9 mar 2012

¿Funciona un crypter como "NoSopa" para que Flu no sea detectado?

Buenas a todos, hace unas semanas en el taller que dimos en las jornadas SID, hablamos largo y tendido sobre mecanismos para hacer indetectable un malware ante los principales antivirus del mercado, y uno de los temas que tratamos en la ponencia fue el de los crypters. En el siguiente video os mostramos lo sencillo que es cifrar el ejecutable de Flu con el crypter NoSopa, que salió hace unas pocas semanas, y vemos como conseguimos que Flu pase de ser detectado por más de 30 antivirus, a 14. Pero si nos fijamos en los informes, muchos de los antivirus no detectan a flu, si no al propio crypter, que ya lo tienen recogido en sus bases de firmas. Conclusiones... si no quieres que tu crypter se vaya por el sumidero... no lo subas a virus total ;)

[youtube -TLNi_5THVo nolink]

7 comentarios:

  1. Tan solo con publicarlo, en un par de días están al rojo vivo. Las empresas antivirus tienen contratados a personal registrado en foros de malware, para descargarse los nuevos ejemplares y así poder agregar las nuevas firmas.Desde hace un par de años, las modificaciones de crypters no se comparten tan abiertamente, pues los usuarios que modifican los stubs, utilizan varios algoritmos para cifrar los binarios o simplemente agregan contraseñas cifradas a los archivos comprimidos... esto hace que “solo gente un poco más cualificada”, consiga obtener el crypter y sea más complejo para las empresas Avs, hacerse con el malware para analizarlo. También se cerca el campo de distribución, por número de mensajes en el foro, así solo el personal “fiel”, consigue hacerse con su copia. Sin hablar de mafias y foros priv8.Luego todo esto se reduce a ROR, ROL, XOR, RIT, Meepa, DAFe ... ;)Saludos!

    ResponderEliminar
  2. Pero si ese crypter es una mierda!! Es en scan time, vamos que cuando lo ejecutes el antivirus te lo va a detectar, eso no vale para nada!!! lameruzos!!XDDDDDDDDDD¿.?

    ResponderEliminar
  3. Buenas Germán, gracias por el comentario! A ver cuando te animas a enviarnos un post del tema :)Buenas @nombre, nadie ha dicho lo contrario ;) Agradeceriamos más respeto a la hora de poner comentarios.Saludos!

    ResponderEliminar
  4. @Nombre, ya que se ve que estás tan entendido en el tema, podrías explicarnos como funciona un crypter run time y el proceso detallado que este hace para que el encryptado corra en memoria y no ser detectado.Hay otros scanners alternativos que no envian muestras... Obviamente son de pago. Una buena utilidad es el KIMS, uno de los primeros o creo que el primer multi av. Originalmente programado por Thor y reprogramado por DSR! actualmente.Germán tiene razón, ahora ya no se distribuyen estas herramientas de forma tan libre.... Los antivirus se ponen las pilas, tarde, pero se las ponen. Almenos intentamos demostrar que siguen podiendose 'engañar'. Sería una buena entrada hablar sobre Avira y lo paranoico que se ha convertido! xDBuena entrada Juanan!

    ResponderEliminar
  5. El próximo de malware será vuestro! a ver si retomo un poquito... jejej =)Saludos!

    ResponderEliminar
  6. $DoC: @Nombre, ya que se ve que estás tan entendido en el tema, podrías explicarnos como funciona un crypter run time y el proceso detallado que este hace para que el encryptado corra en memoria y no ser detectado.Hay otros scanners alternativos que no envian muestras… Obviamente son de pago. Una buena utilidad es el KIMS, uno de los primeros o creo que el primer multi av. Originalmente programado por Thor y reprogramado por DSR! actualmente.Germán tiene razón, ahora ya no se distribuyen estas herramientas de forma tan libre….Los antivirus se ponen las pilas, tarde, pero se las ponen. Almenos intentamos demostrar que siguen podiendose ‘engañar’. Sería una buena entrada hablar sobre Avira y lo paranoico que se ha convertido! xDBuena entrada Juanan!Gracias crack!, me anoto lo de Avira! :P

    ResponderEliminar
  7. Alguien tiene el link de descarga del cryper, no lo encuentro ... Saludos y gracias

    ResponderEliminar