comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Underc0de Anotador [Especial para Modding]

  • 3 Respuestas
  • 2868 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Baku

  • *
  • Underc0der
  • Mensajes: 64
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
  • Skype: Baku.indetectables
« en: Octubre 12, 2014, 03:04:24 pm »
Este tipo de anotadores sirve para saber que offset es funcional y lo escribe en Funcionales.txt con el offset funcional.
Es decir, al hacer avfucker me quedo el offset 5203 lo abro y si funciona a los 2 segundos creará un archivo .txt llamado funcionales con el offset que se abrió correctamente. Este anotador muestra las mismas firmas en muchas ocaciones cuando lo usamos con un crypter (Lo uso yo personalmente)

Imagen del anotador:



Les mostraré 2 scan en la cual un scan va a ser de parte del Troyano y otra del anotador para ver si las firmas que nos tiran son iguales o parecidas.

Scan del Troyano Cifrado:
                  Filename: Test1.exe
                  Type: File
                  Filesize: 307375 bytes
                  Date: 12/10/2014 - 19:55 GMT+2
                  MD5: 79bc3b53cd0c68c9a07a526a045dced9
                  SHA1: b5503b1d7525792b21c3b02588838daa6283f26b
                  Status: Infected
                  Result: 28/35
                  
                     AVG Free - Trojan horse Injector.AAG
                     Avast - Win32:Inject-ATA [Trj]
                     AntiVir (Avira) - TR/Dropper.Gen
                     BitDefender - Trojan.Dropper.VB.1
                     Clam Antivirus - WIN.Trojan.VB-5767
                     COMODO Internet Security - TrojWare.Win32.Agent.ASSP@314746496
                     Dr.Web - Trojan.PWS.Dybalom

                     eTrust-Vet - Win32/VBInject.C!generic
                     F-PROT Antivirus - W32/VBTrojan.7!Maximus
                     F-Secure Internet Security - Trojan.Dropper.VB.1
                     G Data - Trojan.Dropper.VB.1
                     IKARUS Security - VirTool.Win32.VBInject
                     Kaspersky Antivirus - Worm.Win32.VBNA.b
                     McAfee - OK
                     MS Security Essentials - VirTool:Win32/VBInject.DR
                     ESET NOD32 - Trojan.Win32/Injector.GSU
                     Norman - Trojan.Dropper.VB.1
                     Norton Antivirus - OK
                     Panda Security - Trj/Genetic.gen virus
                     A-Squared - OK
                     Quick Heal Antivirus - Suspicious
                     Solo Antivirus - OK
                     Sophos - Mal/VBDrop-G
                     Trend Micro Internet Security - BKDR_BIFROSE.SMY
                     VBA32 Antivirus - infected Malware-Cryptor.VB.gen.1
                     Zoner AntiVirus - OK
                     Ad-Aware - Trojan.Dropper.VB.1
                     BullGuard - Gen:Variant.Kazy.340889
                     FortiClient - W32/Refroso.ATR!tr
                     K7 Ultimate - OK
                     NANO Antivirus - Trojan.Win32.VBNA.cgowf
                     Panda CommandLine - Trj/Genetic.gen
                     SUPERAntiSpyware - OK
                     Twister Antivirus - Suspicious:Trojan.B770@24035DB@1F32.mg
                     VIPRE - VirTool.Win32.VBInject.gen.dg (v)
               
                  Scan Result: No tienes permisos para ver links. Registrate o Entra con tu cuenta
                  No tienes permisos para ver links. Registrate o Entra con tu cuenta
                  
Scan del Anotador Cifrado:

                  Filename: Test2.exe
                  Type: File
                  Filesize: 336047 bytes
                  Date: 12/10/2014 - 19:57 GMT+2
                  MD5: 777d251edc61dccf784e2cb0a5a5d2bc
                  SHA1: 4e7d9ce5c6fad37ece9e0e98d8465c060264d9f9
                  Status: Infected
                  Result: 27/35
                  
