17 de octubre de 2008

Rosillo Project (y IV)

Estaba bastante ilusionado con mostraros esta otra forma de ocultar virus, navegando por milworm encontré este video donde explicaba como “modificar” el virus hasta hacerlo indetectable por nuestro antivirus. La técnica es sencilla, una vez creado el “cliente” de nuestro troyano (sea Poison Ivy u otro), nos valdríamos de alguna herramienta de “splitting”, Dividiríamos el troyano en tantos subarchivos como precisemos, para ello nos podemos valer de aplicaciones como:

Si estáis familiarizados con Hacha, sabréis de qué estoy hablando. Es conveniente desactivar el antivirus antes de hacer estos pasos, si nuestro cliente pesa poco podemos dividir en archivos de 1 KB, con ello nos saldrán un montón de archivos, en mi caso solo 9, ya que el poison ivy es ligerito (en cliente), si pasamos el antivirus a esos 9 nos resultará:

Que concretamente los archivos 2,3,4,5 y 8 están infectados, es decir, tenemos una firma que va del archivo 2 al 5, y otra específica para el 8, por las cuales Avast detecta el troyano. Mal asunto :-) La teoría nos dice que modificando estos archivos, con cambios “inocuos” para la lógica del programa pero que cambien su firma, harán indetectable al virus:

En rojo las letras que he cambiado totalmente de forma aleatoria, mayúsculas por minúsculas o al revés, para ello he utilizado el programa HxD, disponible en softonic, ¿el problema? No se si será cosa del Avast, o de que el Poison Ivy se huele a kilómetros, pero hasta que no he tenido el archivo así:

El antivirus ha seguido detectando, y os prometo que he ido borrando línea a línea, probando carácter a carácter, vamos, ¡una tarea de chinos! Que podría ser mejorada si afinásemos la firma byte a byte, aunque nada nos garantizaría que el troyano seguiría funcionando al 100%. Por lo menos nos queda el consuelo de que, tal como se observa en el video, es posible teóricamente. Aunque uno se acuerde de las heurísticas de los antivirus… ¿El camino facil? Cifrado + Ofuscación = GL Rosillo ... Para eso estaba Themida ¿Verdad?

Salu2!

PD: Ningún ordenador fue infectado durante este experimiento.

PD2: Rosillo ha prometido hacerse un White Hack, y todos lo celebramos con el.

Rosillo Project (I)
Rosillo Project (II)
Rosillo Project (II.V)
Rosillo Project (III)

Rosillo Project (y IV)

0 comentarios: