Hey all,

also ich habe mal ne Frage:

Wie bekomme ich meinen Binder FUD ?
Ich habe mir mal einen einfachen binder geschrieben, der 2 files bindet und natürlich ausführt, nur mein scan von zwei harmlosen gebundenen dateien wird leider erkannt.

Virustotal. MD5: b84a09f9bf4e9c4963914a27abf740e8 Virus.MSIL!IK TR/Dropper.Gen Virus.MSIL (http://www.virustotal.com/de/analisis/7e80fe6127ffd49d705be7b0427959012313c07d33ccdd49c1 7bcf37192a5477-1277815384)

bei cryptern wird die datei ja verschlüsselt ausgeführt, muss man das bei buindern genauso machen, oder wie ist das prinzip hier um ihn FUD zubekommen ?

danke für eure hilfe

mfg

Ich schätze mal du legst die Datei irgendwo wenn du das Programm startest, deswegen die Meldung..

richtig, die beiden gebundenen dateien werden rausgesplittet und in "C:\" gepackt und anshließend gestartet.
deswegen erkennt avira auch den dropper denk ich mal...

mfg

Ich schätze mal du legst die Datei irgendwo wenn du das Programm startest, deswegen die Meldung..

Nicht richtig..

Der tr/dropper wird vmtl. durch den Header ausgelöst, der jetzt wo die gebindete Datei mehr beinhaltet als sie soll, avira auffält..

Auf der Platte ablegen muss er die Dateien ja, sonst wäre es kein binder mehr
Das machen viele Programme und hat überhaupt nichts suspektes..

Allerdings würde ich sie eher nicht in c starten sondern in der appdatadir oder im temp..


Wie genau bindest du denn deine files aneinander? etwas mehr Informationen wären ganz nützlich wenn man dir helfen soll

Sawyers Binder Sample. Oder schau im Sticky das isn Thread von mir mit Sources da is einer dabei.

hey,

also zur Zeit arbeitet mein binder so:

datei1 wird eingelesen, datei2 wird eingelesen stubdata wird eingelesen.
alles wird zusammen in eine datei geschrieben

also quasi: fileput(1, stubdata & splitstring & datei1 & splitstring & datei2 & splitstring)

beim ausführen, werden datei1 und datei2 dann ins temp.verzeichnis(hab ich geändert) gedroppt und ausgeführt.

scan resultat, seht ihr in meinem ersten post.

was für methoden bleiben mir um ihn FUD zu kriegen, da auch 2 harmlose datei nach dem binden detected sind.

hoffe das reicht an infos, ansonsten bitte nachfragen.

mfg und danke

was für methoden bleiben mir um ihn FUD zu kriegen, da auch 2 harmlose datei nach dem binden detected sind.


Ich kenn mich damit auch nciht zu 100% aus, aber



Der tr/dropper wird vmtl. durch den Header ausgelöst, der jetzt wo die gebindete Datei mehr beinhaltet als sie soll, avira auffält..


würde bedeuten dass du die Dateien nicht einfach so in einen String einlesen und abspeichern darfst.. ;)

was für methoden bleiben mir um ihn FUD zu kriegen, da auch 2 harmlose datei nach dem binden detected sind.
Definitiv der PE-Header. Die letzte Section endet vor den Daten von datei1 und somit ist es für den AV klar, dass da nachträglich daten angehängt wurden. Wenn du SizeofRawData der letzten Section angepasst hast, sollte es eigtl bei harmlosen Files undetected sein, für Malware brauchst du dann natürlich eine Verschlüsselung, welche allerdings auch nur in "Scantime"-FUDity resultiert.

Wo ändere ich denn die "SizeofRawData" ?
ich hab bis jetzt nur mal gelesen, das man das bei fertig gebundenen files macht um sie UD zu bekommen...

mfg

Wo ändere ich denn die "SizeofRawData" ?
Uppe mal bitte ne gebindete File (bitte ohne malware :D)

Sehr gutes Tut dazu von EBFE hier (http://ebfe.de.vu//manualfix.pdf)
(Ich hoffe es ist ok wenn ich Material von anderen verlinke)

hier habe ich jetzt mal 2 mal die calc.exe gebunden...

2xcalc.exe ... at uploaded.to - Free File Hosting, Free Image Hosting, Free Music Hosting, Free Video Hosting, ... (http://uploaded.to/file/bjoczf)

scan: Virustotal. MD5: f4a843da5a364ad6098a0bfe87db7658 Virus.MSIL!IK TR/Dropper.Gen Virus.MSIL (http://www.virustotal.com/de/analisis/b2ffbd21980ab3631c6b40331ade6fbe7108e48669a36c10ce 87ea51920cf8aa-1278018989)

die frage ist ja jetzt nicht, wie ich dieses file FUD bekomme, sondern wie ich meinen binder so verändere, dass er FUD bindet

danke für hilfe

Soo. Wie erwartet kann man durch einfaches erweitern der letzten Section (jaja, nicht die feine englische Art) die Droppermeldung von Antivir beseitigen. Woher die anderen beiden generic Meldungen kommen, kann ich dir nicht sagen.
http://img227.imageshack.us/img227/4392/blao.png
Was du nun tun musst, ist (Pseudocode)


SectionHeaders[NumberOfSections-1].SizeOfRawData += datei1.size + datei2.size + 2*splitstring.size;

Den Splittstring muss man noch nichtmals "dazuaddieren" ;)

Es reicht:


SectionHeaders[NumberOfSections-1].SizeOfRawData += datei1 + datei2

mfG

Den Splittstring muss man noch nichtmals "dazuaddieren" ;)

Dann steht hinten aber wieder was über. Und wir wollen ja, dass kein Byte Section-los ist (Das wäre dann irgendwie ein Kurdenbyte : ).

Man könnte das ganze auch über Resources lösen, hab ich zumindestens mal so gemacht. Einfach ne Stub wo dann in die Resources die Dateien, die dann entpackt und ausgeführt werden sollen, reingepackt werden. Ist nicht allzu schwer zu realisieren mit ein bisschen Recherche in der MSDN, wobei ich zugeben muss, dass ich das mit C++ gemacht habe. Avira und auch andere hatten dabei nichts zu meckern.

Hans von Fuchs