Una de las tecnicas mas usadas para evitar la actualizaciones de los antivirus y demas programas de seguridad consiste en modificar el archivo Hosts de windows para que los antivirus al resolver los DNS donde tienen sus actualizaciones obtengan una ip falsa, y asi evitar que se actualizen.
Ahora no explicare como funciona este archivo Hosts, pero recomiendo que lean "El Pharming y sus consecuencias" para saber todo lo que necesitan saber sobre este archivo, ya que escribire como si supieran esto (es algo muy basico).
Ejemplo
El antivirus Nod32 utiliza varios servidores para realizar sus actualizaciones, entonces si agregamos cada uno de los dominios de dichos servidores al archivo hosts acompañados de una ip falsa cualquiera a su izquierda, cuando el antivirus requiera actualizacion siempre "revisara" de alguna manera el archivo host para verificar si existe alguna coincidencia del dominio requerido, y al ver que existe coincidencia con el dominio intentara conectarse a la IP que se le asigno a la izquierda del dominio, como en esa IP no se encuentran los archivos necesarios para la actualizacion, esta no podra realizarse y generara un error. En caso de que no se hubieran escrito esas lineas con los dominios de las actualizaciones y las ips falsas en el archivo Hosts windows se encargaria de resolver los host automaticamente y si fuera asi obtendria la ip real de ese dominio. Ademas hay que tener en cuenta que el antivirus prueba con distintos dominios por si no funcionan, asi que deben estar todos en el archivo hosts, porque si encuentra alguno y no esta con una ip falsa en el archivo hosts automaticamente resolvera el host y procedera a realizar las descargas de dichas actualizaciones.
IP DNS
127.0.1.1 u20.eset.com
127.0.1.1 u21.eset.com
127.0.1.1 u22.eset.com
...
Este metodo tambien puede utilizarse para evitar las webs de antivirus online como virustotal o novirusthanks, asi cada vez que la victima quiera ingresar en esas webs le de error de que no se encontro el servidor. Tambien servira por si quieren descargar antivirus de sus webs oficiales o simplemente no podran pedir versiones trials, porque para ello necesitan autorizacion del servidor y nunca se podra establecer la conexion.
Proyecto SinAV
SinAV es un proyecto en Visual Basic 6 que hace la tarea automatica de agregar los DNS e ips falsas al archivo Hosts, se trato de agregar los DNS de las descargas de los antivirus mas usados, ademas se agrego sus paginas oficiales y mas servidores como por ejemplo para compras o descargas de pruebas y algunos por ubicacion, como .com.ar o .es, tambien pueden encontrar algunas webs de escaneo online, esta optimizado para funcionar en Win XP, 2000, 2003, NT, y en Vista con permisos de administrador (pueden usar el vista UAC maker).
La aplicacion ademas agrega 100 lineas vacias antes de agregar los DNS y las IPS, para confundir a la victima, y se cierra al terminar de agregar todas las lineas. Se utiliza un timer y La direccion del archivo Host esta encriptada para evitar los antivirus, de nada sirve esto si es detectado jaja.
Obiamente pueden agregarle mas funciones al proyecto y modificarlo como quieran.
El archivo esta 100% indetectable, dudo que dure mas de una semana si lo usan, pero se deja indetectable facilmente, ya que no es una aplicacion que se pueda llamar peligrosa.
