Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Contenido
1.
Alternativa instalando Malware Indetectable ............................................... 2 A) Descripcin.......................................................................................................... 2 B) Prueba 1 ............................................................................................................... 3 C) Prueba 2 ............................................................................................................... 6 D) Prueba 3 ............................................................................................................. 10 E) Prueba 4 ............................................................................................................. 13
La Web www.virustotal.com
B) Prueba 1
Creamos un payload:
Antivirus
AhnLab-V3 AntiVir Antiy-AVL Avast AVG BitDefender ByteHero CAT-QuickHeal ClamAV Commtouch Comodo DrWeb Emsisoft eSafe eTrust-Vet F-Prot F-Secure Fortinet GData Ikarus Jiangmin K7AntiVirus Kaspersky McAfee McAfee-GW-Edition Microsoft NOD32 Norman nProtect Panda PCTools Prevx Rising Sophos SUPERAntiSpyware Symantec TheHacker TrendMicro TrendMicro-HouseCall VBA32 VIPRE ViRobot VirusBuster
Result
Trojan/Win32.Shell TR/Crypt.EPACK.Gen2 Win32:SwPatch [Wrm] Win32/Heur Backdoor.Shell.AC Trojan.Win32.Heur.Gen Trojan.Swrort.A W32/Swrort.A.gen!Eldorado TrojWare.Win32.Rozena.A Trojan.Swrort.1 Win32/Swrort.A!generic W32/Swrort.A.gen!Eldorado Backdoor.Shell.AC W32/Swrort.C!tr Backdoor.Shell.AC Riskware HEUR:Trojan.Win32.Generic Swrort.d Swrort.d Trojan:Win32/Swrort.A a variant of Win32/Ducky.AA Backdoor.Shell.AC Suspicious file Mal/Swrort-C Trojan.Backdoor-PoisonIvy TROJ_SWRORT.SME TROJ_SWRORT.SME Trojan.Win32.Swrort.B (v) Trojan.Rosena.Gen.1
Update
20120125 20120125 20120125 20120125 20120124 20120125 20120123 20120125 20120125 20120125 20120125 20120125 20120125 20120125 20120124 20120124 20120125 20120125 20120125 20120125 20120124 20120124 20120125 20120125 20120125 20120125 20120125 20120125 20120125 20120124 20120125 20120125 20120118 20120125 20120125 20120125 20120125 20120125 20120125 20120124 20120125 20120125 20120124
Hacemos la prueba con nuestro NOD32, con el simple hecho de abrir por ejemplo el pendrive donde se encuentre o bajrtelo del correo, NOD32 lo detecta como amenaza y te avisa:
Al pasarlo a un PC con Avira desactualizado a simple vista no muestra ninguna advertencia por lo que podra no detectarlo asique lo escaneamos directamente
C) Prueba 2
Vamos a utilizar ahora otros 2 encoders juntos
Lo pasamos a un PC con NOD32 y automticamente nos aparece en el centro de la pantalla el mensaje de amenaza al ejecutar C:\WINDOWS\explorer.exe, el explorador de Windows.
