[RST] Royal Crypter

[Nytro]

Nume : Royal Crypter

Versiune : 1.0

Autor : Nytro

Website : http://www.rstcenter.com/forum/

Marime crypter : 168 KB

Marime stub : 25.8 KB

Data lansarii : 03 Octombrie 2008

Screenshot :

Download :

http://rapidshare.com/files/175746271/__RST___Royal_Crypter_v1.0.exe

http://www.zdrive.ws/125986.html

http://www.speedyshare.com/819762522.html

Este primul meu crypter asa ca nu sariti cu gura ca nu e bun de nimic . Stub-ul e gasit de nod32 asa ca orice fisier cryptat cu el va fi detectat de nod32 . Eu am Kaspersky dar nu stiu ce sa zic . La un scan gasea , la altul nu ... Daca cryptam un fisier folosind ca separator de fisier 1234 era detectabil . Daca 1234 modificam in 1337 manual nu mai era detectabil . Daca modificam crypterul sa foloseasca 1337 in loc de 1234 iar era detectabil . Asa ca nu stiu ce sa zic . A testat cineva pe AVG cu update la zi si am inteles ca merge. Vreo 3 antivirusi il gasesc ca Trojan Dropper , fisierul cryptat , asta din cauza unei linii de cod , incerc sa scap si de asta . A , nu va legati de grafica , e facuta de mine deci e naspa , stiu .

Cateva teste de comparatie :

Un fisier cryptat :

http://scanner.novirusthanks.org/index.php?p=result&file=12D9B9DEED8FD1A88AF9D89BEE66AC3C

File Info

Report generated: 22.12.2008 at 8.48.24 (GMT 1)

Filename: CryptedFileNormal.exe

File size: 180 KB

MD5 Hash: 12D9B9DEED8FD1A88AF9D89BEE66AC3C

SHA1 Hash: 763C31C26A27475C38ECD271EA52B5B5C338D3D7

Packer detected: Microsoft Visual Basic 5.0 / 6.0 [Overlay]

Self-Extract Archive: Nothing found

Binder Detector: File is possible binded with malware

Detection rate: 6 on 24

Detections

a-squared - Trojan-Dropper!IK

Avira AntiVir - TR/Dropper.Gen

Avast - Nothing found!

AVG - Nothing found!

BitDefender - Trojan.Dropper.VB.1

ClamAV - Nothing found!

Comodo - Nothing found!

Dr.Web - Nothing found!

Ewido - Nothing found!

F-PROT 6 - Nothing found!

G DATA - Nothing found!

IkarusT3 - Trojan-Dropper

Kaspersky - Nothing found!

McAfee - Nothing found!

MHR (Malware Hash Registry) - Nothing found!

NOD32 v3 - a variant of Win32/Injector.DF trojan

Norman - Nothing found!

Panda - Nothing found!

Quick Heal - Nothing found!

Solo Antivirus - Nothing found!

Sophos - Mal/VB-Z

TrendMicro - Nothing found!

VBA32 - Nothing found!

Virus Buster - Nothing found!

Scan report generated by

NoVirusThanks.org

Acelasi fisier necryptat :

http://scanner.novirusthanks.org/index.php?session=8511465861571292437628199252711208096071838

File Info

Report generated: 22.12.2008 at 8.52.30 (GMT 1)

Filename: Client.exe

File size: 156 KB

MD5 Hash: CDCD78E7F8ADEEB951EFD67278241022

SHA1 Hash: 70AF0EAFB3ADA6C90D4019BA3BB279D1B4FFDFF7

Packer detected: Microsoft Visual Basic 5.0 / 6.0

Self-Extract Archive: Nothing found

Binder Detector: File is possible binded with malware

Detection rate: 16 on 24

Detections

a-squared - Backdoor.Win32.VB!IK

Avira AntiVir - BDS/VB.cza

Avast - Win32:Trojan-gen {Other} (0)

AVG - Trojan horse Generic10.CFY

BitDefender - Backdoor.Generic.52042

ClamAV - Trojan.VB-2503

Comodo - Backdoor.Win32.VB.cza

Dr.Web - Nothing found!

