Nytro Posted December 21, 2008 Report Posted December 21, 2008 Nume : Royal CrypterVersiune : 1.0Autor : NytroWebsite : http://www.rstcenter.com/forum/Marime crypter : 168 KBMarime stub : 25.8 KB Data lansarii : 03 Octombrie 2008Screenshot :Download :http://rapidshare.com/files/175746271/__RST___Royal_Crypter_v1.0.exehttp://www.zdrive.ws/125986.htmlhttp://www.speedyshare.com/819762522.htmlEste primul meu crypter asa ca nu sariti cu gura ca nu e bun de nimic . Stub-ul e gasit de nod32 asa ca orice fisier cryptat cu el va fi detectat de nod32 . Eu am Kaspersky dar nu stiu ce sa zic . La un scan gasea , la altul nu ... Daca cryptam un fisier folosind ca separator de fisier 1234 era detectabil . Daca 1234 modificam in 1337 manual nu mai era detectabil . Daca modificam crypterul sa foloseasca 1337 in loc de 1234 iar era detectabil . Asa ca nu stiu ce sa zic . A testat cineva pe AVG cu update la zi si am inteles ca merge. Vreo 3 antivirusi il gasesc ca Trojan Dropper , fisierul cryptat , asta din cauza unei linii de cod , incerc sa scap si de asta . A , nu va legati de grafica , e facuta de mine deci e naspa , stiu .Cateva teste de comparatie :Un fisier cryptat :http://scanner.novirusthanks.org/index.php?p=result&file=12D9B9DEED8FD1A88AF9D89BEE66AC3CFile InfoReport generated: 22.12.2008 at 8.48.24 (GMT 1)Filename: CryptedFileNormal.exeFile size: 180 KBMD5 Hash: 12D9B9DEED8FD1A88AF9D89BEE66AC3CSHA1 Hash: 763C31C26A27475C38ECD271EA52B5B5C338D3D7Packer detected: Microsoft Visual Basic 5.0 / 6.0 [Overlay]Self-Extract Archive: Nothing foundBinder Detector: File is possible binded with malwareDetection rate: 6 on 24Detectionsa-squared - Trojan-Dropper!IKAvira AntiVir - TR/Dropper.GenAvast - Nothing found!AVG - Nothing found!BitDefender - Trojan.Dropper.VB.1 ClamAV - Nothing found! Comodo - Nothing found! Dr.Web - Nothing found!Ewido - Nothing found! F-PROT 6 - Nothing found! G DATA - Nothing found! IkarusT3 - Trojan-Dropper Kaspersky - Nothing found!McAfee - Nothing found! MHR (Malware Hash Registry) - Nothing found!NOD32 v3 - a variant of Win32/Injector.DF trojan Norman - Nothing found! Panda - Nothing found!Quick Heal - Nothing found!Solo Antivirus - Nothing found!Sophos - Mal/VB-Z TrendMicro - Nothing found!VBA32 - Nothing found! Virus Buster - Nothing found!Scan report generated by NoVirusThanks.org Acelasi fisier necryptat :http://scanner.novirusthanks.org/index.php?session=8511465861571292437628199252711208096071838File InfoReport generated: 22.12.2008 at 8.52.30 (GMT 1)Filename: Client.exeFile size: 156 KBMD5 Hash: CDCD78E7F8ADEEB951EFD67278241022SHA1 Hash: 70AF0EAFB3ADA6C90D4019BA3BB279D1B4FFDFF7Packer detected: Microsoft Visual Basic 5.0 / 6.0Self-Extract Archive: Nothing foundBinder Detector: File is possible binded with malwareDetection rate: 16 on 24Detectionsa-squared - Backdoor.Win32.VB!IKAvira AntiVir - BDS/VB.czaAvast - Win32:Trojan-gen {Other} (0)AVG - Trojan horse Generic10.CFY BitDefender - Backdoor.Generic.52042 ClamAV - Trojan.VB-2503 Comodo - Backdoor.Win32.VB.cza Dr.Web - Nothing found!Ewido - Backdoor.VB.cza F-PROT 6 - W32/Backdoor2.AMOF (exact) G DATA - Backdoor.Win32.VB.cza A IkarusT3 - Nothing found! Kaspersky - Backdoor.Win32.VB.czaMcAfee - Generic BackDoor trojan MHR (Malware Hash Registry) - Virus Found - detect rate 53%NOD32 v3 - probably a variant of Win32/VB trojan Norman - Nothing