• Уменьшение отступа

    Обратная связь

    (info@ru-sfera.pw)

Программа Криптор - Projeto simples by Toony 157 [Rate: 3/35 ]


Hooko

Уважаемый пользователь
Форумчанин
Регистрация
24.08.2016
Сообщения
230
Репутация
345
Jabber
2jvjRA.jpg

Filename: crypted.exe
Filesize: 621,51 kB
Date: 2016-08-12 02:49:47
MD5: 14b58286b1278591883050b7fc2bbc0f
SHA1: 70713772814e8cb31ed32566945eb76e05a88601
Status: Infected
Rate: 3/35

Слил с одного из испанских форумов.

ЗАПУСКАТЬ НА ВИРТУАЛКЕ - НА СКЛЕЙКУ НЕ ПРОВЕРЯЛ!
Комету не "бьет. Криптует норм.

Details:
Ad-Aware - File is clean
A-Squared - File is clean
Avast - File is clean
AVG Free - File is clean
AntiVir (Avira) - TR/Dropper.Gen
BitDefender - File is clean
BullGuard - File is clean
Clam Antivirus - File is clean
COMODO Internet Security - File is clean
Dr.Web - File is clean
ESET NOD32 - File is clean
eTrust-Vet - File is clean
FortiClient - File is clean
F-PROT Antivirus - File is clean
F-Secure Internet Security - File is clean
G Data - File is clean
IKARUS Security - Trojan.Win32.Injector
K7 Ultimate - File is clean
Kaspersky Antivirus - File is clean
McAfee - File is clean
MS Security Essentials - File is clean
NANO Antivirus - File is clean
Norman - File is clean
Norton Antivirus - File is clean
Panda CommandLine - File is clean
Panda Security - File is clean
Quick Heal Antivirus - File is clean
Solo Antivirus - File is clean
Sophos - Mal/VBCheMan-D
SUPERAntiSpyware - File is clean
Trend Micro Internet Security - File is clean
Twister Antivirus - File is clean
VBA32 Antivirus - File is clean
VIPRE - File is clean
Zoner AntiVirus - File is clean

Качнуть:
Pass: ru-sfera.pw
 
Последнее редактирование:

Indy

Уважаемый пользователь
Форумчанин
Регистрация
21.01.2015
Сообщения
277
Репутация
105
Запаролено. И вообще не так проверяют крипторы. Тело должно изменяться, а не тупо копировать в ресурсы файл и не меняться. Школота обычно так и делает, ибо не понимает суть и цель крипта. FUD - это никакой не показатель, это текущий лог по детектам. После залива на VT такое говно перестаёт быть FUD :D
 

MIXA066

Уважаемый пользователь
Форумчанин
Регистрация
18.05.2014
Сообщения
425
Репутация
127
Запаролено. И вообще не так проверяют крипторы. Тело должно изменяться, а не тупо копировать в ресурсы файл и не меняться. Школота обычно так и делает, ибо не понимает суть и цель крипта. FUD - это никакой не показатель, это текущий лог по детектам. После залива на VT такое говно перестаёт быть FUD :D
Пустые слова, на данный момент не видел ни одного криптора/вируса который был бы настолько полиморфным чтобы после слива на вт детект не появлялся. Если такой и есть то стоит он круглую сумму
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 176
Пустые слова, на данный момент не видел ни одного криптора/вируса который был бы настолько полиморфным чтобы после слива на вт детект не появлялся. Если такой и есть то стоит он круглую сумму
Ну во первых детект бывает разным, если например детект наложен по хешу, то даже после залития на вт, если криптор действительно полиморфный, то следующии экземпляры будут без детекта уже.

Вообще я всего один такой криптор видел в паблике, тут кстати исходник его есть, на visual c++ написан.

Есть-же еще понятие метаморфизм, возможно Инди имеет в виду именно это, если по простому, то в моем понимании, отличия тем-что:

Полиморфизм - Меняет-лишь часть кода вируса, как пример шифрование с разным ключем, но стаб уже может-быть задетектен и такой способ уже потеряет смысл, если детект будет на стаб.

Метаморфизм - По сути меняет весь код вируса и стаб уже не поддается детекту, таких крипторов не разу не видел.

Как такое реализовать теоретически ?

Вот как я понимаю по простому, если что-то неправильно, может Инди поправит:

На входе у стаба три основных параметра — адрес зашифрованного буфера, его длина и ключ.

Далее на основе некого "базового" кода генерируется уже основные действия нашего вируса, т.е. расшифровка, запуск в памяти и т.д.

По сути это что-то похожее на компилятор — на входе некоторые семантические конструкции, на выходе готовый к исполнению процессором код.

Есть еще понятие пермутации, по сути это перестановка кода без потери его работоспособности, это тоже может подпортить жизнь аверам, даже после залития на вирустотал !
 

MIXA066

Уважаемый пользователь
Форумчанин
Регистрация
18.05.2014
Сообщения
425
Репутация
127
Ну во первых детект бывает разным, если например детект наложен по хешу, то даже после залития на вт, если криптор действительно полиморфный, то следующии экземпляры будут без детекта уже.

Вообще я всего один такой криптор видел в паблике, тут кстати исходник его есть, на visual c++ написан.

Есть-же еще понятие метаморфизм, возможно Инди имеет в виду именно это, если по простому, то в моем понимании, отличия тем-что:

Полиморфизм - Меняет-лишь часть кода вируса, как пример шифрование с разным ключем, но стаб уже может-быть задетектен и такой способ уже потеряет смысл, если детект будет на стаб.

Метаморфизм - По сути меняет весь код вируса и стаб уже не поддается детекту, таких крипторов не разу не видел.

Как такое реализовать теоретически ?