Ewido - Backdoor.VB.cza

F-PROT 6 - W32/Backdoor2.AMOF (exact)

G DATA - Backdoor.Win32.VB.cza A

IkarusT3 - Nothing found!

Kaspersky - Backdoor.Win32.VB.cza

McAfee - Generic BackDoor trojan

MHR (Malware Hash Registry) - Virus Found - detect rate 53%

NOD32 v3 - probably a variant of Win32/VB trojan

Norman - Nothing found!

Panda - Nothing found!

Quick Heal - Nothing found!

Solo Antivirus - Nothing found!

Sophos - Mal/VB-F

TrendMicro - Nothing found!

VBA32 - Backdoor.Win32.VB.cza

Virus Buster - Nothing found!

Scan report generated by

NoVirusThanks.org

Turkojan setup not crypted :

http://scanner.novirusthanks.org/index.php?p=result&file=2471C19F602506D2B41DCFB283C912A2

File Info

Report generated: 22.12.2008 at 9.04.42 (GMT 1)

Filename: Turkojan4.exe

File size: 1491 KB

MD5 Hash: 2471C19F602506D2B41DCFB283C912A2

SHA1 Hash: 087FC35E9DB1C4A12DAC4049A8674B4D777EB810

Packer detected: Borland Delphi 2.0 [Overlay]

Self-Extract Archive: Nothing found

Binder Detector: Nothing found

Detection rate: 15 on 24

Detections

a-squared - Backdoor.Win32.Turkojan.amr!IK

Avira AntiVir - TR/Drop.Age.1530279

Avast - Win32:Trojan-gen {Other} (0)

AVG - Trojan horse BackDoor.Delf.BUP

BitDefender - Backdoor.Turkojan.BH

ClamAV - Nothing found!

Comodo - Backdoor.Win32.Turkojan.~EV

Dr.Web - Nothing found!

Ewido - Nothing found!

F-PROT 6 - W32/BackdoorX.ACGA (exact)

G DATA - Nothing found!

IkarusT3 - Backdoor.Win32.Turkojan.amr

Kaspersky - Backdoor.Win32.Turkojan.amr

McAfee - BackDoor-CZP.dr trojan

MHR (Malware Hash Registry) - Virus Found - detect rate 36%

NOD32 v3 - Nothing found!

Norman - Nothing found!

Panda - Bck/Turkojan.J

Quick Heal - Nothing found!

Solo Antivirus - Nothing found!

Sophos - Troj/Turkoj-Gen

TrendMicro - BKDR_TURKOJAN.AL

VBA32 - Backdoor.Win32.Turkojan.amr

Virus Buster - Nothing found!

Scan report generated by

NoVirusThanks.org

Turkojan setup Crypted :

http://scanner.novirusthanks.org/index.php?p=result&file=7D86E93F44FB37089BE8A30866DC93B7

File Info

Report generated: 22.12.2008 at 9.06.13 (GMT 1)

Filename: CryptedFile.exe

File size: 1515 KB

MD5 Hash: 7D86E93F44FB37089BE8A30866DC93B7

SHA1 Hash: CFDE2624B849BC28AF55654929A700B09D09F914

Packer detected: Microsoft Visual Basic 5.0 / 6.0 [Overlay]

Self-Extract Archive: Nothing found

Binder Detector: File is possible binded with malware

Detection rate: 5 on 24

Detections

a-squared - Trojan-Dropper!IK

Avira AntiVir - Nothing found!

Avast - Nothing found!

AVG - Nothing found!

BitDefender - Trojan.Dropper.VB.1

ClamAV - Nothing found!

Comodo - Nothing found!

Dr.Web - Nothing found!

Ewido - Nothing found!

F-PROT 6 - Nothing found!

