Este tipo de anotadores sirve para saber que offset es funcional y lo escribe en Funcionales.txt con el offset funcional.
Es decir, al hacer avfucker me quedo el offset 5203 lo abro y si funciona a los 2 segundos creará un archivo .txt llamado funcionales con el offset que se abrió correctamente. Este anotador muestra las mismas firmas en muchas ocaciones cuando lo usamos con un crypter (Lo uso yo personalmente)
Imagen del anotador:
Les mostraré 2 scan en la cual un scan va a ser de parte del Troyano y otra del anotador para ver si las firmas que nos tiran son iguales o parecidas.
Scan del Troyano Cifrado: Filename: Test1.exe
Type: File
Filesize: 307375 bytes
Date: 12/10/2014 - 19:55 GMT+2
MD5: 79bc3b53cd0c68c9a07a526a045dced9
SHA1: b5503b1d7525792b21c3b02588838daa6283f26b
Status:
Infected Result:
28/35 AVG Free -
Trojan horse Injector.AAG Avast -
Win32:Inject-ATA [Trj] AntiVir (Avira) -
TR/Dropper.Gen BitDefender -
Trojan.Dropper.VB.1 Clam Antivirus -
WIN.Trojan.VB-5767 COMODO Internet Security -
[email protected] Dr.Web -
Trojan.PWS.Dybalom
eTrust-Vet -
Win32/VBInject.C!generic F-PROT Antivirus -
W32/VBTrojan.7!Maximus F-Secure Internet Security -
Trojan.Dropper.VB.1 G Data -
Trojan.Dropper.VB.1 IKARUS Security -
VirTool.Win32.VBInject Kaspersky Antivirus -
Worm.Win32.VBNA.b McAfee -
OK MS Security Essentials -
VirTool:Win32/VBInject.DR ESET NOD32 -
Trojan.Win32/Injector.GSU Norman -
Trojan.Dropper.VB.1 Norton Antivirus -
OK Panda Security -
Trj/Genetic.gen virus A-Squared -
OK Quick Heal Antivirus -
Suspicious Solo Antivirus -
OK Sophos -
Mal/VBDrop-G Trend Micro Internet Security -
BKDR_BIFROSE.SMY VBA32 Antivirus -
infected Malware-Cryptor.VB.gen.1 Zoner AntiVirus -
OK Ad-Aware -
Trojan.Dropper.VB.1 BullGuard -
Gen:Variant.Kazy.340889 FortiClient -
W32/Refroso.ATR!tr K7 Ultimate -
OK NANO Antivirus -
Trojan.Win32.VBNA.cgowf Panda CommandLine -
Trj/Genetic.gen SUPERAntiSpyware -
OK Twister Antivirus -
Suspicious:[email protected]@1F32.mg VIPRE -
VirTool.Win32.VBInject.gen.dg (v) Scan Result:
http://v2.scan.majyx.net/?page=results&sid=221645 Scan by MaJyx Scanner Scan del Anotador Cifrado: Filename: Test2.exe
Type: File
Filesize: 336047 bytes
Date: 12/10/2014 - 19:57 GMT+2
MD5: 777d251edc61dccf784e2cb0a5a5d2bc
SHA1: 4e7d9ce5c6fad37ece9e0e98d8465c060264d9f9
Status:
Infected Result:
27/35 AVG Free -
Trojan horse Injector.AAG Avast -
Win32:Inject-ATA [Trj] AntiVir (Avira) -
TR/Dropper.Gen BitDefender -
Trojan.Dropper.VB.1 Clam Antivirus -
WIN.Trojan.VB-5767 COMODO Internet Security -
[email protected] Dr.Web -
Trojan.PWS.Dybalom
eTrust-Vet -
Win32/VBInject.C!generic F-PROT Antivirus -
W32/VBTrojan.7!Maximus F-Secure Internet Security -
Trojan.Dropper.VB.1 G Data -
Trojan.Dropper.VB.1 IKARUS Security -
VirTool.Win32.VBInject Kaspersky Antivirus -
Worm.Win32.VBNA.b McAfee -
OK MS Security Essentials -
VirTool:Win32/VBInject.DR ESET NOD32 -
Trojan.Win32/Injector.GSU Norman -
Trojan.Dropper.VB.1 Norton Antivirus -
OK Panda Security -
Suspicious A-Squared -
OK Quick Heal Antivirus -
Suspicious Solo Antivirus -
OK Sophos -
Mal/VBDrop-G Trend Micro Internet Security -
BKDR_BIFROSE.SMY VBA32 Antivirus -
infected Malware-Cryptor.VB.gen.1 Zoner AntiVirus -
OK Ad-Aware -
Trojan.Dropper.VB.1 BullGuard -
Gen:Variant.Kazy.340889 FortiClient -
W32/Refroso.ATR!tr K7 Ultimate -
OK NANO Antivirus -
Trojan.Win32.VBNA.cgowf Panda CommandLine -
Trj/Genetic.gen SUPERAntiSpyware -
OK Twister Antivirus -
Suspicious:[email protected]@1F32.mg VIPRE -
OK Scan Result:
http://v2.scan.majyx.net/?page=results&sid=221649 Scan by MaJyx Scanner Como se puede ver la unica firma que cambio fue la de
Panda.
Link de descarga: http://www.datafilehost.com/d/5899f04cEspero que les guste
Saludos.
Similar topics (5)
Noviembre 21, 2016, 06:15:12 pm