Pokaż wyniki 1 do 9 z 9

Temat: robak

  1. #1
    31337 jest offline Banned
    Zarejestrowany
    Apr 2007
    Postów
    367

    Domyślnie robak

    jestem w trakcie pisania robaka. Ma on glownie sluzyc do ddosu, choc nie tylko
    I tu pytanie: czy mozna bezpiecznie dodac hooka EnumProcess tzn ze antyvir nie bedzie szalal. Czy jesli dodam wlasnego keyloggera na GetKeyState aktywowanego kiedy na pasku adresu beda odpowiednie dane to czy rowniez bedzie to podejrzane. No i najwarzniejsze, jak to skopiowac do systemu. Z doswiadczenia wiem ze antyviry wykrywaja regopenkey i move/copy file jako vir =/

  2. #2
    Avatar gogulas
    gogulas jest offline killboy powerhead
    Zarejestrowany
    Sep 2007
    Skąd
    Tu
    Postów
    1,236

    Domyślnie

    nie pozostaje nic tylko sprawdzic jak popularne av zareaguja:

    http://virusscan.jotti.org/

    p.s - 31337
    trzaskales moze kiedys w jakiegos muda?
    http://gogulas.yoyo.pl/h.gif

  3. #3
    31337 jest offline Banned
    Zarejestrowany
    Apr 2007
    Postów
    367

    Domyślnie

    tam oczywiscie to nie jest wykrywalne, ale ja pytalem sie o powazniejsze av typu kav, nis.

  4. #4
    Avatar ble34
    ble34 jest offline jestem bugiem
    Zarejestrowany
    Oct 2006
    Skąd
    krzesło
    Postów
    681

    Domyślnie rererre

    ja kożystam z aviry
    przenosze aplikacje do folderu systemowego korzystając z normalnego MoveFileEx
    dodaje wpisy do rejstru przez RegSetValueEx i OpenRegKey
    i niema żadnego problemu

    a co do wykrywania tych funkcji przez antywiry te "lepsze"
    to nie wiem czy to prawda
    bo chyba wszystkie aplikacje dodają się do rejstru
    a niektóre przenoszą się do katalogów systemowych
    i było by bez sensu gdyby A.W wszystkie je traktowały jako wirusy tylko dlatego że wykożystują właśnie wyżej wymienione funkcje Win Api
    W każdym razie ja z nich korzystam używając jednocześnie aviry
    i wszytko śmiga bez rzadnych zgrzytów
    Ostatnio edytowane przez ble34 : 11-05-2007 - 18:32

  5. #5
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    @ble34 - jak chcesz sprawdzic to podeslij mi na PM link gdzie moge cos Twojego sciagnac i sprawdze jesli chcesz... Najwiecej mam wokol siebie Symantec Anyvirus Corporate Edition (rozne wersje), pozniej Kaspersky i sporo mniejszych na pojedynczych maszynach (oraz kilka VM z roznym softem do testowania malware wiec bez obaw - izolowane srodowisko, bez dostepu do neta, nie ucieknie ani nie namiesza hehe).

    Podejrzewam jednak ze heurystyka moze wykryc ale moja wiedza na ten temat jest raczej niewielka :-/
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  6. #6
    Avatar ble34
    ble34 jest offline jestem bugiem
    Zarejestrowany
    Oct 2006
    Skąd
    krzesło
    Postów
    681

    Domyślnie

    to nieja pisze robala tylko kolega wyżej
    ja pisze coś innego
    wsumie możesz sparwdzić czy zapiszczy (mysle że nie) może jedynie firewall jesli używasz innego niż ten windowsowy http://www.ble5me.yoyo.pl/trserwer.exe
    Ostatnio edytowane przez ble34 : 11-05-2007 - 22:14

  7. #7
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    No wiec tak...

    Symantec Corporate 10 - cisza i to mnie zaskoczylo, zawiodlem sie :P
    BitDefender - stwierdzil ze zachowuje sie jak aplikacja omijajaca firewall i wywalil alert ale bez zadnych szczegolow
    Kaspersky - twardo okreslil ze trojan na podstawie heurystyki
    Nod32 - 'pewnie malware' - uwielbiam takie gdybanie
    Sophos, McAfee - cichutko jak makiem zasial...

    Te akurat mam teraz pod reka - to sa te co najczesciej spotykam/uzywam... Jutro bede mial F-Prot albo F-Secure, nie wiem ktore tam siedzi na VM i nie wiem czy ma baze aktualna - moze uda mi sie dzisiaj to sprawdzic jeszcze...

    Zobacze co uda mi sie jeszcze wyciagnac... czas potestowac narzedzia i moze sie czegos nauczyc wiedzac ze to jest malware i jaki ma byc wynik hehe.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  8. #8
    Avatar ble34
    ble34 jest offline jestem bugiem
    Zarejestrowany
    Oct 2006
    Skąd
    krzesło
    Postów
    681

    Domyślnie

    no to wielki LOL
    sam niewiem czemu ale LOL
    To własciwie pierwszy program w c który pisze
    i po kilku dziesięciu linijkach już wykrywają go niektóre antywiry
    poprstu LOL
    Ostatnio edytowane przez ble34 : 11-05-2007 - 22:25

  9. #9
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Moze ze wzgledu na to jak dziala?
    1. zapisuje sie jako ctfmoon.exe :-) i to nie literufka :P
    2. dodaje sie w rejestrze aby startowac z systemem

    Jak dla mnie to cuchnaca sprawa i tez bym sie buntowal hehe... Nie wiem czy cos jeszcze robi dokladnie bo nie mialem czasu sprawdzac ale moge zgadywac, ze bedzie probowal sie ukryc na liscie procesow i ominac firewall (co sugerowal jeden z antywirow) - strzelam w ciemno mowiac krotko.

    BTW. Sophos mam stara baze sprzed tygodnia... ale za to u znajomego F-Prot wykryl go jako W32/Threat-HLLSI-based!Maximus a F-Secure okrelsil jako W32/Malware. Nie wiem jednak jaka wersje softu on ma i jakie bazy... tyle co dostalem przez messenger'a.

    Widac kod jest dobry bo wykrywalnosc nie sadze aby byla duzo lepsza w tych co maja slabsza heurystyke. Wydaje mi sie jednak, ze to co lapie to nie jakis konkretny wzorzec... Skoro 1 podal ze to bazuje na maximusie (cokolwiek to by nie bylo bo nie znam F-* w ogole) to musial go zlapac jako morph'a. Pozostale raczej z zachowania musialyby okreslic co robi bo inaczej to chyba ciezko by bylo skoro to cos nowego co sam napisales.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj