Introduccion:
En este video se ve como dejo un server puro del troyano poison ivy 2.3.2 indetectable al antivirus nod32 actualizado al dia.
El metodo que uso es uno de los mas faciles y rapidos, lo que realizo es buscar y encontrar la firma detectada por el antivirus con el signaturezero, reemplazando con ceros por partes el codigo hasta ayarla, una vez ayada la firma detectada exactamente, simplemente la reemplazo con ceros y el server queda indetectable al antivirus y totalmente funcional. Este metodo no requiere de edicion hexadecimal, cambios de flujo ni nada de eso, simplemente lo que se hace es borrar la firma, por lo tanto no funcionara con todos los troyanos ni con la mayoria de los encriptadores, porque romperian el archivo, si lo quieren terminar con cualquier encriptador o troyano pueden continuar leyendo el manual de Octalh (desde pag9).
Yo lo demostre con el poison ivy porque el tamaño de su server es muy pequeño y es rapido para encontrar las firmas, y utilize el nod32 porque es el antivirus que utilizo, pero un amigo lo probo con el KAV y funciona perfectamente (tienen que desactivar la inyeccion en la creacion del server para que no lo detecte la defensa proactiva de mierda)
Video:
Pasos que realize:
-Primero y principal exclui del nod32 la carpeta con la que voy a trabajar por el simple hecho de evitar que salte el cartelito diciendo que se encontro un virus cada vez que ejecuto el signaturezero, el poison ivy, los server, y demas.
-Descargue el poison ivy 2.3.2 y el signaturezero y los puse en la carpeta donde trabajare, anteriormente excluida con el nod32.
-Lo siguiente que realize fue crear el server del poison ivy 2.3.2 y lo coloque en la misma carpeta con el nombre SERVER.exe.
-Lo escanie con el nod32 y obiamente lo detectaba como troyano.
-Ejecute el siganturezero y abri el server que cree con el poison ivy (SERVER.exe)
-Rellene con ceros la parte de la derecha del server y guarde el archivo resultante con nombre "1" sin extencion.
-Abri el notepad para anotar los datos, en este caso anote 3498 que es hasta donde rellenare de ceros (no es nesesario, pero sirve para agilizar)
-Escanie el archivo "1" que guarde, con el nod32 y me aparecia que el archivo estaba infectado, lo que quiere decir que la firma que buscamos se encuentra del lado izquierdo, ya que no se relleno de ceros ese lado.
-Abri de vuelta el signaturezero, abri el server y rellene de ceros la parte izquierda del server desde 512 hasta 3498 y guarde el archivo como "2"
-Escanie el archivo "2" con el nod y me decia que el archivo estaba desinfectado, quiere decir que la firma se encuentra entre 512 y 3498.
-Despues avanze un poco hacia la izquierda, pase de 3498 a 2505, lleno de ceros guarde como "3" y analise el server: limpio, por lo tanto la firma se encuentra entre 512 y 2505.
-Seguidamente avanze hacia la derecha de 512 a 1287 lleno de ceros, guardo, analizo: server limpio, la firma se encuentra entre 1287 y 2505
-Avanzo hacia izquierda de 2505 a 2029, lleno, guardo, analizo, server limpio, la firma se encuentra entre 1287 y 2029
-Y haci sigo hasta que llego a llenar de ceros entre 1679 y 1777, guardo, analizo y me da que esta infectado, por lo tanto la firma no esta entre 1679 y 1777, por logica tiene que estar entre 1777 y 2029 y sigo el procedimiento.
-De esta manera sigo avanzando de izquierda a derecha e inversamente hasta llegar ayar la firma.
-Una vez allada la firma exacta (en mi caso esta entre 1971 y 1973), la relleno de ceros y guardo el archivo resultante con extencion .exe.
-Eso es todo ya tengo mi server del poison ivy indetectable al nod32 y pueden ver que funciona perfectamente.
Video:
Dejando indetectable el poison ivy al nod32 con signaturezero (online en flash)
Dejando indetectable el poison ivy al nod32 con signaturezero (descarga en wmv)
Descargas:
SignatureZero
Poison Ivy 2.3.2
Entradas
36 comentarios:
en donde lo alojaste al video??
al primero lo subi a un hosting q tenia y este q esta ahora esta en youtube, no tiene buena calidad pero bue..
ya me salio lo probe con el Kespersky y funciono a la perfeccion :)!
no tarde mas de 10 minutos
muy bueno Mauro
salu2
si funciona con avg quien dice que no
Hola Mauro, tengo una duda, porque mi antivirus avast reconoce el ejecutable del poison ivy como troyano? mas especificamente las dos siguientes amenazas: Win32:Poisonivy-CR [Trj] y Win32:Agent-TZE [Trj], si en teoria lo que tendria que detectar seria el server y no el cliente que es lo que voy a instalarme yo??por lo menos es lo que me ocurre con los demas troyanos..
mira casi siempre lo detectan al cliente, al igual que tambien detectan programas hacking que no pueden realizar nada de daño, como por ejemplo el signaturezero, no te hagas problema por eso
Gracias Mauro,Parece muy interesante, pero tengo un problema: los offset que tengo que rellenar con ceros son demasiados (desde 1024 hasta 1654),no deja esto inutilizable al server?, si me muevo un offset mas,es decir al 1025 o al 1653, me lo detecta el nod...