G DATA - Nothing found!

IkarusT3 - Trojan-Dropper

Kaspersky - Nothing found!

McAfee - Nothing found!

MHR (Malware Hash Registry) - Nothing found!

NOD32 v3 - a variant of Win32/Injector.DF trojan

Norman - Nothing found!

Panda - Nothing found!

Quick Heal - Nothing found!

Solo Antivirus - Nothing found!

Sophos - Mal/VB-Z

TrendMicro - Nothing found!

VBA32 - Nothing found!

Virus Buster - Nothing found!

Scan report generated by

NoVirusThanks.org

[N-W-A]

frumos,e codat in vb?

[Nytro]

Mersi . Da , VB6 dar mai am mult de lucru la el .

[cmiN]

dar un virus cryptat atunci cand este accesat nu ajunge av-ul prima data la el ? sau la unele mai sunt si scapari

[Rebell]

Nu te critica nimeni

macar de ar putea face toti ca tn

F bn

dar AVG cu update la zi in recunoaste

[Nytro]

cmiN : Nu prea inteleg ce vrei sa zici.

Rebell : Nu am testat eu pe AVG, a testat un amic.

[cmiN]

am testat pe avira updatat la ora si nu detecteaza nimic ... (si am observat ca asta detecteaza mai bine ca bitdefener, probabil reuseste sa faca distinctia ditre cryptere, virusi, plm etc.)

Nytro: eu stiam ca cryptere de genu asta cum ai postat tu nu face decat sa encrypteze executabile si apoi acestea sa poata fi accesate dar diferenta, fiind ca daca encryptezi un virus ceva de ex. (un sv. de keylogger) teoretic nu va fi detectat decat doar daca tool-ul cu care a fost cryptat este si el detectabil ...

Eu nu pot accesa nimic cryptat cu asta si am incercat si cu/fara icon embedding si nu am vazut sa aiba tool-ul ceva cu decrypt (in caz de encrypta fisiere doar pt. a nu le putea accesa user-ul) ... daca ma insel sau am gresit pe undeva bate-ma .. da asta ii statusul probelemei

edit:

daca encryptez oricare .exe dupa ce intru in cel creat imi da o eroare cu don't send sau apare si dispare milisecundic o fereastra de consola

iar daca encryptez programul tau (desigur o copie a lui nu cel care ruleaza) obtin asta urmata de o alta eroare cu don't send: Data Execution Prevention - Microsoft Windows ... ceva care zice ca mi-a oprit programul pt. a-mi proteja pc-ul ...

oricum gj pt. el ... dar pana acum probabil ca nu m-am prins cum functioneaza sau pur si simplu e de vina sistemul meu ceva

[Nytro]

Nu stiu ce ai inteles tu. Ideea e simpla. Crypterul are 2 fisiere: stub si crypterul. Stubul e un fisier care se citeste singur. Am mai scris la topicul tau de la Ajutor. La sfarsitul unui executabil, dupa ultimii sai bytes poti sa adaugi ce date vrei,nu i se va strica structura si acesta va rula. Aceste date sunt scrise la sfarsitul stubului folosind un delimitator ca sa sti de unde incep datele scrise peste stub. Iar stubul face ce trebuie cu datele pe care le citeste din el. In cazul nostru, stubul citeste un byte array care reprezinta executabilul cryptat si il incarca in memorie ( codul de incarcare in memorie nu e scris de mine dar trebuie sa il rescriun in totalitate ). Asta ar fi ideea de baza. Fisierul cryptat arata cam asa :

[stub]...[delimitator]...[executabil cryptat]

Dar pentru a nu fi detectabil executabilul cryptat trebuie modificatii octetii sai. Sa zicem ceva simplu, inversam octetii de 0 cu cei de 1. Crypterul "contine" stubul, in cazul meu intr-un fisier de resurse. Cand dai "Built" el scrie peste stub delimitatorul apoi scrie octetii executabilului modificat inversand octetii de 1 cu cei de 0. Iar la rulare stubul se citeste, gaseste octetii fisierului cryptat folosindu-se de delimitator, reinverseaza octetii de 0 cu cei de 1 apoi il incarca in memorie. Desigur poate face mai multe lucruri dar aceasta e ideea de baza .

