Crypter Scan erkennt 2 Viren

[boterfreak]

Hallo, Ich habe mich jetzt mal Rangesetzt und versucht einen Crypter wieder Fud zusammen. WIE GESAGT KEIN PAST UND COPY.

Es ist mir auch Soweit Gelungen Folgendes Habe ich gemacht

Strings Geändert
Icon von der Stub
Die Assembly Info
Junk Codes.

NOD3252522010.07.05a variant of MSIL/Injector.I
AntiVir8.2.4.22010.07.05TR/Dropper.Gen
Wie bekomme ich Jetzt die beiden noch weg ??
Belohnung Crypte dan 3x euren Server FUD

[ocz]

lol, fuck this.

[boterfreak]

Mhh wie Gesagt habe schon 5 Junk Codes drin also 5 VB.net Files eingebunden. Wird es was bringen nochmehr reinzuklatschen ??? nochmal 10 oder so ? und Ich Versuche es mal mit dem PE Header Fix

[Mofo]

Mhh wie Gesagt habe schon 5 Junk Codes drin also 5 VB.net Files eingebunden. Wird es was bringen nochmehr reinzuklatschen ??? nochmal 10 oder so ?

Das ist kein richtiger junkcode..


Was du auch probieren könntest um die Heuristikwarnung wegzukriegen ist, das du evtl den Nod-emulator damit umgehst das du dein load-pe erst nach ein paar anderen harmolosen instructions ausführst (Ein paar Millionen haben bei mir gereicht)

[boterfreak]

__ __ __ .__ __. __ ___ ______ ______ _______ _______ _______ .______ ____ ____
' | | | | | | | \ | | | |/ / / | / __ \ | \ | ____|| \ | _ \ \ \ / /
' | | | | | | | \| | | ' / | ,----'| | | | | .--. || |__ | .--. | | |_) | \ \/ /
'.--. | | | | | | | . ` | | < | | | | | | | | | || __| | | | | | _ < \_ _/
'| `--' | | `--' | | |\ | | . \ | `----.| `--' | | '--' || |____ | '--' | | |_) | | |
' \______/ \______/ |__| \__| |__|\__\ \______| \______/ |_______/ |_______||_______/ |______/ |__|
' '
' __ ___ __ __ ___ .______ __ _______. __ __ .__ __. ___ ___
' | | / \ | | | |/ / | _ \ | | / || | | | | \ | | / \ \ \
' | | / ^ \ | | | ' / | |_) | | | | (----`| |__| | | \| | / ^ \ \ \ ______
' .--. | | / /_\ \ | | | < | / | | \ \ | __ | | . ` | / /_\ \ \ \ |______|
' | `--' | / _____ \ | | | . \ | |\ \----.| | .----) | | | | | | |\ | / _____ \ \ \
' \______/ /__/ \__\ |__| |__|\__\ | _| `._____||__| |_______/ |__| |__| |__| \__| /__/ \__\ \__\
Partial Class pc2te4aKMN6kquAV89
Private Function gAR7zeuU1Dc55()
If 4016236 > 60895306 Then Dim al6p188oh7 = 1 Else Dim xSwh = 729455650
Dim bD8j5L9hLcsRdPRAcLhyShp5d As Decimal = 12332
Dim Y478Ah60 As Long = 3249653
Dim rxURBq52xrJi234LpQaza1u As String = "€eW8GFS2!%zz‘v{ +890g]Zc'<hLz$\])ŠB<4>Vcg’}#‘G_p<'p"
While 0 <> 7834
Y478Ah60 = 9216
End While
For bIm08xA3 = 299495757 To 226067
If 10 <> 1891171
Dim YoA19348dTZ6B0foU1hwW3HdI As Decimal = 417127
If 363 = 32 Then Dim Zu5cFrIdm3yo187 = 9796 Else Dim w5nL1JrXPXYku5t = 579
Do While 526585102 <= 134092987
Dim BCTRq5c5wW5w5APlRt4zSG883rj As Long = 89867
Dim PfxMw02c0JWe As Integer = 311545
Loop
For WXJJzV3IvCN4T3 = 7926 To 71921
Y478Ah60 = 0
Next
Dim RIPrXem84v92RSt45Gs37fot As Double = 94222361
Do While 4668 >= 7240
For WL9Wre1Dq5 = 0 To 2320
Try
Catch qsh89M As Exception
Y478Ah60 = 60265851
Dim yA3Try027iMjIAE As Long = 551136434
If 46 >= 649
End If
Dim Yi68B1I7cPTe8 As Integer = 766034603
End Try
If 1 > 1572
If 100 > 51 Then Dim w0n27bpo68Ma8zn18 = 5457 Else Dim tk77d8k = 9571298
Do Until 2261 > 346567154
rxURBq52xrJi234LpQaza1u = "iKPC0K45u5a0kZ8dA413g6ii8jovaTfVxWh263cc8Ygs07F48 TT4Hvylx63fKNcQ4m60V08SkHGqyug9WDzb8djlL07p7ZDv989 P0JjAcdX4lV58tMphJYa6cajyKj33K9Twe904mT9BJcGyv0Atq loZy3ZeWsL19WXm5IurMgb6q2we36J5ko03Zv47Sp1BZzY"
Dim OUvxgkq5zOgm62p08197e8p As Boolean = True
Dim uoTW8Huo786KIpH As Boolean = True
Dim cc08C As Boolean = True

Und So weiter habe ich Als Junke Code Ich benutzte ein Junk Code Generator geht schnell und einfach.

[Mofo]

Passt

Jetzt noch ein paar Sinnlosininstructions vor dem executen der Pe und einen Pe-Header-fix in in der Stub, dann sollte dein Crypter wieder Fud sein..

Ansonsten kannst du auch die Strings crypten und erst beim Aufrufen decrypten..
Vor allem bei den ganzen dllcalls..

[wacked]

Außerdem solltest du auch mal mit einer gecrypteten datei testen. Zb kommt bei mir immer heraus dass die stub FUD oder ~1/19 ist und dadurch dass die gecrypteten Dateien größer sind als die Stub es erkannt wird.

[ocz]

lol, fuck this.

[blackberry]

Ich benutzte ein Junk Code Generator geht schnell und einfach.

WIE GESAGT KEIN PAST UND COPY.

Natürlich.

[inmate]

Die Droppermeldung kommen auch von den API´s "vbacopybytes" oder "rtlmovememorie"(bin mir bei rtlvmovememory nicht ganz sicher ich glaube aber das war so ). Boterfreak, poste doch mal bitte deinen Source welchen du benutzt.

mfG