NO UTILIZAR “virustotal.

com” YA QUE MANDA LAS FIRMAS A LOS ANTIVIRUS

Probar:

http://scanthis.net/
http://virscan.org/

En primer lugar hay que comprender como funciona un CRYPTER, que es un ANOTADOR y que es el HEXING:

CRYPTER

Un crypter consta de dos partes el crypter y el stub.

 El crypter sirve para cifrar el troyano y hacerlo indetectable para los antivirus.
El Stub es un fichero que se encarga de copiara la ‘memoria RAM’ el malware cifrado, descifrarlo allí mismo, y a continuación ejecutar dicho
‘malware’ ya descifrado..

HEXIN

Modificaciones que se hacen en un ejecutable con un editor hexadecimal para evitar la detección de antivirus.

ANOTADOR
 Es un fichero que cada vez se ejecuta modifica un fichero.
Se utiliza para saber qu cosas se pueden modificar del stub de un crypter para que no lo detecten los antivirus.
Los anotadores se suelen encriptar con un crypter, después se modifica con un editor hexadecimal el fichero encriptado y se
prueba a ver si funciona el anotador.
Todos esos cambios luego se aplicarían al stub del crypter para cifrar el troyano, se puede hacer de 2 formas:

a) Extraer el stub del anotador encryptado. Mediante un editor hexadecimal podemos llevar a cabo fácilmente esta operación.
Simplemente es necesario conocer el tamaño del 'stub' original y seleccionar desde el primer byte hasta el tamaño final del
'stub' y guardar los bytes se leccionados a un nuevo archivo.
b) Aplicar los mismos cambios al troyano encriptado.

Práctica:

1) Se coge el anotador y se encrypta utilizando el anotador y se nombra por ejemplo, como

“encriptado.exe”(ver software hacking-malware-crypters).
2) Se pasa por la página https://www.virustotal.com/es/ para ver los antivirus que lo detectan (alomejor lo
detectan menos).
3) Se abre el fichero “encriptado.exe” con el editor hexadecimal hexedit y se van cambiando palabras por
puntos (a esta técnica se le llama HEXIN), el nuevo fichero se llama “encriptado1.exe”:
- primero probamos que funcione el anotador. (que funcione se puede hacer con anotadores, ver video cphe)
- se pasa por la página de https://www.virustotal.com/es/ para ver cuantos antivirus ya no lo detectan.

4) Repetimos el paso anterior con el fichero encriptado1.exe, al nuevo fichero lo llamaremos encriptado2.exe
y así sucesivamente.
5) Se extrae el stub.
 6) Se encrypta el troyano con el nuevo stub.

________________________________________________________________

1) Usamos crypter Batima.

Se coge el anotador y se encrypta utilizando un crypter y se nombra por ejemplo, como “encriptado.exe”(ver
software hacking-malware-crypters).

Lo encryptamos con Batima:

Pruebo que funciona el anotador encriptado (lo ejecuto y veo que escribo en el fichero del anotador):
2) Se pasa por la página https://www.virustotal.com/es/ para ver los antivirus que lo detectan.
3) Se abre el fichero “encriptado.exe” con el editor hexadecimal hexedit O cff Explorer y se van cambiando
palabras por puntos (a esta técnica se le llama HEXING), el nuevo fichero se llama “encriptado1.exe”:
- Usamos anotadores para no tener que infectar cada vez que hagamos un cambio.
 Repetimos el paso anterior con el fichero encriptado1.exe, al nuevo fichero lo llamaremos encriptado2.exe y así
sucesivamente.
4) se pasa por la página de https://www.virustotal.com/es/ para ver cuantos antivirus ya no lo detectan.
5) Seguimos haciendo cambios
6) se modifica el stub del crypter con los cambios que hemos hecho.

7) Se encrypta el troyano con el nuevo stub.