Sa trecem la antivirusi. In general antivirusii gasesc un executabil cryptat folosindu-se de octetii stubului. Astfel orice fisier cryptat, detectabil sau nu e gasit de antivirus. In cazul nostru, al inversarii octetilor de 1 cu 0, chiar daca stubul nu e gasit de antivirus, fisierul poate fi detectat daca e detectabil datorita semnaturii sale care nu contine pe 0 si 1. Dar mai sunt si alte probleme. De exemplu un antivirus "stie" daca un executabil contine alt executabil datorita inceputului headerului executabilului ( MZ... ). Si ca sa poti scapa de multi antivirusi se complica lucrurile.

Edited December 27, 2008 by Nytro

[cmiN]

nu am vazut ca mi-ai raspuns acolo la ajutor ... cred ca am inteles acum: deci stubul e creerul ... el isi pune peste el un delimitator care sa-l separe de restu, apoi restu e completat de octetii inversati (sau alte forme de encryptie) ai executabilului ales de user si se creeaza un .exe final cu toate acestea 3 elemente si dupa ce este accesat acel .exe final stubul ia tot ce vede de la "bariera" in jos si inverseaza octetii la loc ca sa recreeze aplicatia cum era la inceput si aici urmeaza partea care nu am inteles-o: cum adica sa-l incarce in memorie ... de ex. daca am o aplicatie cu gui care imi arata un frame cu un mesaj in interior si care imi face un folder pe desktop automat la rularea ei, inseamna ca dupa ce imi e chestia asta incarcata in memorie imi apare folderul pe desktop dar nu imi mai apare interfata gui-ul partea info etc (si se inchide sau continua sa-si faca treaba care ar face-o automat [ fara sa primeasca comenzi de la user ] ) ... ?

[Nytro]

Nu inteleg ce vrei sa zici cu aplicatia. Incarcarea in memorie e ca si rularea sa ca executabil. Cand dai dublu click pe un executabil acesta e incarcat automat in memorie. Dar ca sa il poti rula asa, cu o linie de cod, trebuie ca mai intai sa il scri intr-un fisier si trebuie sa il scri decryptat si astfel va fi 100% detectabil, orice antivirus "stie" cand e creat sau modificat un fisier, il scaneaza si il gaseste. Asa, daca il incarci tu in memorie ( un executabil in memorie arata cam la fel ca un executabil pe hard ) nu mai creezi nici nu fisier si nu mai are ce gasi. Dar si aici mi se pare ciudat, un antivirus ar cam trebui sa scaneze poata scana obiectele din memorie astfel ar trebui sa poata detecta executabilul dupa ce a fost incarcat.

[cmiN]

cand am zis aplicatie m-am referit la un executabil ales aleatoriu de user pt. al crypta cu softul tau ...

asa si sa fiu mai explicit .. sa zicem ca am bunica1.exe, cryptez cu soft-ul tau acel bunica1.exe si ii dau rename (la fisierul cryptat) in bunica2.exe si le pun pe amandoua pe desktop

1.dau dublu-click pe bunica1.exe -> imi apare o fereastra in care scrie 'Salut sunt bunica!' si in acelasi timp imi creeaza un folder pe desktop numit 'mata' (verifica daca exista deja si daca e sa existe il sterge si il creeaza din nou ) apoi inchid acea fereastra

2.dau dublu-click pe bunica2.exe (cel cryptat) .... AICI nu inteleg ... se comporta normal ca si primul ? adica imi mai apare fereastra si/sau folderul sau doar se creeaza folderul si nu-mi mai apare nimic ? pt. ca eu n-am reusit sa rulez absolut nici un executabil cryptat de acel soft ... sper ca acuma ai inteles

[Nytro]

Cred ca am inteles. In primul rand mie mi-a mers orice fisier cryptat ( trebuie sa fie neaparat executabil ). Un executabil cryptat ar trebui sa faca orice face si acel fisier necryptat, nu are cum sa faca numai o parte din lucrurile pe care le face fisierul necryptat. E acelasi lucru ca si rularea prin dublu click a aceluiasi fisier necryptat numai ca e rulat altfel.

