Underc0de Anotador [Especial para Modding]

  • 3 Respuestas
  • 4569 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Baku

  • *
  • Underc0der
  • Mensajes: 64
  • Actividad:
    0%
  • Reputación 0
  • Skype: Baku.indetectables
    • Ver Perfil

Underc0de Anotador [Especial para Modding]

  • en: Octubre 12, 2014, 03:04:24 pm
Este tipo de anotadores sirve para saber que offset es funcional y lo escribe en Funcionales.txt con el offset funcional.
Es decir, al hacer avfucker me quedo el offset 5203 lo abro y si funciona a los 2 segundos creará un archivo .txt llamado funcionales con el offset que se abrió correctamente. Este anotador muestra las mismas firmas en muchas ocaciones cuando lo usamos con un crypter (Lo uso yo personalmente)

Imagen del anotador:



Les mostraré 2 scan en la cual un scan va a ser de parte del Troyano y otra del anotador para ver si las firmas que nos tiran son iguales o parecidas.

Scan del Troyano Cifrado:
                  Filename: Test1.exe
                  Type: File
                  Filesize: 307375 bytes
                  Date: 12/10/2014 - 19:55 GMT+2
                  MD5: 79bc3b53cd0c68c9a07a526a045dced9
                  SHA1: b5503b1d7525792b21c3b02588838daa6283f26b
                  Status: Infected
                  Result: 28/35
                  
                     AVG Free - Trojan horse Injector.AAG
                     Avast - Win32:Inject-ATA [Trj]
                     AntiVir (Avira) - TR/Dropper.Gen
                     BitDefender - Trojan.Dropper.VB.1
                     Clam Antivirus - WIN.Trojan.VB-5767
                     COMODO Internet Security - [email protected]
                     Dr.Web - Trojan.PWS.Dybalom

                     eTrust-Vet - Win32/VBInject.C!generic
                     F-PROT Antivirus - W32/VBTrojan.7!Maximus
                     F-Secure Internet Security - Trojan.Dropper.VB.1
                     G Data - Trojan.Dropper.VB.1
                     IKARUS Security - VirTool.Win32.VBInject
                     Kaspersky Antivirus - Worm.Win32.VBNA.b
                     McAfee - OK
                     MS Security Essentials - VirTool:Win32/VBInject.DR
                     ESET NOD32 - Trojan.Win32/Injector.GSU
                     Norman - Trojan.Dropper.VB.1
                     Norton Antivirus - OK
                     Panda Security - Trj/Genetic.gen virus
                     A-Squared - OK
                     Quick Heal Antivirus - Suspicious
                     Solo Antivirus - OK
                     Sophos - Mal/VBDrop-G
                     Trend Micro Internet Security - BKDR_BIFROSE.SMY
                     VBA32 Antivirus - infected Malware-Cryptor.VB.gen.1
                     Zoner AntiVirus - OK
                     Ad-Aware - Trojan.Dropper.VB.1
                     BullGuard - Gen:Variant.Kazy.340889
                     FortiClient - W32/Refroso.ATR!tr
                     K7 Ultimate - OK
                     NANO Antivirus - Trojan.Win32.VBNA.cgowf
                     Panda CommandLine - Trj/Genetic.gen
                     SUPERAntiSpyware - OK
                     Twister Antivirus - Suspicious:[email protected]@1F32.mg
                     VIPRE - VirTool.Win32.VBInject.gen.dg (v)
               
                  Scan Result: http://v2.scan.majyx.net/?page=results&sid=221645
                  Scan by MaJyx Scanner
                  
Scan del Anotador Cifrado:

                  Filename: Test2.exe
                  Type: File
                  Filesize: 336047 bytes
                  Date: 12/10/2014 - 19:57 GMT+2
                  MD5: 777d251edc61dccf784e2cb0a5a5d2bc
                  SHA1: 4e7d9ce5c6fad37ece9e0e98d8465c060264d9f9
                  Status: Infected
                  Result: 27/35
                  