Mi problema es con el poison ivy en gral.! lo pruebo conmigo mismo, sin antivirus, sin firewall, y sin rellenar nada con cero y ni asi me conecta..menos se va a conectar otro..sera esta version?
anonimo que raro lo que me decis, pero fijate como creas el server del poison, desactiva el keylogger y la inyeccion, asi lo cree yo, tal vez el keylogger hace q se detecten mas firmas no se en realidad.
anonimo leete el post ese que dice posibles causas por las que un server no conecta esta en la seccion de manuales
algunas firmas se encuentran en lugares especificos, puedes hacer un hueco y con un editor hex hacer el salto de tal forma que se altere la firma pero no el flujo, hay varios manuales en internet del metodo rit
saludos y suerte
gracias por el tutorial, lo hiciste tan facil que me dieron ganas de intentarlo con varios antivirus
gracias por tu respuesta anonimo
Mauro a ver si me podés ayudar, lo pude hacer supuestamente indetectable, me autoinfecté y si funciona, lo empaqueté junto un keylogger para probar y este último si me anda en una maquina remota, pero no el poison.la victima tiene router, el keylogger usa el puerto 21 y el poison el 3460.- el router no tendria que bloquear a ambos? o a ninguno?
Pana efectivamente después de tanto probar diferentes métodos pude hacer en pocos minutos el poison ivy indetectable con signaturezero al nod32 actualizado, de todos los que probé este fue el mas sencillo y efectivo, muchas gracias por el video.
Maracaibo - Venezuela
Cuando la firma te ocupa varios bytes ... ejemplo del 1162 al 1179 esta claro que si rellenas de ceros no funionara, hay alguna solucion para borrar firmas tant largas ?
Salu3 tnks !
no importa si la victima tiene router, el problema es cuando vos tenes router, fijate bien debe ser otro error...
kpd si te salen firmas largas, podes probar el manual de octalh, es un pokito mas largo pero funciona de la misma manera solo que le agregas el olly... si no proba desactivar la inyeccion y el keylogger, asi te kedan menos firmas, despues le subis otro keylogger aparte
muchas gracias Mauro lo provare
Hola mauro muy bueno el tutorial, ahora te hago una pregunta, me quedan las firmas muy muy largas,la barra verde de hasta 4 centimetros de longitud con el server del poison ivy, probe con el bifrost lo mismo, con encriptadores tambien, tenes idea de que estoy haciendo mal?, si cambio los valores de la barra en cualquier ade los extremos me da como que no lo detecta el nod32, asique no se que hago mal para que sea tan larga la firma
anonimo mira puden ser 2 cosas, una q los del nod vieron mi video y lo llenaron de firmas malignas al poison para q no se pueda hacer el metodo, o la otra es q estas haciendo algo mal
muy buena opcion,
y para los k tienen un rango muy amplio el proceso va como sigue:
es llegar a los limites, por ejemplo yo llague a 4578-5832, y lo k hice fue poner en 0's 4578-4579 y con eso no me dio problemas hasta el rango 4733-5832, y asi se le sigue kitando de a uno en uno, y el rango se reduce aprox, en unos 200, es un proceso mas tardado, pero funciona,
hola tengo el bifrost todo bien con mis victimas pero no no se como hacer pàra tener activado el nod sin que el me lo detecte ...y es el cliente ya que no se si hay algun buen antivirus
tenes q exluir la carpeta donde vas a trabajar dije claudio..
