[SOLUCIONADO] RAT es detectado despues de la conexion - Ayuda

Hola a todos, primero, debo decir que del malware no soy muy conocedor y a continuacion, explicarles mi problema:

Bien, estoy utilizando el Darkcomet(5.3.1) contra Win7(server y client), lo cifro con un crypter que he modificado desde codigo y binario, y aunque no es FUD, se ha hecho indetectable para el Microsoft Forefront Endpoint 2010 y es ese con el que estoy trabajando. Sin proteccion todo funciona bien, se conecta, no se rompe. Sin embargo, cuando activo la proteccion, sigue sin detectarlo y hasta lo ejecuto y se logra ver en el panel del darkcomet pero pasan no mas de 5 segundos y se pierde la conexion porque el AV lo detecto. Se que el AV esta detectando alguna accion maliciosa,seguramente, de un proceso(el RAT) y lo elimina pero quisiera saber: ¿que mas puedo hacer si en el analisis estatico del AV aparece indetectable? Ideas!

Gracias!

Eso es por que el Crypter es Scantime y no Runtime. Es por eso que al ejecutarlo, salta el AV

Saludos!
ANTRAX

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Eso es por que el Crypter es Scantime y no Runtime. Es por eso que al ejecutarlo, salta el AV

Saludos!
ANTRAX

Exactamente, como dijo ANTRAX.
Usaste un crypter como su nombre lo dice SCANTIME, que a la hora de escanear es indetectable mas a la hora de ejecutarse no..
Runtime, vendría siendo el opuesto, es indetectable a la hora de correrlo, la mayoría de RUNTIME viene junto con SCANTIME. Un saludo ~

Debo utilizar uno y despues el otro o puedo programarlo en el de scantime que ya tengo? , Viendolo desde el lado programatico yo podria podria decir que si, si van a ser tareas diferentes(primero descifro y luego lo "oculto" en el runtime) pero quiero saber tu opinion.

Gracias Antrax!

PD: Seguro andare molestandote si no me ubico bien con la info de los scantime

Saludos,

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Eso es por que el Crypter es Scantime y no Runtime. Es por eso que al ejecutarlo, salta el AV

Saludos!
ANTRAX

Exactamente, como dijo ANTRAX.
Usaste un crypter como su nombre lo dice SCANTIME, que a la hora de escanear es indetectable mas a la hora de ejecutarse no..
Runtime, vendría siendo el opuesto, es indetectable a la hora de correrlo, la mayoría de RUNTIME viene junto con SCANTIME. Un saludo ~

Bueno, creo que Kodeinfect ya respondio sobre mi segunda duda. Seguire dandole!

Gracias Kodeinfect!

Saludos,

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Eso es por que el Crypter es Scantime y no Runtime. Es por eso que al ejecutarlo, salta el AV

Saludos!
ANTRAX

Exactamente, como dijo ANTRAX.
Usaste un crypter como su nombre lo dice SCANTIME, que a la hora de escanear es indetectable mas a la hora de ejecutarse no..
Runtime, vendría siendo el opuesto, es indetectable a la hora de correrlo, la mayoría de RUNTIME viene junto con SCANTIME. Un saludo ~

Los crypters scantime (los comunes, el clasico RunPE), hoy en dia, son como los scantime. Que pasa?
Se ejecuta el crypter, desencripta el fichero en memoria y lo ejecuta y Ahi es cuando lo deteca, cuando queda descifrado en memoria.
Ademas el metodo esta quemadisimo, si no lo detectan de esta manera hookean las funciones que mas se utilizan y asi muchisimas maneras de detección.