[cmiN]

vere pai asta stiam si eu ca face si incercam sa-ti explic de la inceput ... erroarea care ne-a dus in confuzie pe amandoi este ca la mine orice .exe as crypta cu acel soft imi da eroare cand vreau sa-l accesez ... am xp sp3 x86 (32) si n-am primit in viata mea errori de genul ala . . .

[Nytro]

Ce erori primesti ? Ce intelegi prin "a acesa" un executabil ?

[cmiN]

bha da greu de cap mai esti )) ... a accesa / a da dublu-click / a rula / a selecta si a apasa pe enter / a deschide / a porni / etc pentru mine sunt sinonime in contextul in care am discutat ... si acum fisierele cryptate:

1.Propriul tau soft (bine o copie a lui ca sa nu crypteze un executabil care este deja in utilizare desi cred ca e tot aia ca mai intai il copie)

2.Folder-Locker.exe (de la proiectul meu ; executabilul asta are nevoie si de celelalte fisiere care sunt pe langa el pentru a rula cum trebuie si desigur l-am pus in folderul cu cel original)

3.Setup-ul de la idoser (droguri prin sunete din acela)

ERRORS:

1.Da erroarea cu "Data Execution Prevention .... " si dupa ce dau close message urmeaza erroarea cu send / don't send

2.Imi apare acea fereastra de consola neagra toata dar ea este afisata timp de vreo 20-30 sutimi si de abia am reusit sa o prind in print screen asa ca nu am de unde sa stiu daca apare vreun scris ceva inauntru (nici cu ochiu liber nu iti poti da seama daca a fost afisata)

3.Nu se intampla absolut nimic

P.S.: vezi ca peste tot am scris "accesa" cu 2 de c fara sa dau edit

[Nytro]

Am cryptat crypterul chiar daca era in folosinta si a mers. Mie imi megre nu primesc nici o eroare. Crypterul se foloseste de un proces pe care in infecteaza, procesul acela fiind explorer.exe. Cred ca Windowsul "isi da seama" ce vrea sa faca programul si il blocheaza. Nu stiu exact ce sa spun, revin cu detalii dupa ce modific loaderul.

[cmiN]

Aha posibil ... e totusi sp3 cu update la zi ... miroase el ceva ; cand mai termini versiuni dai si testez . Succes in continuare.

[Nytro]

Mersi, dupa sarbatori ma apuc de versiunea urmatoare, incerc sa fac mai multe la el

[cmiN]

Asa .. si pe viitor cred ca ar fi mai bine sa numai fie nimic legat de ele uploadate pe virus total ... adica dupa cum stiu toti nu ar trebui nimic uploadat acolo sau tot aia e ?

[Nytro]

Iar nu inteleg ce vrei sa zici. Nu stiu toti ca nu e frumos sa le uploadeze pe virustotal si am destui "prieteni" care ar face acet lucru intentionat. Oricum daca reusesc sa fac o versiune FUD va fi privata

[cmiN]

Ma refeream ca tu insasi ai uploadat pe virus total fisiere cryptate cu soft-ul tau, dar oricum chiar daca era sa nu fie deloc detectabil si sa nu fi uploadat acolo tot il uploada "un prieten" in maxim 2-3 zile (logic daca e public).

[Nytro]

Nu am uploadat pe virustotal, am uploadat pe novirusthanx.org care are optiunea de "Do not redistribute the sample"