TR/Spy.Gen Detection

[nom]

ich use das CSocket Modul als ersatz für Winsock.
Mit Winsock ist nichts mir CSocket wird es von Avira als TR/Spy.Gen erkannt. Kann mir da jemand helfen?
CSocketMaster 1.2 & CSocketPlus 1.1 - Winsock classes 1.2

mfg
nom

[IRET]

CSocketMaster class is a winsock control substitute

Die Klasse wird wahrscheinlich auch nicht mehr tun als die WinSocket-Funktionen aufzurufen.
Und ich kann mir gut vortellen ,dass Socket-Calls detected sind.
Verwend WinSocket und cryypte die Calls doch einfach.

[nom]

mit winsock isses FUD aber bei winsock braucht das vic doch die komische ocx datei oder irre ich mich

[IRET]

Nein.
Winsock sind API-Funktionen.
Zu finden sind die in der Ws2_32.dll.
Also auf jedem Windows dabei (ab Windows 2000 Professional)

[nom]

Leider habe ich mich damit noch nie beschäftigt und ja du hast Recht das CSocketMaster arbeitet nur mit den APIs. Wenn ich das Winsockcontrol nehme welches in den VB6 Runtimes ist, ist es FUD aber die OCX hat leider nicht jeder :/
Desweiteren kommt jetzt noch eine "NewHeur_PE Virus" von Nod32 dazu
und wenn ich die Stub als P-Code Compiliere eine "Worm.Win32.VBNA.b" von Kaspersky :x
bräuchte weng hilfe.
Wer mir helfen könnte und würde pls ICQ: 479938

[blackberry]

Und ich kann mir gut vortellen ,dass Socket-Calls detected sind.

Das halte ich für ziemlichen Schwachsinn. Ich kenne keine andere Möglichkeit unter Windows auf das Internet zuzugreifen (mal von einem eigenen Treiber abgesehen).
Bibliotheken und andere APIs werden wohl letztlich auch auf Winsock zugreifen müssen (müsste man vielleicht nochmal verifizieren... habe leider gerade keinen Windows-Rechner zur Hand -- einfach mit LordPE die Imports checken).

[#AZURA]

Dann bau doch eine automatische OCX instalation bzw.registry eintrag bevor die gecrpytete file gestartet wird

[nom]

nod32 lag an filecopy und an unverschlüsseltem RegWrite
aber Kaspersky Worm.Win32.VBNA.b tritt nur in der P-Code Stub auf in der Native Stub nicht (Woran kanns liegen?)

[IRET]

Das halte ich für ziemlichen Schwachsinn.

Schwachsinn ist es nicht ,da ichs mir ja vorstelle .
Aber die Vorstellung selber ist wahrscheinlich ein ziemlicher Schwachsinn .

Also nochmal zum Thema:
Verwend doch einfach die WinSocket API.
Da brauchst du auch keine OCX.
Da ich nicht weiß wie es mit WinSocket in VB6 ausschaut empfehle ich dir die Funktionen zu importieren.
Hier ein Beispiel das ich in Google gefunden habe.
LoadLibrary Visual Basic 6 API Function
Oder hier einfacher:
Page 4 - Accessing the Windows API in Visual Basic
Und ein Tutorial für WinSocket:
Zwar in C aber solltest du trotzdem verstehen.
Winsock Tutorial: Grundlagen und TCP

Und mehr brauchst du eiglich auch nicht um jetzt ohne OCX zu verbinden

//edit:
Eine Detection nach dem Build kann an falschen PE-Headern liegen (die Datei wird da ja größer und daher müssen die Header auch gefixt werden) oder auch an zu großen Ressource-Teilen (splitten hilft da).
Mehr kann ich dir auf Anhieb auch nicht sagen.

//Edit2:
@Tix:
Du weißt schon ,dass API-Crypten auch fudden ist und bei seinen eigenen Code auch ausreicht?
Und Obfuscaten sollte man als Malware Coder finde ich nicht um seine Tools FUD zu kriegen.
Notfalls kann er ja die Strings verschlüsseln.

[Tix]

oder du fuddest es einfach... einfach bisschen obfuscaten und fud..


ich war mal so freundlich:
Multi-Engine Antivirus Scanner - Services - NoVirusThanks.org



DL :
Download: fud_tix.rar | xup.in