Introduccion:
En este video se ve como dejo un server puro del troyano poison ivy 2.3.2 indetectable al antivirus nod32 actualizado al dia.
El metodo que uso es uno de los mas faciles y rapidos, lo que realizo es buscar y encontrar la firma detectada por el antivirus con el signaturezero, reemplazando con ceros por partes el codigo hasta ayarla, una vez ayada la firma detectada exactamente, simplemente la reemplazo con ceros y el server queda indetectable al antivirus y totalmente funcional. Este metodo no requiere de edicion hexadecimal, cambios de flujo ni nada de eso, simplemente lo que se hace es borrar la firma, por lo tanto no funcionara con todos los troyanos ni con la mayoria de los encriptadores, porque romperian el archivo, si lo quieren terminar con cualquier encriptador o troyano pueden continuar leyendo el manual de Octalh (desde pag9).
Yo lo demostre con el poison ivy porque el tamaño de su server es muy pequeño y es rapido para encontrar las firmas, y utilize el nod32 porque es el antivirus que utilizo, pero un amigo lo probo con el KAV y funciona perfectamente (tienen que desactivar la inyeccion en la creacion del server para que no lo detecte la defensa proactiva de mierda)
Video:
Pasos que realize:
-Primero y principal exclui del nod32 la carpeta con la que voy a trabajar por el simple hecho de evitar que salte el cartelito diciendo que se encontro un virus cada vez que ejecuto el signaturezero, el poison ivy, los server, y demas.
-Descargue el poison ivy 2.3.2 y el signaturezero y los puse en la carpeta donde trabajare, anteriormente excluida con el nod32.
-Lo siguiente que realize fue crear el server del poison ivy 2.3.2 y lo coloque en la misma carpeta con el nombre SERVER.exe.
-Lo escanie con el nod32 y obiamente lo detectaba como troyano.
-Ejecute el siganturezero y abri el server que cree con el poison ivy (SERVER.exe)
-Rellene con ceros la parte de la derecha del server y guarde el archivo resultante con nombre "1" sin extencion.
-Abri el notepad para anotar los datos, en este caso anote 3498 que es hasta donde rellenare de ceros (no es nesesario, pero sirve para agilizar)
-Escanie el archivo "1" que guarde, con el nod32 y me aparecia que el archivo estaba infectado, lo que quiere decir que la firma que buscamos se encuentra del lado izquierdo, ya que no se relleno de ceros ese lado.
-Abri de vuelta el signaturezero, abri el server y rellene de ceros la parte izquierda del server desde 512 hasta 3498 y guarde el archivo como "2"
-Escanie el archivo "2" con el nod y me decia que el archivo estaba desinfectado, quiere decir que la firma se encuentra entre 512 y 3498.
-Despues avanze un poco hacia la izquierda, pase de 3498 a 2505, lleno de ceros guarde como "3" y analise el server: limpio, por lo tanto la firma se encuentra entre 512 y 2505.
-Seguidamente avanze hacia la derecha de 512 a 1287 lleno de ceros, guardo, analizo: server limpio, la firma se encuentra entre 1287 y 2505
-Avanzo hacia izquierda de 2505 a 2029, lleno, guardo, analizo, server limpio, la firma se encuentra entre 1287 y 2029
-Y haci sigo hasta que llego a llenar de ceros entre 1679 y 1777, guardo, analizo y me da que esta infectado, por lo tanto la firma no esta entre 1679 y 1777, por logica tiene que estar entre 1777 y 2029 y sigo el procedimiento.
-De esta manera sigo avanzando de izquierda a derecha e inversamente hasta llegar ayar la firma.
-Una vez allada la firma exacta (en mi caso esta entre 1971 y 1973), la relleno de ceros y guardo el archivo resultante con extencion .exe.
-Eso es todo ya tengo mi server del poison ivy indetectable al nod32 y pueden ver que funciona perfectamente.