Antivirus
AhnLab-V3 AntiVir Antiy-AVL Avast AVG BitDefender ByteHero CAT-QuickHeal ClamAV Commtouch Comodo DrWeb Emsisoft eSafe eTrust-Vet F-Prot F-Secure Fortinet GData Ikarus Jiangmin K7AntiVirus Kaspersky McAfee McAfee-GW-Edition Microsoft NOD32 Norman nProtect Panda PCTools Prevx Rising Sophos SUPERAntiSpyware Symantec TheHacker TrendMicro TrendMicro-HouseCall VBA32 VIPRE ViRobot VirusBuster
Result
Trojan/Win32.Shell TR/Crypt.EPACK.Gen2 Win32:SwPatch [Wrm] Win32/Heur Backdoor.Shell.AC Trojan.Win32.Heur.Gen Trojan.Swrort.A W32/Swrort.A.gen!Eldorado TrojWare.Win32.Rozena.A Trojan.Swrort.1 Win32/Swrort.A!generic W32/Swrort.A.gen!Eldorado Backdoor.Shell.AC W32/Swrort.C!tr Backdoor.Shell.AC Riskware HEUR:Trojan.Win32.Generic Swrort.d Swrort.d Trojan:Win32/Swrort.A a variant of Win32/Rozena.AH Backdoor.Shell.AC Suspicious file HeurEngine.MaliciousPacker Mal/Swrort-C Trojan.Backdoor-PoisonIvy Packed.Generic.347 Trojan.Win32.Swrort.B (v) Trojan.Rosena.Gen.1 20120125 20120125 20120125 20120125 20120124 20120125 20120123 20120125 20120125 20120125 20120125 20120125 20120125 20120125 20120124 20120124 20120125 20120125 20120125 20120125 20120124 20120124 20120125 20120125 20120125 20120125 20120125 20120125 20120125 20120124 20120125 20120125 20120118 20120125 20120125 20120125 20120125 20120125 20120125 20120124 20120125 20120125 20120124
Update
Si lo pasamos por el PC con Avira pasa lo mismo que con el primero, no se detecta a simple vista asique lo analizamos de nuevo:
D) Prueba 3
Utilizamos otro encoder diferente con un windows/shell/reverse_tcp
Este al pasarlo por el PC con NOD32 lo detecta tambin al momento al igual que el anterior es una variante del troyano Win32/Rozena.AA
Lo tenemos en cuarentena:
Cuando lo subimos a virustotal, vemos que este es detectado por 31 de 42 antivirus, ms que el resto de malwares anteriores
Antivirus
AhnLab-V3 AntiVir Antiy-AVL Avast AVG BitDefender ByteHero CAT-QuickHeal ClamAV Commtouch Comodo DrWeb Emsisoft eSafe eTrust-Vet F-Prot F-Secure Fortinet GData Ikarus Jiangmin K7AntiVirus Kaspersky McAfee McAfee-GW-Edition Microsoft NOD32 Norman nProtect Panda PCTools Rising Sophos SUPERAntiSpyware Symantec TheHacker TrendMicro TrendMicro-HouseCall VBA32 VIPRE ViRobot VirusBuster
Result
Trojan/Win32.Shell TR/Crypt.EPACK.Gen2 Win32:SwPatch [Wrm] Win32/Heur Backdoor.Shell.AC Trojan.Swrort.A W32/Swrort.A.gen!Eldorado TrojWare.Win32.Rozena.A Trojan.Swrort.1 Trojan.Win32.Swrort!IK Win32/Swrort.A!generic W32/Swrort.A.gen!Eldorado Backdoor.Shell.AC W32/Swrort.C!tr Backdoor.Shell.AC Trojan.Win32.Swrort Riskware HEUR:Trojan.Win32.Generic Swrort.d Swrort.d Trojan:Win32/Swrort.A a variant of Win32/Rozena.AA W32/Swrort.S Backdoor.Shell.AC Suspicious file HeurEngine.MaliciousPacker Mal/Swrort-C Trojan.Backdoor-PoisonIvy Packed.Generic.347 TROJ_SWRORT.SME TROJ_SWRORT.SME Trojan.Win32.Swrort.B (v) Trojan.Rosena.Gen.1 20120122 20120123 20120123 20120123 20120123 20120123 20120123 20120123 20120123 20120123 20120123 20120124 20120123 20120123 20120123 20120123 20120123 20120124 20120123 20120123 20120123 20120123 20120124 20120123 20120124 20120123 20120123 20120123 20120123 20120123 20120123 20120118 20120123 20120123 20120124 20120123 20120123 20120124 20120123 20120123 20120123 20120123
Update
Pero este al pasarlo por el PC con Avira(desactualizado, recordemos) lo detecta como amenaza
