Los crypters genéricos ya se extinguieron.

Los crypters es algo de lo que hablan mucho los newbies y scriptkiddies cuando descubren el malware (por no decir todos).

El 100% de los crypters en foros hispanos y públicos funcionan de la misma manera.

Generalmente se utilizan las siguientes APIs: CreateProcess, NtUnmapViewOfSection, WriteProcessMemory, SetThreadContext, ResumeThread, NtMapViewOfSection.

Lo que va a hacer ese stub es crear un proceso, supongamos notepad.exe y luego se va a reemplazar el código mapeado en memoria de notepad.exe por el código del archivo "encriptado" y va a ejecutar un hilo que apunta al inicio del mismo.

Todos los que están interesados en malware deberían saber que un antivirus se compone por varios motores para detectar malware, es decir un motor de detección por firmas, un motor de detección heurística, un emulador, etc.

Cuando alguien "programa" o "modifica" un "crypter FUD (full undetected)" lo corrobora subiendo orgulloso un troyano "encriptado" a una página como virus total. 0/64 detecciones. WOW, SO MUCH UNDETECTED, SO MUCH FUD

Siendo algo tan "indetectable" ¿por qué digo que no sirve?

Hay mucha confusión con respecto a este tema, ya que mucha gente se llena la boca escribiendo tutoriales de cosas de las que no tiene idea como funciona, pero como el método aplicado da algunos resultados, suponen que el método es realmente efectivo, pero no están en lo cierto.

Este método tan básico se viene usando hace muchos años y es algo que esta súper manejado por la industria antivirus (hablando de crypters génericos). Realmente hay cosas complejas, pero nada es gratis.

Pero si VirusTotal dice 0/64 ¿por qué no funciona?

Básicamente, cuando subimos un archivo a virus total o escaneamos un archivo, se aplica principalmente el análisis basado en firmas, heurística. No estoy seguro de que se emplee la emulación en scanners online ya que consume bastantes recursos.

Pero en la vida real estamos frente a cosas más complejas, como la detección por comportamiento, escanear la memoria operativa, etc.
Básicamente cuando se ejecuta el stub, no importa si estas usando un cifrado xor, rc4 o AES 256, ya que el antivirus no va a desencriptar el ejecutable.

El antivirus no es tan tonto como el que programa un crypter. Básicamente lo que hace es interceptar hookeando algunas de las APIs que mencioné anteriormente desde ring0, es decir que no hay manera de corregir los hooks desde usermode (ring3).

Un ejemplo es la api WriteProcessMemory. El antivirus hookeando esta api va a obtener todo lo que escribe en memoria, es decir, el archivo totalmente desencriptado. Así que si te esmeraste aplicando algoritmos criptográficos fuertes, lamento decirte que perdiste tu tiempo.

No importa si llamas a WriteProcessMemory de manera estática, dinámica, con CallWindowProc, con un sysenter o algún truco sucio. Si sabes lo que estás haciendo, sabes que WriteProcessMemory llama a NtWriteProcessMemory el cual llama a KiFastSystemCall que hace un sysenter, entra a ring0, llama NtWriteProcessMemory en kernel mode y ahí sucede la magia. El antivirus sabe que vas a escribir en la memoria y levanta una bandera ya que es algo altamente sospechoso.

Otro método de detección es el análisis de la memoria operativa. El malware desencriptado esta en memoria como si nunca hubiera tocado un crypter. El antivirus lo encuentra igual de fácil.
"Yo uso un método privado... RunPE Shellcode... Bla Bla"
Si sos de los que dice eso, realmente te aconsejo que te dediques a otra cosa. Es el mismo RunPE. Te mintieron. Agarra ollydbg y fíjate.

Otra cosa que veo en los foros hispanos es mucha gente "dedicándose" a la venta de crypters la cual no tiene demasiados conocimientos de informática, pero como leyó un par de papers puede indetectar alguna que otra herramienta y los venden caro, cuando ilegalmente hablando, estas herramientas son vendidas por descarte a menos de U$D 5.

Si no  crees lo que te digo, agarra un antivirus y pruébalo por tu cuenta. Puede que los antivirus gratis solamente te dejen usar el método de firmas, pero por ejemplo NOD32, Kaspersky, BitDefender lo van a detectar. Haz la prueba.

Genial aporte OnTheCore muy bien explicado

A mi lo que me parece patetico es que encima, el que sube el crypter, que tanto trabajo le ha costado, por eso lo sube a 20 foros distintos, le pone una pass que es dificilisima de encriptra por los metodos que usa, para que el que se lo baje s etire un buen rato intentando descifrar el crypter que se supone que comparte con la comunidad... y luego como tu bien dices no funciona.

Entiendo que me diran que cada uno es libre de poner la pass al crypter que le de la gana, pero si busca tanto la exclusividad y no la notoriedad, para que lo sube a 20 foros, sabiendo que va a estar quemado en media tarde?

Saludos

Sobre ese asunto yo lo venia estudiando & lo supe hace un tiempo, se agredece la demás información.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
A mi lo que me parece patetico es que encima, el que sube el crypter, que tanto trabajo le ha costado, por eso lo sube a 20 foros distintos, le pone una pass que es dificilisima de encriptra por los metodos que usa, para que el que se lo baje s etire un buen rato intentando descifrar el crypter que se supone que comparte con la comunidad... y luego como tu bien dices no funciona.

Entiendo que me diran que cada uno es libre de poner la pass al crypter que le de la gana, pero si busca tanto la exclusividad y no la notoriedad, para que lo sube a 20 foros, sabiendo que va a estar quemado en media tarde?

Saludos

Simplemente por ganarse el rango de Modder rapidamente... hubo excepciones cuando lo hacian bien pero ya no veo a esa gente activa que si realizaba un buen trabajo con ni cuantas funciones, ahora todo es por rango y se quema en 10m.

Saludos.

.

Muy buena explicación!!!

Muy buena explicación, podrías dar el pide para la posible solución de bypassear AV modernos, saludos y gracias.

Te felicito sinceramente por esta informacíon, llevaba tiempo buscando ver un post de este tipo ya que era algo que sospechaba, pero con esto me queda claro que si es como pensaba.   Saludos

Espero no me tachen de lammer pero de igual manera comprare un Crypter para pruebas personales y no estar infectando, ahora la información que plantea en este post me parece muy interesante e investigare mas para entender completamente lo que se expone.

Saludos!

La verda es increible la calidad con la que acabas de explicar el funcionamiento de los crypter, y por que los AV salen victoriosos, muy buen aporte, saludos!

Yo lo que me pregunto es por que siguen jugando con el dynamic forking (runpe)?
No es la unica manera de generar crypters ni de ejecutar cosas en memoria :p

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Muy buena explicación, podrías dar el pide para la posible solución de bypassear AV modernos, saludos y gracias.

Te invito que expongas tus posibles soluciones.

Saludos.