Вот как я понимаю по простому, если что-то неправильно, может Инди поправит:

На входе у стаба три основных параметра — адрес зашифрованного буфера, его длина и ключ.

Далее на основе некого "базового" кода генерируется уже основные действия нашего вируса, т.е. расшифровка, запуск в памяти и т.д.

По сути это что-то похожее на компилятор — на входе некоторые семантические конструкции, на выходе готовый к исполнению процессором код.

Есть еще понятие пермутации, по сути это перестановка кода без потери его работоспособности, это тоже может подпортить жизнь аверам, даже после залития на вирустотал !
после залития может быть и не будет детекта на другие криптованые файлы, но как только реальные люди начнут анализировать файл вся эта полиморфность накроется, я так думаю врядли возможно скрыть код так, чтобы после ручного дебага его не прочитали, а в ав компаниях работают отнюдь не дураки.. А когда есть исходный код то думаю не составит труда внести его в ав базу..
Может быть я не прав, но врядли)
----------
То что Indy уже в каком по счету топике рассказывает о чудософтине это конечно круто, но ни одного доказательства о существовании такого чуда, лично у него я не видел. Повторюсь: такой софт если и есть то у каких-нибудь корпораций или правительственных организаций и стоит круглую сумму, поэтому не вижу смысла поливать грязью все сущетсвующие крипторы/вирусы ссылаясь на мифические софтины
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 176
Кстати нефакт, что если залить вирус на вирустотал, он попадет именно к аналитику, это-же какой штат нужно держать ? Учитывая что сейчас как понимаю аверы сокращают штат и делают ставку на автоматику.

Скажу более, что заливал несколько вирусов и криптованных и нет и их детект вообще не менялся. Значит отсылают не все вирусы, а только какие-то популярные, или по определенным признакам !

То что Indy уже в каком по счету топике рассказывает о чудософтине это конечно круто, но ни одного доказательства о существовании такого чуда, лично у него я не видел
Если не ошибаюсь, он вроде писал двиган vmbe2 что-ли, название не помню. Он как-то подключался к криптору и детект отваливался, на сам двиган вроде нет детекта.

Здесь на форуме есть тема вроде с ним, вот:VMBE2 (Indy)
 

MIXA066

Уважаемый пользователь
Форумчанин
Регистрация
18.05.2014
Сообщения
425
Репутация
127
Кстати нефакт, что если залить вирус на вирустотал, он попадет именно к аналитику, это-же какой штат нужно держать ? Учитывая что сейчас как понимаю аверы сокращают штат и делают ставку на автоматику.

Скажу более, что заливал несколько вирусов и криптованных и нет и их детект вообще не менялся. Значит отсылают не все вирусы, а только какие-то популярные, или по определенным признакам !


Если не ошибаюсь, он вроде писал двиган vmbe2 что-ли, название не помню. Он как-то подключался к криптору и детект отваливался, на сам двиган вроде нет детекта.

Здесь на форуме есть тема вроде с ним, вот:VMBE2 (Indy)

На счет движка хз, если действительно может обходить вт то круто, но как-то слабо верится
По поводу вт для меня лично загадка как он работает, знаю одно: после залива кометы не важно криптованой не криптованой появляются боты от вт, обычно на эти боты нельзя зайти, посомтреть файловую систему/удаленный экран, но пару раз у меня получалось, судя по демке это чтото типо виртуальной машины, не знаю может у них эмулируются автоматически файлы, но мне кажется в любом случае крипты добавляют в сигнатуры живые люди
 

Indy

Уважаемый пользователь
Форумчанин
Регистрация
21.01.2015
Сообщения
277
Репутация
105
Ребята, не надо про пермтацию вещать, это всего лишь концепт, который реализовать не представляется возможным из за сложности. Даже если и попытаться, то всёравно это задача класса NP, из за роблемы аналитики - отличить данны от кода и обнаружить связи между паразитными данными. На данный момент это не разрешимо, решения небыло и не ясно как это решать.
Далее зачем вообще была упамянута тут пермутация. Эта техника не может обсуждаться. К крипторам отношения никакого не имеет, крипторы они полиморфы - это примитивное изменение стаба, это дерьмо даже не способно своё тело выделить.
VMBE - за хз сколько лет так никто ничего и не понял(атомы) как оно робит. Но я упрощу вам задачу, курите матчасть.
 

Вложения

  • DFG.pdf
    96.6 КБ · Просмотры: 15

Indy

Уважаемый пользователь
Форумчанин
Регистрация
21.01.2015
Сообщения
277
Репутация
105
MIXA066

> То что Indy уже в каком по счету топике рассказывает о чудософтине это конечно круто, но ни одного доказательства о существовании такого чуда, лично у него я не видел.

Чистим мозги^, тонны кода я так полагаю наработанного за десяток лет вылаживать не нужно =))
 

MIXA066

Уважаемый пользователь
Форумчанин
Регистрация
18.05.2014
Сообщения
425
Репутация
127
MIXA066

> То что Indy уже в каком по счету топике рассказывает о чудософтине это конечно круто, но ни одного доказательства о существовании такого чуда, лично у него я не видел.

Чистим мозги^, тонны кода я так полагаю наработанного за десяток лет вылаживать не нужно =))
К крипторам отношения никакого не имеет, крипторы они полиморфы - это примитивное изменение стаба, это дерьмо даже не способно своё тело выделить.
Просто я так думаю что если поливаешь грязью что-то - продемонстрируй что-то лучшее. В данном случае криптор которому бы был не страшен слив на вт? Лично я считаю что такого не может быть, потому что на вт файлы попадают в лабы где сидят не глупые люди, все свои мысли я писал выше, если я не прав - поправь, желательно с пруфами, а не пустым хейтом всего и вся.
Зы Доказательства это не только код но и пример его работы
 
Верх Низ