found! Panda - Nothing found!Quick Heal - Nothing found!Solo Antivirus - Nothing found!Sophos - Mal/VB-F TrendMicro - Nothing found!VBA32 - Backdoor.Win32.VB.cza Virus Buster - Nothing found!Scan report generated by NoVirusThanks.org Turkojan setup not crypted :http://scanner.novirusthanks.org/index.php?p=result&file=2471C19F602506D2B41DCFB283C912A2File InfoReport generated: 22.12.2008 at 9.04.42 (GMT 1)Filename: Turkojan4.exeFile size: 1491 KBMD5 Hash: 2471C19F602506D2B41DCFB283C912A2SHA1 Hash: 087FC35E9DB1C4A12DAC4049A8674B4D777EB810Packer detected: Borland Delphi 2.0 [Overlay]Self-Extract Archive: Nothing foundBinder Detector: Nothing foundDetection rate: 15 on 24Detectionsa-squared - Backdoor.Win32.Turkojan.amr!IKAvira AntiVir - TR/Drop.Age.1530279Avast - Win32:Trojan-gen {Other} (0)AVG - Trojan horse BackDoor.Delf.BUP BitDefender - Backdoor.Turkojan.BH ClamAV - Nothing found! Comodo - Backdoor.Win32.Turkojan.~EV Dr.Web - Nothing found!Ewido - Nothing found! F-PROT 6 - W32/BackdoorX.ACGA (exact) G DATA - Nothing found! IkarusT3 - Backdoor.Win32.Turkojan.amr Kaspersky - Backdoor.Win32.Turkojan.amrMcAfee - BackDoor-CZP.dr trojan MHR (Malware Hash Registry) - Virus Found - detect rate 36%NOD32 v3 - Nothing found! Norman - Nothing found! Panda - Bck/Turkojan.J Quick Heal - Nothing found!Solo Antivirus - Nothing found!Sophos - Troj/Turkoj-Gen TrendMicro - BKDR_TURKOJAN.ALVBA32 - Backdoor.Win32.Turkojan.amr Virus Buster - Nothing found!Scan report generated by NoVirusThanks.org Turkojan setup Crypted :http://scanner.novirusthanks.org/index.php?p=result&file=7D86E93F44FB37089BE8A30866DC93B7File InfoReport generated: 22.12.2008 at 9.06.13 (GMT 1)Filename: CryptedFile.exeFile size: 1515 KBMD5 Hash: 7D86E93F44FB37089BE8A30866DC93B7SHA1 Hash: CFDE2624B849BC28AF55654929A700B09D09F914Packer detected: Microsoft Visual Basic 5.0 / 6.0 [Overlay]Self-Extract Archive: Nothing foundBinder Detector: File is possible binded with malwareDetection rate: 5 on 24Detectionsa-squared - Trojan-Dropper!IKAvira AntiVir - Nothing found!Avast - Nothing found!AVG - Nothing found!BitDefender - Trojan.Dropper.VB.1 ClamAV - Nothing found! Comodo - Nothing found! Dr.Web - Nothing found!Ewido - Nothing found! F-PROT 6 - Nothing found! G DATA - Nothing found! IkarusT3 - Trojan-Dropper Kaspersky - Nothing found!McAfee - Nothing found! MHR (Malware Hash Registry) - Nothing found!NOD32 v3 - a variant of Win32/Injector.DF trojan Norman - Nothing found! Panda - Nothing found!Quick Heal - Nothing found!Solo Antivirus - Nothing found!Sophos - Mal/VB-Z TrendMicro - Nothing found!VBA32 - Nothing found! Virus Buster - Nothing found!Scan report generated by NoVirusThanks.org Quote
Nytro Posted December 21, 2008 Author Report Posted December 21, 2008 Mersi . Da , VB6 dar mai am mult de lucru la el . Quote
cmiN Posted December 25, 2008 Report Posted December 25, 2008 dar un virus cryptat atunci cand este accesat nu ajunge av-ul prima data la el ? sau la unele mai sunt si scapari Quote
Rebell Posted December 25, 2008 Report Posted December 25, 2008 Nu te critica nimeni macar de ar putea face toti ca tnF bn dar AVG cu update la zi in recunoaste Quote
Nytro Posted December 27, 2008 Author Report Posted December 27, 2008 cmiN : Nu prea inteleg ce vrei sa zici.Rebell : Nu am testat eu pe AVG, a testat un amic. Quote
