• XSS.stack #1 – первый литературный журнал от юзеров форума

Крипторы

Отслеживать
BRM Crypt 2.0 -Radar
Размера стаба: 32 килобайта.
crto.jpg

Результаты скана криптованного пинча:
File Info

Report generated: 19.10.2009 at 21.44.52 (GMT 1)
Filename: test.exe
File size: 78848
MD5 Hash: ca4d4f725508e56346aa308818a27f0d
SHA1 Hash: 064C1B8EB60837F96340D48781C9D6879DA739F2
Self-Extract Archive: Nothing found
Binder Detector: Nothing found
Detection rate: 1 on 23
Detections

a-squared - -
Avira AntiVir - -
Avast - -
AVG - Nakgo.A
BitDefender - -
ClamAV - -
Comodo - -
Dr.Web - -
Ewido - -
F-PROT6 - -
Ikarus T3 - -
Kaspersky - -
McAfee - -
NOD32 v3 - -
Norman - -
Panda - -
QuickHeal - -
Solo Antivirus - -
Sophos - -
TrendMicro - -
VBA32 - -
VirusBuster - -
ZonerAntivirus - -

Скачать
Passwd: xss.pro/
 
CRUM Cryptor Polymorphic 1.0

Выкладываю в паблик, самую первую версию криптора.
Релизу уже 10 месяцев, палят пару аверов. Пинч и блек энержи криптуется с ребилдом ImageBase.
Не дружит с DEP. Версия старинная и намного хуже новой приватной версии 3.2.

http://virusscan.jotti.org/ru/scanresult/1...cba16f58acb1ade

http://www.sendspace.com/file/7zwv6x (700 кб)
 
Посмотрим wink.gif В 3.3 уже не плохой код генерируется.
Скоро криптовку DLL будет поддерживать, а потом может и дров.
В первых двух получается код генерировался плохой?
 
ShaDoW CryptER [Modding By Z-3R0 ] 1 on 25 (4.34%)​
screen.JPG

Stub:
Код: 
File Info

Report date: 3.2.2010 at 1.11.34 (GMT 1)
File name: stub2.exe
File size: 43537 bytes
MD5 Hash: d1adb4b2a4a5d4375418d4ea4eadfb8f
SHA1 Hash: 7A1B513833C62179623D3A8C54CED0112E4DD70F
SFX Archive: -
File inspector: -
Detection rate: 1 on 25
Status: INFECTED

Detections

a-squared - -
Avira AntiVir - -
Avast - -
AVG - -
BitDefender - -
ClamAV - -
Comodo - -
Dr.Web - -
Ewido- -
F-PROT6 - -
G-Data - -
Ikarus T3 - -
Kaspersky - -
McAfee - -
NOD32 v3 - -
Norman - -
Panda - -
QuickHeal - -
Solo Antivirus - -
Sophos - -
TrendMicro - -
VBA32 - Trojan.VB.Motil
VirusBuster - -
ZonerAntivirus - -
F-Secure- -
Scan report generated by
NoVirusThanks.org
SpyNet:
Код: 
File Info

Report date: 3.2.2010 at 1.00.26 (GMT 1)
File name: crypted.exe
File size: 227462 bytes
MD5 Hash: 2c8e416da94e7b40430d450b56737cc2
SHA1 Hash: 40E5A8089952726728C2F1680B0E433ADA689820
SFX Archive: -
File inspector: -
Detection rate: 1 on 25
Status: INFECTED

Detections

a-squared - -
Avira AntiVir - -
Avast - -
AVG - -
BitDefender - -
ClamAV - -
Comodo - -
Dr.Web - -
Ewido- -
F-PROT6 - -
G-Data - -
Ikarus T3 - -
Kaspersky - -
McAfee - -
NOD32 v3 - -
Norman - -
Panda - -
QuickHeal - -
Solo Antivirus - -
Sophos - -
TrendMicro - -
VBA32 - Trojan.VB.Motil
VirusBuster - -
ZonerAntivirus - -
F-Secure - -

Scan report generated by
NoVirusThanks.org
пасс на архив зашифрован)))
Вот зашифрованный вид:
ZU1mdWx2allpZFJz
сначала расшифровываем по BASE64 и получаем хеш MEGAN-35 расшифровываем его и получаем пасс.
p.s сделано это специально, думаю не нужно объяснять для чего.
:zns5: Скачать|Download
 