Video:
Dejando indetectable el poison ivy al nod32 con signaturezero (online en flash)
Dejando indetectable el poison ivy al nod32 con signaturezero (descarga en wmv)
Descargas:
SignatureZero
Poison Ivy 2.3.2
Entradas
63 comentarios:
en donde lo alojaste al video??
al primero lo subi a un hosting q tenia y este q esta ahora esta en youtube, no tiene buena calidad pero bue..
ya me salio lo probe con el Kespersky y funciono a la perfeccion :)!
no tarde mas de 10 minutos
muy bueno Mauro
salu2
si funciona con avg quien dice que no
Hola Mauro, tengo una duda, porque mi antivirus avast reconoce el ejecutable del poison ivy como troyano? mas especificamente las dos siguientes amenazas: Win32:Poisonivy-CR [Trj] y Win32:Agent-TZE [Trj], si en teoria lo que tendria que detectar seria el server y no el cliente que es lo que voy a instalarme yo??por lo menos es lo que me ocurre con los demas troyanos..
mira casi siempre lo detectan al cliente, al igual que tambien detectan programas hacking que no pueden realizar nada de daño, como por ejemplo el signaturezero, no te hagas problema por eso
Gracias Mauro,Parece muy interesante, pero tengo un problema: los offset que tengo que rellenar con ceros son demasiados (desde 1024 hasta 1654),no deja esto inutilizable al server?, si me muevo un offset mas,es decir al 1025 o al 1653, me lo detecta el nod...
Mi problema es con el poison ivy en gral.! lo pruebo conmigo mismo, sin antivirus, sin firewall, y sin rellenar nada con cero y ni asi me conecta..menos se va a conectar otro..sera esta version?
anonimo que raro lo que me decis, pero fijate como creas el server del poison, desactiva el keylogger y la inyeccion, asi lo cree yo, tal vez el keylogger hace q se detecten mas firmas no se en realidad.
anonimo leete el post ese que dice posibles causas por las que un server no conecta esta en la seccion de manuales
algunas firmas se encuentran en lugares especificos, puedes hacer un hueco y con un editor hex hacer el salto de tal forma que se altere la firma pero no el flujo, hay varios manuales en internet del metodo rit
saludos y suerte
gracias por el tutorial, lo hiciste tan facil que me dieron ganas de intentarlo con varios antivirus
gracias por tu respuesta anonimo
Mauro a ver si me podés ayudar, lo pude hacer supuestamente indetectable, me autoinfecté y si funciona, lo empaqueté junto un keylogger para probar y este último si me anda en una maquina remota, pero no el poison.la victima tiene router, el keylogger usa el puerto 21 y el poison el 3460.- el router no tendria que bloquear a ambos? o a ninguno?
Pana efectivamente después de tanto probar diferentes métodos pude hacer en pocos minutos el poison ivy indetectable con signaturezero al nod32 actualizado, de todos los que probé este fue el mas sencillo y efectivo, muchas gracias por el video.
Maracaibo - Venezuela
Cuando la firma te ocupa varios bytes ... ejemplo del 1162 al 1179 esta claro que si rellenas de ceros no funionara, hay alguna solucion para borrar firmas tant largas ?
Salu3 tnks !
no importa si la victima tiene router, el problema es cuando vos tenes router, fijate bien debe ser otro error...
kpd si te salen firmas largas, podes probar el manual de octalh, es un pokito mas largo pero funciona de la misma manera solo que le agregas el olly... si no proba desactivar la inyeccion y el keylogger, asi te kedan menos firmas, despues le subis otro keylogger aparte
muchas gracias Mauro lo provare
Hola mauro muy bueno el tutorial, ahora te hago una pregunta, me quedan las firmas muy muy largas,la barra verde de hasta 4 centimetros de longitud con el server del poison ivy, probe con el bifrost lo mismo, con encriptadores tambien, tenes idea de que estoy haciendo mal?, si cambio los valores de la barra en cualquier ade los extremos me da como que no lo detecta el nod32, asique no se que hago mal para que sea tan larga la firma
anonimo mira puden ser 2 cosas, una q los del nod vieron mi video y lo llenaron de firmas malignas al poison para q no se pueda hacer el metodo, o la otra es q estas haciendo algo mal
muy buena opcion,
y para los k tienen un rango muy amplio el proceso va como sigue:
es llegar a los limites, por ejemplo yo llague a 4578-5832, y lo k hice fue poner en 0's 4578-4579 y con eso no me dio problemas hasta el rango 4733-5832, y asi se le sigue kitando de a uno en uno, y el rango se reduce aprox, en unos 200, es un proceso mas tardado, pero funciona,
hola tengo el bifrost todo bien con mis victimas pero no no se como hacer pàra tener activado el nod sin que el me lo detecte ...y es el cliente ya que no se si hay algun buen antivirus
tenes q exluir la carpeta donde vas a trabajar dije claudio..
Tengo un problema con el poison Ivy 2.3.2, he creado el server, desactive mi antivirus, abri el puerto por el firewall de Windows (Vista, probe el puerto en www.checkmyports.com y aparece un candadito abierto, supongo que esta abierto el puerto :D Bueno me autoinfecto y todo super bien, el server se conecta enseguida y funciona... hoy se lo envie a una amiga que no tiene antivirus y no se conecto.... No lo hice indetectable pero me imagino que no es necesario por que ella no tiene antivirus y la verdad he intentado de todo y nada me sirve para hacerlo indetectable, ademas tengo router y no se si ademas me toque abrir el puerto del router, el themida no sirve (se bloquea con el server)y he intentado resto de encriptadores y nada, sigue igual... bueno como agradecimietno por escuchar mi triste historia les dejo un post con artos programas y utilidades hack, que lo disfruten http://foro.portalhacker.net/index.php/topic,54730.30.html
anonimo tenes q abrir los puertos desde el router
Esta duda es un poco mas compleja. Anulé la firma del servidor con el signature zero. Le pasé el KAV y no lo detecta. Ejecuto el servidor sin unirlo a otro archivo y efectivamente funciona (con firma modificada) sin ser detectado(lo probe en otro computador). Luego lo paso por el SFXC y lo uno a un mp3. el problema es que despues de esto reviso el mp3 virulento y el KAV salta diciendo que es el Poison. Como puede ser esto si la firma ya estaba modificada e incluso cuando el servidor esta solo, funciona sin problemas, pero es detectado luego de ser unido a otro archivo?
Se puede modificar la firma de la union de 2 archivos?
A todo esto la firma modificada esta entre los 2104-2119.
q raro lo q te pasa mdtc, tal vez te este detectando como se junta el poison con otro archivo con el sfx, o tal vez excluiste algunas carpetas y no excluiste donde se descomprime los archivos, no se la verdad.
Qué tal mauro.
Te cuento que me pasa algo bastante raro, y tal vez la solución sea bastante estúpida...
El tema es que empecé rellenando la mitad de la izquierda, y me lo detecta. Entonces llené la mitad de la derecha... y me lo detecta. WTF?
Probé y llené todo con ceros, y obviamente lo detecta.
No entiendo qué pasa... o estoy haciendo algo mal, o la firma está en la parte naranja del servidor.
Por cierto, el servidor está creado lo más básico posible, sin inyección ni keylogger ni nada, y uso el AVG para las pruebas.
Tal vez a alguien le haya pasado lo mismo y me pueda decir qué hizo para solucionarlo.
Muchas gracias.
Lo solucioné aunque no tengo idea de por que pasaba. resulta en el SFXC, en las opciones, yo siempre tenia marcada la casilla de "let the user decide where to extract"(obviamente no tengo seleccionado "ask user..." :P).
Lo que paso fue que vi un video donde un sujeto dejaba seleccionada la opcion de "switch parameter" y la puse así. desde entonces tuve el problema. ahora lo volvi a "let the user decide..." y ahora no me lo detecta. Es lo unico que modifique y el problema se solucionó al instante.
WEnas acabo de hacer video y conseguir firma para el Kaspersky, pero al volverlo exe me lo detecta...pk????
anonimo, por lo q me decis eso debe ser imposible, si llenas todo tendria q kedar indetectable... q troyano usas??
Uso el PI 2.3.2, creo que es el mismo que usaste en el ejemplo, y lo descargué desde acá mismo.
Si abro el servidor (que llené con ceros en el SignatureZero) con un editor hexadecimal y lleno con ceros la cabecera del archivo, ahí no me lo detecta... obviamente el archivo no hace nada porque no tiene nada... pero me hace pensar que las firmas que detecta el AVG están repartidas tanto en la cabecera como en el resto del archivo.
Pero tengo entendido que si modifico aunque sea un dígito de la cabecera, el archivo se hace inservible (además de que tendría que buscar dígito por dígito dentro de la cabecera...)
Y con el Bifrost pasa exactamente lo mismo... ya no encuentro forma de hacer indetectable un troyano contra el AVG :(
Si a alguien le pasa lo mismo, estaría bueno lo digan por acá así podríamos laburar en una solución.