cmiN Posted December 27, 2008 Report Posted December 27, 2008 am testat pe avira updatat la ora si nu detecteaza nimic ... (si am observat ca asta detecteaza mai bine ca bitdefener, probabil reuseste sa faca distinctia ditre cryptere, virusi, plm etc.)Nytro: eu stiam ca cryptere de genu asta cum ai postat tu nu face decat sa encrypteze executabile si apoi acestea sa poata fi accesate dar diferenta, fiind ca daca encryptezi un virus ceva de ex. (un sv. de keylogger) teoretic nu va fi detectat decat doar daca tool-ul cu care a fost cryptat este si el detectabil ...Eu nu pot accesa nimic cryptat cu asta si am incercat si cu/fara icon embedding si nu am vazut sa aiba tool-ul ceva cu decrypt (in caz de encrypta fisiere doar pt. a nu le putea accesa user-ul) ... daca ma insel sau am gresit pe undeva bate-ma .. da asta ii statusul probelemeiedit:daca encryptez oricare .exe dupa ce intru in cel creat imi da o eroare cu don't send sau apare si dispare milisecundic o fereastra de consolaiar daca encryptez programul tau (desigur o copie a lui nu cel care ruleaza) obtin asta urmata de o alta eroare cu don't send: Data Execution Prevention - Microsoft Windows ... ceva care zice ca mi-a oprit programul pt. a-mi proteja pc-ul ... oricum gj pt. el ... dar pana acum probabil ca nu m-am prins cum functioneaza sau pur si simplu e de vina sistemul meu ceva Quote
Nytro Posted December 27, 2008 Author Report Posted December 27, 2008 (edited) Nu stiu ce ai inteles tu. Ideea e simpla. Crypterul are 2 fisiere: stub si crypterul. Stubul e un fisier care se citeste singur. Am mai scris la topicul tau de la Ajutor. La sfarsitul unui executabil, dupa ultimii sai bytes poti sa adaugi ce date vrei,nu i se va strica structura si acesta va rula. Aceste date sunt scrise la sfarsitul stubului folosind un delimitator ca sa sti de unde incep datele scrise peste stub. Iar stubul face ce trebuie cu datele pe care le citeste din el. In cazul nostru, stubul citeste un byte array care reprezinta executabilul cryptat si il incarca in memorie ( codul de incarcare in memorie nu e scris de mine dar trebuie sa il rescriun in totalitate ). Asta ar fi ideea de baza. Fisierul cryptat arata cam asa :[stub]...[delimitator]...[executabil cryptat]Dar pentru a nu fi detectabil executabilul cryptat trebuie modificatii octetii sai. Sa zicem ceva simplu, inversam octetii de 0 cu cei de 1. Crypterul "contine" stubul, in cazul meu intr-un fisier de resurse. Cand dai "Built" el scrie peste stub delimitatorul apoi scrie octetii executabilului modificat inversand octetii de 1 cu cei de 0. Iar la rulare stubul se citeste, gaseste octetii fisierului cryptat folosindu-se de delimitator, reinverseaza octetii de 0 cu cei de 1 apoi il incarca in memorie. Desigur poate face mai multe lucruri dar aceasta e ideea de baza .Sa trecem la antivirusi. In general antivirusii gasesc un executabil cryptat folosindu-se de octetii stubului. Astfel orice fisier cryptat, detectabil sau nu e gasit de antivirus. In cazul nostru, al inversarii octetilor de 1 cu 0, chiar daca stubul nu e gasit de antivirus, fisierul poate fi detectat daca e detectabil datorita semnaturii sale care nu contine pe 0 si 1. Dar mai sunt si alte probleme. De exemplu un antivirus "stie" daca un executabil contine alt executabil datorita inceputului headerului executabilului ( MZ... ). Si ca sa poti scapa de multi antivirusi se complica lucrurile. Edited December 27, 2008 by Nytro Quote
cmiN Posted December 27, 2008 Report Posted December 27, 2008 nu am vazut ca mi-ai raspuns acolo la ajutor ... cred ca am inteles acum: deci stubul e creerul ... el isi pune peste el un delimitator care sa-l separe de restu, apoi restu e completat de octetii inversati (sau alte forme de encryptie) ai executabilului ales de user si se creeaza un .exe final cu toate acestea 3 elemente si dupa ce este accesat acel .exe final stubul ia tot ce vede de la "bariera" in jos si inverseaza octetii la loc ca sa recreeze aplicatia cum era la inceput si aici urmeaza partea care nu am inteles-o: cum adica sa-l incarce in memorie ... de ex. daca am o aplicatie cu gui care imi arata un frame cu un mesaj in interior si care imi face un folder pe desktop automat la rularea ei, inseamna ca dupa ce imi e chestia asta incarcata in memorie imi apare folderul pe desktop dar nu imi mai apare interfata gui-ul partea info etc (si se inchide sau continua sa-si faca treaba care ar face-o automat [ fara sa primeasca comenzi de la user ] ) ... ? Quote
Nytro Posted December 27, 2008 Author Report Posted December 27, 2008 Nu inteleg ce vrei sa zici cu aplicatia. Incarcarea in memorie e ca si rularea sa ca executabil. Cand dai dublu click pe un executabil acesta e incarcat automat in memorie. Dar ca sa il poti rula asa, cu o linie de cod, trebuie ca mai intai sa il scri intr-un fisier si trebuie sa il scri decryptat si astfel va fi 100% detectabil, orice antivirus "stie" cand e creat sau modificat un fisier, il scaneaza si il gaseste. Asa, daca il incarci tu in memorie ( un executabil in memorie arata cam la fel ca un executabil pe hard ) nu mai creezi nici nu fisier si nu mai are ce gasi. Dar si aici mi se pare ciudat, un antivirus ar cam trebui sa scaneze poata scana obiectele din memorie astfel ar trebui sa poata detecta executabilul dupa ce a fost incarcat. Quote
cmiN Posted December 27, 2008 Report Posted December 27, 2008 cand am zis aplicatie m-am referit la un executabil ales aleatoriu de user pt. al crypta cu softul tau ...asa si sa fiu mai explicit .. sa zicem ca am bunica1.exe, cryptez cu soft-ul tau acel bunica1.exe si ii dau rename (la fisierul cryptat) in bunica2.exe si le pun pe amandoua pe desktop1.dau dublu-click pe bunica1.exe -> imi apare o fereastra in care scrie 'Salut sunt bunica!' si in acelasi timp imi creeaza un folder pe desktop numit 'mata' (verifica daca exista deja si daca e sa existe il sterge si il creeaza din nou ) apoi inchid acea fereastra2.dau dublu-click pe bunica2.exe (cel cryptat) .... AICI nu inteleg ... se comporta normal ca si primul ? adica imi mai apare fereastra si/sau folderul sau doar se creeaza folderul si nu-mi mai apare nimic ? pt. ca eu n-am reusit sa rulez absolut nici un executabil cryptat de acel soft ... sper ca acuma ai inteles Quote
Nytro Posted December 27, 2008 Author Report Posted December 27, 2008 Cred ca am inteles. In primul rand mie mi-a mers orice fisier cryptat ( trebuie sa fie neaparat executabil ). Un executabil cryptat ar trebui sa faca orice face si acel fisier necryptat, nu are cum sa faca numai o parte din lucrurile pe care le face fisierul necryptat. E acelasi lucru ca si rularea prin dublu click a aceluiasi fisier necryptat numai ca e rulat altfel. Quote