ShadeHack Crypter V1.5 (100% FUD) Mod By ColosusRed​

CyberGate:
File information
Report date: 5.2.2010 at 0.49.36 (GMT 1)
Time for scan: 115 seconds
File name: Cybergate1.18.exe
File size: 370687 bytes
MD5 hash: b6a3362a2b019db2f6428559cfa177e7
SHA1 hash: DC4F9AAD75710472572875EB7C6D18AE12B91FE2
Detection rate: 0 on 20 (0%)

Status: CLEAN
Antivirus Database Engine Result
a-squared 04/02/2010 4.5.0.8 -
Avira AntiVir 7.10.3.197 7.6.0.59 -
Avast 100204-0 4.8.1367 -
AVG 270.14.132/2611 9.0.0.725 -
BitDefender 05/02/2010 7.0.0.2555 -
ClamAV 04/02/2010 0.95.3 -
Comodo 3468 3.13.579 -
Dr.Web 05/02/2010 5.0 -
F-PROT6 20100204 6.3.3.4884 -
G-Data 19.9309 2.0.7309.847 -
Ikarus T3 04/02/2010 1001074 -
Kaspersky 05/02/2010 9.0.0.736 -
McAfee 29/01/2010 5.1.0.0 -
NOD32 4836 4.0.474 -
Panda 04/02/2010 9.5.1.2 -
Solo Antivirus 05/02/2010 8.0 -
Sophos 05/02/2010 4.32.0 -
TrendMicro 821(682100) 1.1-1001 -
VBA32 05/02/2010 3.12.12.1 -
VirusBuster 12.12.3.0 1.5.5.0 -
p.s второй архив также скачайте, так как без этих компонентов не запустится криптор.
:zns5: Скачать|Download
:zns5: Скачать|Download
 
Reaper Crypter V1.0 Public. 100% FUD! Runtime/Scantime
crt.jpg

  RESULTS: 2/31
AVG Free OK
ArcaVir OK
Avast OK
Avast 5 OK
AntiVir (Avira) TR/Drop.MSIL.StubRC.aln
BitDefender OK
VirusBuster Internet Security OK
Clam Antivirus OK
COMODO Internet Security OK
Dr.Web Trojan.Packed.20072
eTrust-Vet OK
F-PROT Antivirus OK
F-Secure Internet Security OK
G Data OK
IKARUS Security OK
Kaspersky Antivirus OK
McAfee OK
MS Security Essentials OK
ESET NOD32 OK
Norman OK
Norton Antivirus OK
Panda Security OK
A-Squared OK
Quick Heal Antivirus OK
Rising Antivirus OK
Solo Antivirus OK
Sophos OK
Trend Micro Internet Security OK
VBA32 Antivirus OK
Vexira Antivirus OK
Webroot Internet Security OK
Download
passwd: xss.pro/
 
хотел уточнить: допустим, если криптуем троя с известной антивирусам сигнатурой каким-нибудь криптором, и антивирусы его больше не обнаруживают, затем, при запуске этого троя, он инжектирует себя в какой-нибудь процесс и создает в регистре записи для своего автозапуска, которые по сути те же самые: будут эти ключи и сам процесс снова обнаружен антивирусом, они ведь остались неизменными?
 
хотел уточнить: допустим, если криптуем троя с известной антивирусам сигнатурой каким-нибудь криптором, и антивирусы его больше не обнаруживают, затем, при запуске этого троя, он инжектирует себя в какой-нибудь процесс и создает в регистре записи для своего автозапуска, которые по сути те же самые: будут эти ключи и сам процесс снова обнаружен антивирусом, они ведь остались неизменными?
Ну тут как бы несколько факторов...
Ну для начала тут многое зависит от самого троя, что он умеет изначально... просто бывает такое что стаб может представлять сомбой только способы обмануть антивирус и не выдать его как вредоносное ПО, так же при обработке криптором трой может покотцатся и какие то фугкции пропадут, такое тоже бывает... Бывает такое что стаб имеет некоторый набор функций, тот же автозапуск, инжект в доверенный или в простой процесс и так далее... Но к сути вопроса, если файл не палится то антивирус наиболее вероятно что его не спалит, но он может отправить файл на анализ(если опция включена), и тогда вероятно что при первом обновлении базы сигнатур вирусов он уже начнёт палится, а повторная обработка этим же криптором(если он не полиморфный) не приведёт к желаемому результату. Хотя так же антивирусная компания может так же спалить и саму сигнатуру полиморфного криптора и стаба и тогда он будет палится так же как и простой.
 
