Cambiar offsets detectados con editor hex.
Es una de las técnicas mas antiguas de todas consistes en ir buscando los offsets detectados y cuando encontramos el que caza el antivirus cambiamos su numero por un numero mas alto y generalmente conseguimos hacerlo indetectable, pero muchas veces se jode la aplicación.
Cambiar el código fuente detectado en ASM
A mi es la técnica k mas me gusta, es como la anterior solo k en vez de sumar un numero abres el programa con un debuger como ollydbg y te diriges al offset detectado y cambias el código fuente en ASM, así consigues k sea indetectable y no estropeas el ejecutable.
Si abres un programa con un editor hexadecimal solo ves numeritos, pero si usas un debuger esos números se traducen a código en ASM.
Y por ejemplo si el offset detectado es "74" ("je" en ASM, significa si es igual salta) y si cambias el 74 por "75" (“jne” en ASM, significa salta si no es igual)
Por lo tanto lo k tas haciendo es invertir un salto, aparentemente se queda indetectable ya k es lo contrario, pero si por ejemplo tienes este código tan simple:
Si cam ESTA apagada entonces enciéndela
Si cambias ese 74 por 75 quedaría así:
Si cam NO ESTA apagada entonces enciéndela
Por eso al cambiar usando el editor hex algunas funciones quedan inutilizadas o incluso te puedes cargar el programa.
Si lo modificas el código fuente en ASM como por ejemplo poniendo un salto a la función o algo k haga lo mismo de manera diferente pues te queda indetectable y funcional.
Usar encriptadores y compresores
Esto es l mas como y lo k mas gente hace, a mi no me gusta ya k no suelen durar mucho siendo indetectables.
.
No es lo mismo un encriptador k un compresor:
* Encriptador
Es un programa con el fin de proteger un ejecutable para k no pueda obtenerse su código fuente fácilmente, estos no hacen mas pequeño el programa, generalmente lo hacen mas grandes, algunos de estos programas solo tienen el fin de hacer indetectable las aplicaciones.
Usar los encriptadores da muy buenos resultados, pero al poco tiempo los antivirus los añaden a sus listas y son detectados.
Los ejemplos de encriptadores más comunes son el Themida, el SD Protector ...
* Compresor
Son programas con el fin de hacer k las aplicaciones ocupen menos de su tamaño original.(reducen su tamaño casi a la mitad)
No suelen hacer indetectables las aplicaciones.
Los mas frecuentes son upx, fsg...
También quiero destacar que los joiners y los binders No hacen indetectables los programas, lo que hacen es juntar varias cosas, y sirven para engañar cuando por ejemplo le envías un troyano a alguien si no le aparece nada en la pantalla es sospechoso, si con un binder juntas el troyano con una foto ya no es tan sospechoso wink
Extensión de un troyano
Los troyanos siempre tiene tener la extensión “exe” para que sean ejecutados como una aplicación.
Hablando claro, no se puede mandar un troyano como si fuera una foto (con extensión jpg) , la explicación es muy sencilla. Windows ejecuta cada extensión con un programa predeterminado, y si tiene extensión jpg lo abrirá con el visor de imágenes, por lo tanto el troyano no se ejecuta.
También es sabido que hay varios trucos para engañar a la victima haciéndola creer que es una foto...
Por ejemplo:
* Doble extensión
* Cambiar el icono
* Contaminar el registro
Doble extensión
Consiste simplemente en renombrar un archivo de troyano.exe a troyano.jpg.ex
e
Así Windows ocultara la extensión exe y el usuario vera k tiene extensión de foto.
Cambiar el icono
Con herramientas como el ResHacker puedes cambiar los iconos de una aplicación y poner por ejemplo el icono k usa Windows para las fotos y así lo abrirá creyendo k es una foto...
Contaminar el registro
En el registro esta guardado con que programa se abre cada extensión.
Pues el truco esta en cambiar el programa k abre los archivos jpg por ejemplo para k los abra como programas y después de haber hecho ese cambio cualquier archivo jpg que le mandemos lo abrirá como una aplicación.
Ejemplo:
Para ver este enlace Registrate o Inicia SesionEnviar troyanos
Lo mas frecuente para enviar un troyano a la victima suele ser enviarlo por email o por mensajería instantánea, pero estos bloquean los ejecutables y avisan de que son archivos peligrosos para el equipo. Para evitar eso se pueden hacer 2 cosas:
* Comprimir archivos
* Tres puntitos
Comprimir archivos
Si el archivo exe lo comprimes en zip por ejemplo te dejaran enviarlo por todos los lados y la victima lo podrá abrir ya que viene por defecto con Windows.
Tres puntitos
En Hotmail si después de el exe pones 3 puntitos no te dice nada de el archivo y te lo ejecuta normal.
Por ejemplo “troy.exe” => “troy.exe...”
Problemas con troyanos
A la hora de usar un troyano de conexión inversa se nos dan muchas ventajas pero también tiene algún inconveniente.
Si tienes una IP dinámica (que cambia) necesitas crearte un DNS con no-ip por ejemplo para k tu ip siempre este actualizada.
Si el Server no se conecta a ti puede ser pro varias cosas, la mas común es k no tengas abiertos los puestos de tu router, tendrás k abrirlos, también puede ser k la victima tenga un firewall y no deje conectarse a Internet o simplemente k tu troyano sea detectado y su antivirus lo borre.
Comprobar si un troyano es detectado
Para comprobar si un troyano es detectado lo mas fácil es usar nuestro antivirus, pero cada antivirus es distinto por lo tanto si la victima tiene un antivirus distinto alo mejor se lo detecta.
Hay varios escaners de varios antivirus a la vez:
Online : Son antivirus en paginas Web como VirusTotal, no enviéis nunca vuestros troyanos a analizar ya k mandan muestras a las compañías antivirus y si no es detectado lo será en pocos días
Offline: Hay herramientas como la de Thor (KISM) k hace lo mismo solo k no manda muestras a ningún antivirus.
By: Dark allien
Autor