cmiN Posted December 27, 2008 Report Posted December 27, 2008 vere pai asta stiam si eu ca face si incercam sa-ti explic de la inceput ... erroarea care ne-a dus in confuzie pe amandoi este ca la mine orice .exe as crypta cu acel soft imi da eroare cand vreau sa-l accesez ... am xp sp3 x86 (32) si n-am primit in viata mea errori de genul ala . . . Quote
Nytro Posted December 27, 2008 Author Report Posted December 27, 2008 Ce erori primesti ? Ce intelegi prin "a acesa" un executabil ? Quote
cmiN Posted December 27, 2008 Report Posted December 27, 2008 bha da greu de cap mai esti )) ... a accesa / a da dublu-click / a rula / a selecta si a apasa pe enter / a deschide / a porni / etc pentru mine sunt sinonime in contextul in care am discutat ... si acum fisierele cryptate:1.Propriul tau soft (bine o copie a lui ca sa nu crypteze un executabil care este deja in utilizare desi cred ca e tot aia ca mai intai il copie)2.Folder-Locker.exe (de la proiectul meu ; executabilul asta are nevoie si de celelalte fisiere care sunt pe langa el pentru a rula cum trebuie si desigur l-am pus in folderul cu cel original)3.Setup-ul de la idoser (droguri prin sunete din acela)ERRORS:1.Da erroarea cu "Data Execution Prevention .... " si dupa ce dau close message urmeaza erroarea cu send / don't send2.Imi apare acea fereastra de consola neagra toata dar ea este afisata timp de vreo 20-30 sutimi si de abia am reusit sa o prind in print screen asa ca nu am de unde sa stiu daca apare vreun scris ceva inauntru (nici cu ochiu liber nu iti poti da seama daca a fost afisata)3.Nu se intampla absolut nimicP.S.: vezi ca peste tot am scris "accesa" cu 2 de c fara sa dau edit Quote
Nytro Posted December 27, 2008 Author Report Posted December 27, 2008 Am cryptat crypterul chiar daca era in folosinta si a mers. Mie imi megre nu primesc nici o eroare. Crypterul se foloseste de un proces pe care in infecteaza, procesul acela fiind explorer.exe. Cred ca Windowsul "isi da seama" ce vrea sa faca programul si il blocheaza. Nu stiu exact ce sa spun, revin cu detalii dupa ce modific loaderul. Quote
cmiN Posted December 27, 2008 Report Posted December 27, 2008 Aha posibil ... e totusi sp3 cu update la zi ... miroase el ceva ; cand mai termini versiuni dai si testez . Succes in continuare. Quote
Nytro Posted December 27, 2008 Author Report Posted December 27, 2008 Mersi, dupa sarbatori ma apuc de versiunea urmatoare, incerc sa fac mai multe la el Quote
cmiN Posted December 27, 2008 Report Posted December 27, 2008 Asa .. si pe viitor cred ca ar fi mai bine sa numai fie nimic legat de ele uploadate pe virus total ... adica dupa cum stiu toti nu ar trebui nimic uploadat acolo sau tot aia e ? Quote
Nytro Posted December 28, 2008 Author Report Posted December 28, 2008 Iar nu inteleg ce vrei sa zici. Nu stiu toti ca nu e frumos sa le uploadeze pe virustotal si am destui "prieteni" care ar face acet lucru intentionat. Oricum daca reusesc sa fac o versiune FUD va fi privata Quote
cmiN Posted December 28, 2008 Report Posted December 28, 2008 Ma refeream ca tu insasi ai uploadat pe virus total fisiere cryptate cu soft-ul tau, dar oricum chiar daca era sa nu fie deloc detectabil si sa nu fi uploadat acolo tot il uploada "un prieten" in maxim 2-3 zile (logic daca e public). Quote
Nytro Posted December 28, 2008 Author Report Posted December 28, 2008 Nu am uploadat pe virustotal, am uploadat pe novirusthanx.org care are optiunea de "Do not redistribute the sample" Quote