                     AVG Free - Trojan horse Injector.AAG
                     Avast - Win32:Inject-ATA [Trj]
                     AntiVir (Avira) - TR/Dropper.Gen
                     BitDefender - Trojan.Dropper.VB.1
                     Clam Antivirus - WIN.Trojan.VB-5767
                     COMODO Internet Security - TrojWare.Win32.Agent.ASSP@314746496
                     Dr.Web - Trojan.PWS.Dybalom

                     eTrust-Vet - Win32/VBInject.C!generic
                     F-PROT Antivirus - W32/VBTrojan.7!Maximus
                     F-Secure Internet Security - Trojan.Dropper.VB.1
                     G Data - Trojan.Dropper.VB.1
                     IKARUS Security - VirTool.Win32.VBInject
                     Kaspersky Antivirus - Worm.Win32.VBNA.b
                     McAfee - OK
                     MS Security Essentials - VirTool:Win32/VBInject.DR
                     ESET NOD32 - Trojan.Win32/Injector.GSU
                     Norman - Trojan.Dropper.VB.1
                     Norton Antivirus - OK
                     Panda Security - Suspicious
                     A-Squared - OK
                     Quick Heal Antivirus - Suspicious
                     Solo Antivirus - OK
                     Sophos - Mal/VBDrop-G
                     Trend Micro Internet Security - BKDR_BIFROSE.SMY
                     VBA32 Antivirus - infected Malware-Cryptor.VB.gen.1
                     Zoner AntiVirus - OK
                     Ad-Aware - Trojan.Dropper.VB.1
                     BullGuard - Gen:Variant.Kazy.340889
                     FortiClient - W32/Refroso.ATR!tr
                     K7 Ultimate - OK
                     NANO Antivirus - Trojan.Win32.VBNA.cgowf
                     Panda CommandLine - Trj/Genetic.gen
                     SUPERAntiSpyware - OK
                     Twister Antivirus - Suspicious:Trojan.B770@24035DB@1F32.mg
                     VIPRE - OK
               
                  Scan Result: No tienes permisos para ver links. Registrate o Entra con tu cuenta
                  No tienes permisos para ver links. Registrate o Entra con tu cuenta
                  
Como se puede ver la unica firma que cambio fue la de Panda.

Link de descarga: No tienes permisos para ver links. Registrate o Entra con tu cuenta

Espero que les guste :)
Saludos.
Huelo a VERDE y no es Marihuana ;)

Conectado Gabriela

  • *
  • Co Admin
  • Mensajes: 875
  • Actividad:
    5%
  • Reputación 15
    • Ver Perfil
    • Email
« Respuesta #1 en: Octubre 12, 2014, 03:55:41 pm »


Gracias por el aporte, Baku.

Besillo!!! ;D

Desconectado blackdrake

  • *
  • Moderator
  • Mensajes: 1914
  • Actividad:
    1.67%
  • Reputación 15
    • Ver Perfil
« Respuesta #2 en: Octubre 12, 2014, 04:25:02 pm »
Muy buen aporte Baku!!! Muchisimas gracias :D

Un saludo.



Desconectado Baku

  • *
  • Underc0der
  • Mensajes: 64
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
  • Skype: Baku.indetectables
« Respuesta #3 en: Octubre 12, 2014, 05:55:20 pm »
Gracias por esos lindos comentarios, va a servir para aquellos que quieran modear o simplemente a los que empiezan a hacer crypters para ver si les funciona o hicieron algo mal :)
Saludos.
Huelo a VERDE y no es Marihuana ;)

 

¿Te gustó el post? COMPARTILO!



Guía rápida para descarga de herramientas gratuitas de seguridad y desinfección.

Iniciado por d0r127

Respuestas: 2
Vistas: 2388
Último mensaje Noviembre 21, 2016, 06:15:12 pm
por d0r127
Otra modalidad malware para conocer de PowerPoint

Iniciado por xhc1

Respuestas: 2
Vistas: 2085
Último mensaje Agosto 23, 2017, 12:58:51 pm
por M03's
Sitio web: No More Ransom [Tools para descrifrar ransomware]

Iniciado por Gabriela

Respuestas: 0
Vistas: 1613
Último mensaje Julio 26, 2016, 01:18:26 pm
por Gabriela
theZoo - Repositorio de malware para análisis e investigación

Iniciado por ANTRAX

Respuestas: 5
Vistas: 2036
Último mensaje Febrero 19, 2018, 08:34:57 pm
por Lautaro Culic'
Dendroid - Troyano para Android (Con codigo Fuente)

Iniciado por ANTRAX

Respuestas: 18
Vistas: 16070
Último mensaje Mayo 24, 2018, 05:46:22 pm
por Javier___