Saludos!
.:ChrC:.
parece que se avivaron los de los del avg, vieron mi video XD... antes no pasaba eso, de todas formas podes usar el ac crypter mod de polifemo para saltear el avg y nod32, buscalo en indetectables.net
Jaja sí, justamente después de postear este mensaje me puse a buscar un encriptador y me crucé con el AC Crypter de poli. Aún no lo probé, pero leí buenas críticas de él, así que veré qué onda.
Saludos, y gracias por todo!
Excelente el sitio, mauro.
.:ChrC:.
Wenas!!! he seguido al pie de la letra el vídeo, he conseguido una firma para el Kaspersky, pero cuando lo vuelvo exe me lo detecta...pk!?!?!?
Wenas!!! he seguido al pie de la letra el video, he conseguido una firma para el Kaspersky, pero cuando lo vuelvo exe el antivirus me lo detecta, alguien me puede ayudar?!
entonces tendras q ponerle extension .exe siempre, por cada firma, en vez de escanearlo sin extension
Mauro:
Si tengo un rango de firmas muy grande puedo seguir con el manual de Octalh(con el métido RIT y con el olly), teniendo un rango medianamente grande? o tengo que saber exactamente donde empieza y termina la firma??
Otra cosa: que pasa si tengo mas de una firma, que ocurriría??
PD: con el AV devil, este proceso se haria mucho mas rápido, no?? tengo el nod32 y no lo puedo hacer andar...
Saludos, gracias.
Willy: si podes seguir con el manual de octalh.
Si tenes 2 o mas firmas se te complicaria, te recomiendo usar entonces el av fucker.
Si, con av devil el proceso se hace mas rapido, pero tiene sus desventajas, cuando tengas muchas firmas, a veces no funciona... o cuando tengas una computadora lenta XD...
pero es cuestio de probar y que es lo que mas te conviene, de todas formas el signaturezero tiene la opcion para hacerlo automatico...
Amigo si quieres compartir no nos mandes archivos infectados , infecta ala gente que conoscas que te parece =)
hola mauro que tal mi nombre es luca , muy completa la pagina te felicito. Te queria hacer una pregunta. Por casualidad provaste esta conbinacion con el turkojan 4? hace tiempo tuve que formatear y perdi mi trojano hasta el momento indetectable... lo peor es que nunca supe como garcha hice para dejarlo asi...use muchas cosas jaja desde ya gracias.
hola mauro que tal, buenisima la pagina muy completa. Te queria hacer una pregunta tenes idea si esto puede llegar a andar con el turkojan? hace un tiempo logre hacer uno indetectable, luego formatie... el problema es ke use muchas cosas y lo consigui de pura suerte nomas jaja. un abraso
Luca
funcionaa!!! enorabuena, gran trabajo mauro... lo hice indetectable!! muy currado deberas, valoro mucho tu blog!!
venga un saludo, sigue asi tio!!
MAUROO HOLAA TIOO UNA PREGUNTITA SIMPLEE TIOO QUE PUERTO ME RECOMIENDAS PONER EN EL SERVER DE Poison Ivy 2.3.2 PARA TENER MEJOR CONECTIVIDAD CON LA VICTIMA PARA QUE LA BARRITA DE CARGAR SCREEN CAPTURE VAYA MAS VELOZ HAY ALGUNA FORMA PARA ESO ? CNT VOS SOS UN CRACK TIOO AA Y ME LLAMO CISCO SALUDOS!!
Muy buen video (y)
Menuda panda de lammers estáis hechos. Para que funcione tenéis que renombrar vuestra carpeta que pone windows por winxp y reiniciar
una duda ?
actualmente el nod32 detecta mas de una firma?
xk estuve haciendo esto i me fije q en realidad son 3 las firmas q detecta..
tuve q rellenar un lado con ceros. i buscar una firma despues otra aislando las otras firmas..
al final encontre las 3 .. dos las rellene con 0 y el server seguia funcionando perfecto.. pero al rellenar de 0 la ultima firma el server se corrompia i dejaba de funcionar
no soy muy entendido en estos temas pero ojala me ayas entendido
gracias saludos!
pd:deje el mismo comentario en youtube pero parece q no lo usas muxo ojala me respondas x aca mi duda..gracias :D
Hola! yo creo mi troyan en una carpeta excluida, abro el signaturezero, no me hizo falta buscar la firma ya que la encontre de toke! saco ambos (uno sin cambio de firma y el otro con el cambio por el signature) y automaticamente uo es detectado y el otro no, es decir el corregido por signaturezero es....INDETECTABLE!!!!! solo analice con NOD32 actualizado a hoy q es el q la mayoria usa. felicitaciones excelente aporte!!!
