA COSA ES IGUAL. SINO QE TIENE AMPAROS DE LA LEY. BUENO LA COSA ES QE ESE KM SOMPLOM Hay que cazar a DAVILE el judas ESE TRANSFUGA TRAISIONERO DE MIRDA NO MERECE LA VIDA, POR PASARSE AL OTRO BANDO TAN SOLO POR
QUE NO LE DIERON POR LE CHICO SE RESINTIO... QUIERO SU DIRECCION DE ESE KM I DE AI ME LO DEJAN... SE LOS AGRADECERE MI MSN>>> millonarioxd@... disculpen por las mayusculas lo hize pa qe se vea mejor
...Muchas GRACIAS!!! Mauro, andas desaparecido man???...
Mauro, en el primer paso que hago para poder localizar la firma me detecta las 2 mitades (con 0 a la derecha o izquierda), puede ser que los antivirus se hayan actualizado y sea inservible el metodo o he hecho algo mal??
Por favor responde
pues ami me detecta las 2 mitades como virus.... -.-"
CUANDO LO ENCIERRO LAS FIRMAS NO FUNCIONAN ES MUY DIFICIL ESO DEL TOPO MODIFICAR FIRMAS QUE HAGO ME MAREO PORQUE NO ENTIENDO ESO DEL TOPO Y CUANDO LO ENCIERRO LAS FIRMAS LO GUARDO Y NO ME SALE UN CUADRADOSINO ESO DE DESEA ABRIR EL PROGRAMA UTILIZANDO INTERNET EXPLORE Y NO SA LE DERVER
Anonimo
Tenes que hacer el proceso con algun crypter que no tenga tantas firmas al parecer los antivirus ponen mas de 2 firmas en todo el cuerpo del programa.
SHAGUI el metodo RIP no funciona con todos los crypters y troyanos ya que en la mayoria de casos vuelve corrupto el codigo. Utiliza el metodo meepa
estube realizando este manual y creme la verdad el estub no melo detecta kasperky ni avas 6 pero cuando lo encripto si melo detecta alguna otra forma amigo
Muy Buenas miren alguien que me ayude a aser indetectable el bifrost y ademas de eso que las victimas tenia muchas pero al reiniciar mi pc ps se me van las victimas y nose guardan sera por el server que lo detecta los antivirus¿ por que al bajarlo eyos desactivan el antivirus.
AYUDENME LOA NTES POSIBLE GRAX
teh_Upper
mira si quieres yo te ayudo
solo que perdi los programas de ese manual... si gustas y quieres que te ayude sube los programas a un servidor mediafare y nos ponemos de acuerdo para que te ayude...
dejame tu msn para que te contacte por hotmail...
No usen más el bifrost, es muy malo ya, mejor usen otros como el spynet,etc., para mi el mejor es el darkcomet
y y tehupper, se desactiva el antivirus por que sino, el antivirus lo detecta y lo elimina ._.
Y ademas ese tutorial no es de el, es de otra web, dejen de decirle gracias, si supieran buscar lo hubieran encontrado en mejores webs
yo te ayudo men solo te pido un gran favor sube las programas a un servidor... ya que se me borraron por completos y no púedo descarlo y ayudarte.........
paso a paso
espero su respuesta
Publicar un comentario en la entrada