Av fucker es un programa que permite facilitar el proceso de busqueda de firmas detectadas por los antivirus de cualquier archivo, para despues dejar indetectable ese archivo que supuestamente es algun malware.
¿Que hace AV Fucker?
Toma un archivo malware (puede ser un virus, troyano, etc.) y va haciendo copias del mismo sobrescribiendo un byte con 0 y dejando constancia del offset modificado en el nombre de archivo (el numero de offset está en decimal).
Al finalizar tendremos miles de copias del malware en una carpeta.
Luego debemos escanear la carpeta con un antivirus "configurado para que borre automáticamente los archivos infectados". Cuando terminemos encontraremos que algunos servers no se borraron porque no los detectó.
Estos servers no detectados pueden no funcionar !!!, porque se les ha modificado un byte.
Una vez que tienen estos archivos, aunque no anden, pueden probar cambiando el offset detectado por algo que se asemeje más al byte original.
Esta etapa es de prueba y error como hacíamos con el AVPOffset de Senna.
¿Como se usa?
1) En el campo "Source File" selecciona el archivo malware (virus, troyanos, etc).
2) En "Destination Folder" selecciona la carpeta donde los archivos serán creados.
3) Selecciona "Start offset" y "End Offset". Este es el rango de offset que será modificado. Por cada offset que se modifica se crea un archivo así que esto está directamente relacionado con la cantidad de espacio en disco duro que será necesaria para completar la opración.
Cuando el archivo de origen es grande es recomendable ajustar los offset para hacer el proceso en varias etapas. Ten en cuenta que, por ej. un server de unos 100 Kb x 100000 copias (la cantidad de bytes) ocuparía como 10 GB en nuestro disco.
En cuanto al offset de inicio no te recomiendo que lo bajes de 1000 ya que todos los ejecutables empiezan de forma similar, por lo que no es relevante para buscar que es lo que detecta el antivirus.
4) Presiona "Calculate" para ver cuantos archivos serán creados y el espacio que ocuparán en el disco rígido.
5) Presiona "Start !!!" para iniciar el proceso.
En la ventanita de abajo podrás ver el progreso de la operación, también podrás cancelarla si lo deseas.
Al finalizar se escuchará done.wav para avisarte que ya ha terminado.
Ahora deberemos escanear la carpeta con el antivirus "configurado para que borre automáticamente los archivos infectados". En lo demás me remito a lo que escribí más arriba sobre "Que hace AV Fucker".
¿Que pasa si al terminar todos los rangos el Antivirus detectó y borró todo?
Esto puede suceder porque el antivirus detecta más de una cadena, lo que es más frecuente en antivirus buenos y troyanos muy conocidos. Se ha reportado que esto es más fecuente en los troyanos con método de inyección en exe.
La solución es con un editor hexadecimal reemplazar la mitad de los bytes del archivo con "0" (ceros), siempre arrancando del offset 1000. Escanear para ver si sigue detectado y si es así volver a probar con el "AV Fucker" en el rango de offset que no tocamos. Si se vuelve a fracasar hacer lo mismo del editor con la otra mitad del archivo o con un pedazo más grande.
Quien ya haya usado un editor hexadecimal para burlar antivirus sabrá de lo que hablo, de lo contrario creo que igual pueden captar la idea.
Descarga:
Av fucker beta 3 (rapidshare)
Av fucker beta 3 (megaupload)
Entradas
18 comentarios:
Tendremos que provar a ver que tal
esta medio complicado... pero si tendremos q probar
LA VERDAD ME QUEDO CON EL 1.2B NADA ME LO DETECTA Y SIRVE TODO SOLO ES CUESTION DE ESCONDERLO SUPER BIEN A LO CUAL ME HECHO UN EXPERTO JAJAJA
a mi no me funciona...
esta raro....
este programa es viejo pero muy bueno, me dejo el x crypter indetectable a nod32 avast y kis
un saludo
Gracias! es una excelente programa como todo los del Sr_Sombrero.
Si tienes alguno más de ese hacker te agradecería que lo postees ya que publica solo en los VIPs de algunos foros como indetectables.net por eso son difíciles de conseguir.
Saludos
eSte programa es mas viejo que mi abuela... POSTEA COSAS NUEVAS JULAI xD
es privado este programa???
aver ke me centre, lo separa en trozos...luego todo esos trozos los escaneamos y los ke detecten los borramos...y ke mas? ke se ace con los ke no detecta? xD
Gracias Mauro por el aporte, yo lo tenía pero en Arabe (creo ajajaj)
ese tipo hace unos años hizo un programa para romper passwords con una botnet ¿se puede conseguir?
http://ca.com/us/securityadvisor/pest/pest.aspx?id=453086469
alguien tiene el mail del Sr_Sombrero
eso es mentira
bueno el blog! Pero si aceptas un consejo, quita el anuncio de venta de victimas por que aunque quieras hacer creer que no es tuyo poniendo otro mail, vos estas permitiendo que se haga en tu pagina por lo tanto eres tan culpable como el que las vende.
Saludos
gracias a todos
saludos
si buscas un poquito en post viejos de indetectables vas a encontrar la ultima version de sombrero.
era la 1.55 si mal no recuerdo
shimpei/DSR!
De los mejores y mas efectivos programas que hay actualmente
lo malo de usedes, es q inyectan en los programas q ofrecen su troyano.. y quiero decirles q eso no es etico, para los mismos hermanos q necesitamos estas herramientas.
atte: Jr_bytes
Hola MAURO probe tu programa y busque el offset con el SignatureZero y luego coloque el offset en el AvFucker genere los archivos y los guarde en una carpeta la cual luego la scanie con el NOD32 y me detecto la totalidad de los archivos generados no quedo ni uno... creo qeu Eset descubrio la manera de ver esto y con el NOD32 este metodo no funciona...
atte: jorsss
Usar el programa una pavada.
Saber que offset modificar es lo mas dificil.
O sea explicaste lo facil y lo que realmente importa no....
A ver si le pones ganas vieja!
Publicar un comentario en la entrada