                     AVG Free - Trojan horse Injector.AAG
                     Avast - Win32:Inject-ATA [Trj]
                     AntiVir (Avira) - TR/Dropper.Gen
                     BitDefender - Trojan.Dropper.VB.1
                     Clam Antivirus - WIN.Trojan.VB-5767
                     COMODO Internet Security - [email protected]
                     Dr.Web - Trojan.PWS.Dybalom

                     eTrust-Vet - Win32/VBInject.C!generic
                     F-PROT Antivirus - W32/VBTrojan.7!Maximus
                     F-Secure Internet Security - Trojan.Dropper.VB.1
                     G Data - Trojan.Dropper.VB.1
                     IKARUS Security - VirTool.Win32.VBInject
                     Kaspersky Antivirus - Worm.Win32.VBNA.b
                     McAfee - OK
                     MS Security Essentials - VirTool:Win32/VBInject.DR
                     ESET NOD32 - Trojan.Win32/Injector.GSU
                     Norman - Trojan.Dropper.VB.1
                     Norton Antivirus - OK
                     Panda Security - Suspicious
                     A-Squared - OK
                     Quick Heal Antivirus - Suspicious
                     Solo Antivirus - OK
                     Sophos - Mal/VBDrop-G
                     Trend Micro Internet Security - BKDR_BIFROSE.SMY
                     VBA32 Antivirus - infected Malware-Cryptor.VB.gen.1
                     Zoner AntiVirus - OK
                     Ad-Aware - Trojan.Dropper.VB.1
                     BullGuard - Gen:Variant.Kazy.340889
                     FortiClient - W32/Refroso.ATR!tr
                     K7 Ultimate - OK
                     NANO Antivirus - Trojan.Win32.VBNA.cgowf
                     Panda CommandLine - Trj/Genetic.gen
                     SUPERAntiSpyware - OK
                     Twister Antivirus - Suspicious:[email protected]@1F32.mg
                     VIPRE - OK
               
                  Scan Result: http://v2.scan.majyx.net/?page=results&sid=221649
                  Scan by MaJyx Scanner
                  
Como se puede ver la unica firma que cambio fue la de Panda.

Link de descarga: http://www.datafilehost.com/d/5899f04c

Espero que les guste :)
Saludos.
Huelo a VERDE y no es Marihuana ;)

Conectado Gabriela

  • *
  • Co Admin
  • Mensajes: 996
  • Actividad:
    26.67%
  • Country: 00
  • Reputación 22
  • A las personas se las conoce por sus heridas...
    • Ver Perfil
    • Hirana: red de IRC
    • Email

Re:Underc0de Anotador [Especial para Modding]

  • en: Octubre 12, 2014, 03:55:41 pm


Gracias por el aporte, Baku.

Besillo!!! ;D

Tú te enamoraste de mi valentía, yo me enamoré de tu oscuridad; tú aprendiste a vencer tus miedos, yo aprendí a no perderme en tu abismo.

Desconectado blackdrake

  • *
  • Moderator
  • Mensajes: 1975
  • Actividad:
    30%
  • Country: es
  • Reputación 16
    • Ver Perfil

Re:Underc0de Anotador [Especial para Modding]

  • en: Octubre 12, 2014, 04:25:02 pm
Muy buen aporte Baku!!! Muchisimas gracias :D

Un saludo.


Desconectado Baku

  • *
  • Underc0der
  • Mensajes: 64
  • Actividad:
    0%
  • Reputación 0
  • Skype: Baku.indetectables
    • Ver Perfil

Re:Underc0de Anotador [Especial para Modding]

  • en: Octubre 12, 2014, 05:55:20 pm
Gracias por esos lindos comentarios, va a servir para aquellos que quieran modear o simplemente a los que empiezan a hacer crypters para ver si les funciona o hicieron algo mal :)
Saludos.
Huelo a VERDE y no es Marihuana ;)

 

Guía rápida para descarga de herramientas gratuitas de seguridad y desinfección.

Iniciado por d0r127

Respuestas: 2
Vistas: 3998
Último mensaje Noviembre 21, 2016, 06:15:12 pm
por d0r127
Otra modalidad malware para conocer de PowerPoint

Iniciado por xhc1

Respuestas: 2
Vistas: 3943
Último mensaje Agosto 23, 2017, 12:58:51 pm
por M03's
Sitio web: No More Ransom [Tools para descrifrar ransomware]

Iniciado por Gabriela

Respuestas: 0
Vistas: 2898
Último mensaje Julio 26, 2016, 01:18:26 pm
por Gabriela
theZoo - Repositorio de malware para análisis e investigación

Iniciado por ANTRAX

Respuestas: 5
Vistas: 6447
Último mensaje Febrero 19, 2018, 08:34:57 pm
por Lautaro Villarreal Culic'
Dendroid - Troyano para Android (Con codigo Fuente)

Iniciado por ANTRAX

Respuestas: 23
Vistas: 26278
Último mensaje Octubre 23, 2020, 01:09:04 am
por taliban1707