E) Prueba 4
En esta ltima prueba lo que vamos a hacer es codificarlo varias veces ms juntas:
Antivirus
AhnLab-V3 AntiVir Antiy-AVL Avast AVG BitDefender ByteHero CAT-QuickHeal ClamAV Commtouch Comodo DrWeb Emsisoft eSafe eTrust-Vet F-Prot F-Secure Fortinet GData Ikarus Jiangmin K7AntiVirus Kaspersky McAfee McAfee-GW-Edition Microsoft NOD32 Norman nProtect Panda PCTools Rising Sophos SUPERAntiSpyware Symantec TheHacker TrendMicro TrendMicro-HouseCall VBA32 VIPRE ViRobot VirusBuster
Result
Trojan/Win32.Shell TR/Crypt.EPACK.Gen2 Win32:SwPatch [Wrm] Win32/Heur Backdoor.Shell.AC Trojan.Swrort.A W32/Swrort.A.gen!Eldorado TrojWare.Win32.Rozena.A Trojan.Swrort.1 Win32/Swrort.A!generic W32/Swrort.A.gen!Eldorado Backdoor.Shell.AC W32/Swrort.C!tr Backdoor.Shell.AC Riskware HEUR:Trojan.Win32.Generic Swrort.d Swrort.d Trojan:Win32/Swrort.A a variant of Win32/Rozena.AH W32/Swrort.S Backdoor.Shell.AC Suspicious file HeurEngine.MaliciousPacker Mal/Swrort-C Trojan.Backdoor-PoisonIvy Packed.Generic.347 TROJ_SWRORT.SME TROJ_SWRORT.SME Trojan.Win32.Swrort.B (v) Trojan.Rosena.Gen.1
Update
20120122 20120123 20120123 20120123 20120123 20120123 20120123 20120123 20120123 20120123 20120123 20120124 20120123 20120123 20120123 20120123 20120123 20120124 20120123 20120123 20120123 20120123 20120124 20120123 20120124 20120123 20120123 20120123 20120123 20120123 20120123 20120118 20120123 20120123 20120124 20120123 20120123 20120124 20120123 20120123 20120123 20120123
Si hacemos la prueba de subirlo a virustotal vemos que ya no hay tantos antivirus que lo detecten, esta vez es solo la mitad mas o menos, en caso de estar actualizados.
Antivirus
AhnLab-V3 AntiVir Antiy-AVL Avast AVG BitDefender ByteHero CAT-QuickHeal ClamAV Commtouch Comodo DrWeb Emsisoft eSafe eTrust-Vet F-Prot F-Secure Fortinet GData Ikarus Jiangmin K7AntiVirus Kaspersky McAfee McAfee-GW-Edition Microsoft NOD32 Norman nProtect Panda PCTools Prevx Rising Sophos SUPERAntiSpyware Symantec TheHacker TrendMicro TrendMicro-HouseCall VBA32 VIPRE ViRobot VirusBuster
Result
TR/Crypt.XPACK.Gen Win32:RozPatch Win32/Heur Backdoor.Shell.AC W32/Swrort.C TrojWare.Win32.Rozena.A Trojan.Swrort.1 Win32/Swrort.A W32/Swrort.C Backdoor.Shell.AC W32/Swrort.C!tr Backdoor.Shell.AC Swrort.d Trojan:Win32/Swrort.A a variant of Win32/Rozena.AG W32/Swrort.A Backdoor/W32.Shell.458752 Trojan.Swrort Mal/Swrort-D Trojan.Swrort!inf Trojan.Win32.Swrort.B (v) Win32.Swrort.Gen.2 20120122 20120123 20120123 20120123 20120123 20120124 20120123 20120123 20120123 20120123 20120123 20120124 20120123 20120123 20120123 20120123 20120123 20120124 20120123 20120123 20120123 20120123 20120124 20120123 20120123 20120123 20120123 20120123 20120123 20120123 20120124 20120125 20120118 20120123 20120123 20120123 20120123 20120123 20120123 20120123 20120123 20120123 20120123
Update
Si lo pasamos al PC con Avira, nos aparece directamente la siguiente ventana advirtiendo de la amenaza de nuestro putty_mejorado.exe
Si lo vemos ms detalladamente, nos saltan 2 ventanas ms informndonos sobre el proceso metsvc.exe que lo detecta como un Backdoor
Y el ejecutable putty_mejorado.exe detectado como cryptXPACK, por lo que como vemos a pesar de ser una firma de base de datos de virus, este tipo de engao ya ha sido registrado por lo menos hace 2 aos