NOTA: para los que usan router no olviden abrir un puerto para usar el server afuera.
Mauro , tengo unn probleeema :\
encuentro la firma y lo dejo indetectable
pero el problema es q la firma no es solo 1 bite,
sino muchos
:S
no se si me entendes
lo q qiero decir
la firma esta entre por ej 1789 y 4506
si kiero achicar,
por ej
y pongo 1788 me lo empiesa a detectar, y si pongo 4505 tambiem
espero entiendas lo q me pasa
y si me podes ayudar, barbaro
Matuoh :)
Sigue funcionando? Saludo mauro espero respuesta y muchas gracias por este aporte.
hice todo paso a paso , pero llego a unos parametros muy amplios , keda indetectable al agregar la extencion . exe , pero al ejecutar , aparece en pantalla ". .. ha detectado un problema y debe cerrarse " .
agradeceria k me dieran una solucion . o kizas otro metodo XD
hola este metodo ya no sirve, porque muchas personas lo isieron.. muchisimas personas..
entonces los antivirus pusieron las firmas en varios lugares y son mas grandes, por lo tanto tendrian que seguir con el metodo rit despues de haber descubierto donde se encuentran las firmas..
en mi web pueden encontrar en la seccion de manuales el manual de octalh para dejar indetectable...
sigan con eso
saludos
Mauro tengo una consulta q tiene kver con el poison ivy.
Mira yo creo el server lo ago indetectagle con el signaturezero y lo junto aun archivo instalador con el iexplorer, pero cuand ointento abrir el archivo adjuntado me sale k el server mio deja de funcionar.
Pero mi pregunta es puede poner un trojano aun archivo y k se ejcute el archivo con normalidad y a la vez el trojano?
contestame por favor estoy frsutrado xD.
gracias.
hola mauro,si el metodo no sirve por que no lo quitas del top 10.asi mucha jente no perderia el tiempo intentando algo que no se puede.
yo consegui dejar el server de Bifrost indetecable x NOD32, y muchos mas antivs..
mauro de grande quiero ser como tu
eres mi idolo a penas antier comonze a descubrir este mundo de troyanos y me gusta mucho quisiera algun dia poder aser mi propio tipo de virus diferente al troyano o al gusano o alos otros tipos
gracias
"De grande quiero ser como tu"
jajajajajjaja
xD
te quiero hacer una pregunta yo uso el terabit me lo detecta le paso el zignature no me lo detecta lo guardo con extencion exe y todo y al momento de abrirlo me dice error y algo mas esto a que se debe OSEA ME LO DEJA INDETECTABLE PERO EL MOMENTO DE ABRIRLO ME TIRA ERROR POR FAVOR UNA RESPUESTA
YO TE AYUDO CONTACTAME kora_bohorquez@hotmail.com Y EXPLICATE NO ENTENDI..
mauro te agradecerias res`pondas : el metodo del manual oct para acorralar la firma con el signatur y topo seguira funcionando estamos en el 2010 sera que ya tendras alguna otra forma de hacer indetectable los troyanos ... tu eres un craneo debes de tener algo bajo la manga jajajja esta bueno el blog
se te agradece si respondes este mensaje
aaaaah, pero que el Themida ya no sirve? jajajajajajajajajaj
Es coña....
hola necesito!!!!! urgente!!! maurooooo!!! ayuda con un tema... porque alguien se esta propasando en facebook y esta haciendo daño. si alguien me puede ayudar. por favor que me agregue al msn. mauro vos sabes mucho de esto por lo visto. agregame francop_19@hotmail.com saludos
hola muy buen material...de antemano felicidades. pero tengo un problema con el poison, cuando creo el server no me genera el .exe, y, se como enviar a la usuario que quiero espiar, te agradecer mucho si me ayudas... por fa... mi correo es dalefroy_fer@hot... espero tu respuesta... :)
podrias poner los link de nuevo :$
gracias
Publicar un comentario en la entrada