Descarga codigo fuente + compilado
SinAV - Evitar actualizacion de los antivirus (rapidshare)
SinAV - Evitar actualizacion de los antivirus (megaupload)
pass: troyanosyvirus.com.ar
Suscribirse a:
Enviar comentarios (Atom)
Entradas
13 comentarios:
Ola mauro soy mu buen seguidor tuyo y te agardesco todos esto buenos post tienes muy buenos post pero mauro me preocupa una cosa y te queria preguntar mira una ves que infectas un pc con un troyano que deverias acer para no dejar rastros de logs y entradas y cosas que podrian perjudicarte que deveria acer yase que mucho dicen que usando zapper limpiaria todo los log pero no se si abria que acer algo mas si sabes tu como limpiar todo eso para no se perjudicado ni que te denuncie dimelo por fabor espero su respuesta muchas gracias por los post !!!!firma!!!! Darck
en la actualiadad, muchos antivirus analizan el archiv host, y si ven algo raro lo eliminan o lo restauran xD
anonimo, las ips quedarian por varios años en la pcs d la victima, asi que si queres permanecer oculto usa tor, y hay varios programas para borrar rastros, ahora no recuerdo el nombre de alguno, nunca tube la oportunidad de usar uno jaja
sanlegas, claro uno de esos avs es el kav, pero es una tontera, solo se le debe añadir al source para que se inicie con windows y en unos segundos modifique el hosts. Los avs verifican ese archivo al reiniciar.
saludos
mauro soy el de antes entonces cuando tu entras en una pc como borra tus rastros y cosas para no ser nunca descubierto¿ y el tor creo que no valdria para el troyano o bueno nose je contecta tu como eliminas tus rastros y cosas que dejes en la pc vistima¿
q tipo de rastros querrias eliminar?
lo de la ip q es lo mas importante se soluciona con tor o con un proxy para el proximo post si puedo posteare un nuevo proxy
saludos
mauro,me kedo la duda d si es algo que nos ayuda o perjudica.
no entendi la funcion, me refiero a el proposito final d est programa
y se envia a alguien??
bueno, saludos
mauro te felicito por la pagina de antemano,soy un poco nuevo en estos temas pero aber si lo entendi bien:
lo k me descargo lo tengo k "juntar"con mi server y lo k me de ya lo "junto" con con una foto o lo q sea o cuando ya tenga acceso ala makina de la victima le ejecuto el "sinav" gracias por la aclaracion de antemano un abrazo
mauro quedara al peluche si publicaras el proxy hay que ir mejorando ocultarse lo mas que uno pueda
Mauro men soy darck el que te pregunto sobre los rastros que se deja en una pc mauro me refiero a borrar rastro pues borrar los logs y entradas que se dejan en el pc de la victima tengo entendio de que cuando entras a una pc se quedan los logs y entradas en la pc victima si la victima sabe un poco podria mirar los logs y sabria cuando entre en su pc,que dia que hora mi ip y de donde vino y me podria denunciar yo lo que te preguntaba era aver si tu sabias de algun programa o podrias postear algun programa con un tutorial si no es mucho pedir sobre como ocultarse una ves que infecta a una victima con un troyano te lo agradeceria mucho si pudieras postear algo asin de bueno o postear un programa que borrara todo los rastros que deje en la pc de la victima ejemplo subiendo ese archivo a la victima ejecuitarselo para que borre todo mis datos de conecion que pueda quedar en la pc victima para nunca ser delatado si no es mucho pedir aver si podias postear algo asin de bueno un tutorial o algo sobre como eliminar nuestro rastros en la pc victima y ocultar nuestra ip te lo agradeceriamos todos mucha gente que entra aqui vi que tambien quieres ser invisible y borrar sus datos gracias por atenderme firma Darck.
am y queria decierte que sigas asi que tienes muy buenos post animo y espero respuesta amigo.
tratare de postear el proxy cuando pueda
es algo que nos "ayuda" jaja
asi es anonimo
darck no se que rastros podes dejar, solo rastros de conexion, si la pc no es ningun servidor ni nada no se que tipo de rastros podes dejar, que yo sepa eso es para linux, pero en tyv solo tratamos con windows
saludos
¿Con esto puedo jakear jotmail?
la compilacion solo se ejecuta y ya o el antivirus lo va tomar komo codigo sospechoso o que y otra cosa MAURO como instroduzco el archivo a el AV solo lo ejecuto essque quiero meter un backdoor pero no he podido
Mauro corrige el code porque en él se bloquea una pagina llamada:
www.avp.com
y debería ser
www.avg.com
es un fallo chiquito pero aún asi te lo comento
saludos
biohazard
Publicar un comentario en la entrada