Tengo un problema con el poison Ivy 2.3.2, he creado el server, desactive mi antivirus, abri el puerto por el firewall de Windows (Vista, probe el puerto en www.checkmyports.com y aparece un candadito abierto, supongo que esta abierto el puerto :D Bueno me autoinfecto y todo super bien, el server se conecta enseguida y funciona... hoy se lo envie a una amiga que no tiene antivirus y no se conecto.... No lo hice indetectable pero me imagino que no es necesario por que ella no tiene antivirus y la verdad he intentado de todo y nada me sirve para hacerlo indetectable, ademas tengo router y no se si ademas me toque abrir el puerto del router, el themida no sirve (se bloquea con el server)y he intentado resto de encriptadores y nada, sigue igual... bueno como agradecimietno por escuchar mi triste historia les dejo un post con artos programas y utilidades hack, que lo disfruten http://foro.portalhacker.net/index.php/topic,54730.30.html
anonimo tenes q abrir los puertos desde el router
Esta duda es un poco mas compleja. Anulé la firma del servidor con el signature zero. Le pasé el KAV y no lo detecta. Ejecuto el servidor sin unirlo a otro archivo y efectivamente funciona (con firma modificada) sin ser detectado(lo probe en otro computador). Luego lo paso por el SFXC y lo uno a un mp3. el problema es que despues de esto reviso el mp3 virulento y el KAV salta diciendo que es el Poison. Como puede ser esto si la firma ya estaba modificada e incluso cuando el servidor esta solo, funciona sin problemas, pero es detectado luego de ser unido a otro archivo?
Se puede modificar la firma de la union de 2 archivos?
A todo esto la firma modificada esta entre los 2104-2119.
q raro lo q te pasa mdtc, tal vez te este detectando como se junta el poison con otro archivo con el sfx, o tal vez excluiste algunas carpetas y no excluiste donde se descomprime los archivos, no se la verdad.
Qué tal mauro.
Te cuento que me pasa algo bastante raro, y tal vez la solución sea bastante estúpida...
El tema es que empecé rellenando la mitad de la izquierda, y me lo detecta. Entonces llené la mitad de la derecha... y me lo detecta. WTF?
Probé y llené todo con ceros, y obviamente lo detecta.
No entiendo qué pasa... o estoy haciendo algo mal, o la firma está en la parte naranja del servidor.
Por cierto, el servidor está creado lo más básico posible, sin inyección ni keylogger ni nada, y uso el AVG para las pruebas.
Tal vez a alguien le haya pasado lo mismo y me pueda decir qué hizo para solucionarlo.
Muchas gracias.
Lo solucioné aunque no tengo idea de por que pasaba. resulta en el SFXC, en las opciones, yo siempre tenia marcada la casilla de "let the user decide where to extract"(obviamente no tengo seleccionado "ask user..." :P).
Lo que paso fue que vi un video donde un sujeto dejaba seleccionada la opcion de "switch parameter" y la puse así. desde entonces tuve el problema. ahora lo volvi a "let the user decide..." y ahora no me lo detecta. Es lo unico que modifique y el problema se solucionó al instante.
WEnas acabo de hacer video y conseguir firma para el Kaspersky, pero al volverlo exe me lo detecta...pk????
anonimo, por lo q me decis eso debe ser imposible, si llenas todo tendria q kedar indetectable... q troyano usas??
Uso el PI 2.3.2, creo que es el mismo que usaste en el ejemplo, y lo descargué desde acá mismo.
Si abro el servidor (que llené con ceros en el SignatureZero) con un editor hexadecimal y lleno con ceros la cabecera del archivo, ahí no me lo detecta... obviamente el archivo no hace nada porque no tiene nada... pero me hace pensar que las firmas que detecta el AVG están repartidas tanto en la cabecera como en el resto del archivo.
Pero tengo entendido que si modifico aunque sea un dígito de la cabecera, el archivo se hace inservible (además de que tendría que buscar dígito por dígito dentro de la cabecera...)
Y con el Bifrost pasa exactamente lo mismo... ya no encuentro forma de hacer indetectable un troyano contra el AVG :(
Si a alguien le pasa lo mismo, estaría bueno lo digan por acá así podríamos laburar en una solución.
Saludos!
.:ChrC:.
parece que se avivaron los de los del avg, vieron mi video XD... antes no pasaba eso, de todas formas podes usar el ac crypter mod de polifemo para saltear el avg y nod32, buscalo en indetectables.net
Jaja sí, justamente después de postear este mensaje me puse a buscar un encriptador y me crucé con el AC Crypter de poli. Aún no lo probé, pero leí buenas críticas de él, así que veré qué onda.
Saludos, y gracias por todo!
Excelente el sitio, mauro.
.:ChrC:.
Wenas!!! he seguido al pie de la letra el vídeo, he conseguido una firma para el Kaspersky, pero cuando lo vuelvo exe me lo detecta...pk!?!?!?
Wenas!!! he seguido al pie de la letra el video, he conseguido una firma para el Kaspersky, pero cuando lo vuelvo exe el antivirus me lo detecta, alguien me puede ayudar?!
entonces tendras q ponerle extension .exe siempre, por cada firma, en vez de escanearlo sin extension
Publicar un comentario en la entrada