Применительно к Bifrost, пробовавал криптовать сервер полиморфным PE криптором, но NOD32 сразу обнаруживает. На других антивирусах даже не проверял, нет смысла. Кстати, пробовал криптовать этим же криптором сам конфигуратор Bifrost, и NOD32 ничего не нашел. Конечно, среди public крипторов вряд ли можно найти те, что могли бы обойти антивирусы. Некоторые советуют криптовать два раза и даже разными крипторами.. По моему, после таких обработок файл если и сможет работать, то наверняка с ошибками. :)
 
Криптованный файл непалится,это пока он не запущен в память,а в памяти он по большому счёту,уже в изначальном своём виде,если только криптор не меняет саму структуру файла и код шифруется обратно после запуска.
 
Криптованный файл непалится,это пока он не запущен в память,а в памяти он по большому счёту,уже в изначальном своём виде,если только криптор не меняет саму структуру файла и код шифруется обратно после запуска.
да, я как раз об этом: если затем процесс в памяти в изначальном виде, как же его спрятать от антивируса? Файл будет всегда палиться, если зашифрован обычным полиморфным криптором?(не меняющим структуру файла)
 
Exist Crypter V1.0
image_4c3636c93f53c.jpg

File Info

Report date: 2010-07-08 23:43:09 (GMT 1)
File name: Stub.exe
File size: 19968 bytes
MD5 Hash: 837401a56a8cb19a9a1a701371bdea71
SHA1 Hash: 91094a8baf3b1c24aa30d210ff1504433a4449cb
Detection rate: 0 on 16 (0%)
Status: CLEAN

Detections

a-squared -
Avast -
AVG -
Avira AntiVir -
BitDefender -
ClamAV -
Comodo -
Dr.Web -
F-PROT6 -
G-Data -
Ikarus T3 -
Kaspersky -
NOD32 -
Panda -
TrendMicro -
VBA32 - [/color]
 
Nemesis Protector
image_4cb7e31444b13.jpg


File Info

Report date: 2010-10-14 17:50:35 (GMT 1)
File name: stub-exe
File size: 34304 bytes
MD5 Hash: 1a7223fbdcbd57ad188f3da906c1377d
SHA1 Hash: 5ffcf3bd3fc400e13b05a8114731c73f0ae99bd0
Detection rate: 0 on 16 (0%)
Status: CLEAN

Detections

a-squared -
Avast -
AVG -
Avira AntiVir -
BitDefender -
ClamAV -
Comodo -
Dr.Web -
F-PROT6 -
Ikarus T3 -
Kaspersky -
NOD32 -
Panda -
TrendMicro -
VBA32 -
VirusBuster -

:zns5: Скачать|Download
passwd:xss.pro/
 
Криптованный файл непалится,это пока он не запущен в память,а в памяти он по большому счёту,уже в изначальном своём виде,если только криптор не меняет саму структуру файла и код шифруется обратно после запуска.
Запущен или нет - без разницы, при сканировании с диска, эмулятор с эвристиком его анализируют в изолированном пространстве и если эмулятор отвалился, то и после запуска файла не сработает детект. (если не учитывать HIPS)
 
image-BE51_4CD53A0F.jpg


File information
Report date: 2010-11-07 4:26:35 (GMT 1)
File name: stub-exe
File size: 24804 bytes
MD5 hash: bb7ea601fae4b68ea6c4c5d0873a1964
SHA1 hash: da8d1239f391482246dcfd91a6b7a3f5ab4500dd
Detection rate: 0 on 16 (0%)
Status: CLEAN
Antivirus Database Engine Result
a-squared 06/11/2010 5.0.0.20
Avast 06/11/2010 5.0
AVG 06/11/2010 9.0.0.725
Avira AntiVir 06/11/2010 7.6.0.59
BitDefender 06/11/2010 7.0.0.2555
ClamAV 06/11/2010 0.96.2.1
Comodo 06/11/2010 4.0
Dr.Web 06/11/2010 5.00.0
F-PROT6 06/11/2010 4.6.1.107
Ikarus T3 06/11/2010 1001084
Kaspersky 06/11/2010 9.0.0.736
NOD32 06/11/2010 4.2.42.0
Panda 06/11/2010 10.0.3.0
TrendMicro 06/11/2010 9.120-1004
VBA32 06/11/2010 3.12.14.1
VirusBuster 06/11/2010 1.5.6
Extra information
File type: Executable File (EXE)
Packer: Nothing found
Binder detector: Nothing found
PDF analyzer: Nothing found

:zns5: Скачать|Download
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх