 |
ESQUIVAR LOS ANTIVIRUS
Hay varias
formas de esquivar
la acción de los
antivirus. Si tenemos
los suficientes
conocimientos de programación,
podremos variar
el código fuente
del
troyano hasta
hacerlo indetectable
a los principales
antivirus. Este método
depende de nuestra
habilidad
como
programadores y
de que el código
fuente
del
troyano esté
disponible.
Como
es muy
complicado unir
ambas cualidades
y esta web está
más bien orientada
hacia los principiantes
que quieren aprender,
voy a descartar
este procedimiento.
Otro método muy
usado (y bastante
funcional en muchos
casos) consiste
en la encriptación
del
código
del
troyano hasta
que el antivirus no sea capaz
de conocerlo. Explicaré
cómo se consigue
esto aunque
hay antivirus muy difíciles
de engañar como
McAfee.
El método más
fácil de aplicar
consiste en la utilización
de un parche para
hacer indetectable
el servidor de un troyano.
Para
ello vamos
intentar hacer
nuestra prueba
con el troyano Optix
Pro 1.2.
Empecemos descargando
el troyano desde:
http://cdeath.zoomph.net/illcommunity/progs/OptixPro.zip
Ahora busquemos
el parche:
http://www.inicia.es/de/coolvibes/OptixPro1.2-ServerPatch.zip
Vamos a abrir el archivo
OptixPro.zip y a continuación
vamos a extraer
a una carpeta
el archivo SERVER.exe. Antes
habremos tenido
la precaución de desactivar
nuestro antivirus para
que no detecte
la presencia de Optix
Pro 1.2.
Ahora vamos a abrir
el archivo OptixPro1.2-ServerPatch(1).zip.
Extraigamos el ejecutable
que encontremos
dentro a la misma
carpeta donde
pusimos el archivo
SERVER.exe. Hagamos doble
clic sobre
el archivo OptixPro1.2-ServerPatch.exe.
Si nos damos
cuenta, este parche
sólo está indicado
para el servidor
del
troyano Optix
Pro 1.2. El servidor
sólo puede llamarse
SERVER.exe, su tamaño
ha de ser de 907,776 bytes y la fecha de
publicación ha de ser el 28 de agosto
de 2002. Si Usted
se baja el troyano
de otra parte
y no coinciden estos
datos, entonces
el parche no funcionará.
Ahora vayamos a
"Target File" y seleccionemos
el archivo SERVER.exe (tal
y
como
ven en pantalla).
Si no les apareciera
el archivo automáticamente,
tendrían que
buscarlo manualmente
pulsando sobre
el botón marcado
con tres puntos
(...).
Si marcan la casilla
"Make a backup when possible", Ustedes
tendrán una
copia de seguridad
del
servidor
original (esto se hace
para evitar que
un error en el parcheado corrompa
el servidor). La copia
de seguridad
del
servidor se llamará
SERVER.exe.bak y su
antivirus la detectará. Si
la desea recuperar,
sólo habrá
de renombrarla a SERVER.exe.
Cuando tengamos
el servidor seleccionado
procedamos a su
parcheado pulsando
sobre "Start".
Ahora mismo el servidor
ya es indetectable
para KAV. Seguidamente
habremos de proceder
a su edición
utilizando el editor y luego
sería conveniente
comprimirlo con UPX, habida
cuenta de su
gran tamaño.
Primero consigamos
un buen compresor
UPX desde
http://www.geocities.com/upxgui/UPX-GUI_1_20w.zip
Ya lo han descargado?.
Instalen el compresor
en su ordenador
y ábranlo.
En la pestaña
"Open File" pulsen sobre
"Open" y busquen el archivo
SERVER.exe que ya
hemos parcheado.
Luego vayan
a la pestaña "Options" y fíjense.
Marquen todas las
casillas tal
y
como
las ven
aquí. Sobre todo
es conveniente
que marquen
la casilla "Force
compression". Ahora acudan
a la pestaña "Compress" .
Esta pantalla está
capturada en pleno
proceso de compresión
y muestra la progresión
y la compresión. Cuando
"Progression Progress" llegue
al 100%, se habrá comprimido
el servidor. "Compression
File Size" muestra el tanto
por ciento
de compresión
del
archivo final.
Para
iniciar todo
este proceso
de compresión previamente
a todo lo explicado
habremos pulsado
el botón "Pack!".
Ya tienen Ustedes
su troyano comprimido
e indetectable a la mayoría
de los antivirus.
Antes de terminar
he de advertirles que
McAfee es capaz
de detectar en su
análisis heurístico
profundo el archivo
comprimido
como
New Backdoor1. Pero curiosamente
podemos engañar
a McAfee si no comprimimos
el archivo. En este
último caso
no lo llega a reconocer
como
una amenaza.
Como
vemos, un
método muy
simple que cualquiera
puede aplicar,
es capaz de hacer
indetectable (y por
tanto, peligroso)
un troyano que
ya estaba en
la base de datos de los
antivirus.
¿Entienden ahora
por qué nadie
está completamente
seguro aunque
actualice su
antivirus constantemente?.
La seguridad
total es una
quimera.
|
|
