شناسایی سرور تروجان ها توسط آنتی ویروس ها

[sayberiya]

سلام دوستان
من یه ps نوشتم (البته به کمک یکی از دوستام) دستش درد نکنه همه چیش ردیفه و کار میکنه فقط مشکلم یا انتی ویروس هاست
از 32 تا انتی ویروس مشهور فقط 6 تاشون میشناسه سرورو + کسپر که وقتی میخوای فایلو باز کنی سرورو پاک میکنه
میخوام بدونم کلا انتی ویروس ها از چه روش هایی برای شناسایی تروجان استفاده میکنند و به چه کد هایی در برنامه نویسی تروجان حساسن و جای گزین این کد ها چیه؟

هرکی روشی یا چیزی بلده رو کنه
فکر کنم بحث جالب و مفیدی باشه

[sayberiya]

اینم لینک اسکن سرور تروجان
http://www.virustotal.com/analisis/f915b...f5d5a904f7

[sayberiya]

مخصوصا انتی ویروس هایی مثل مک آفی .نود32 .کسپر اسکای و پاندا

[Di Di]

وقتي داخل ويروس از كدهايي استفاده مي كنيد كه قبلا در چندين ويروس تروجان ديگه "دقيقا همون كدها " به كار رفته، آنتي ويروسي مثل كاسپر در دم اون رو پاك مي كنه!!
بهتره ماژول ها و توابع رو از برنامه دونه دونه بكشي بيرون ببين آنتي به كدومش گير مي ده .....

[Payman62]

سلام.
جناب didi دقیقا درست میفرمایند محمد جان.
اون کدهایی که من به پی است اضافه کردم خیلیاشون قبلا تو تروجان خودم net killer استفاده شده. الآن آنتی ها به net killer هم گیر میدن. پس طبیعیه به پی اس شما هم گیر بدن.
اون کدها رو به این علت اضافه کردم که روش کار دستت بیاد.
مثلا خیلی از آنتی ها به استفاده از property bag با اون روش حساسن. پیدا کننده پسورد دایال آپ رو هم که اضافه کردم دیگه 100% باید آنتی ها جلوشو بگیرن.

[sayberiya]

ممنون ازتون
یه چیزایی در مورد decod کردن شنیدم میگن اگه د کد کنی کارت راه میوفته آیا راسته؟؟؟؟؟

[Di Di]

اگه ديكد كني يا اينكريپت كني اول مياد بازش مي كنه و ...... اگه نتونه باز كنه پيغام مي ده كه اين مشكوك مي زنه ( مثل اين كرك هايي كه مي زارم تو سايت همه گير مي دن مي گن چرا ويروسه! ) و اگه از اون مرحله هم عبور كنه زماني كه مياد بعد از ديكد كردن كاري انجام بده چنانچه اون كار ، با اعمال يه برنامه شرافتمند مطابقت نداشته باشه باز هم بهش گير مي ده!!
كلا كاسپر 2009 به باز شدن اكسپلورر هم گير ميده!! ( البته اين مي تونه يه امتياز مثبت براي ويروس نويس ها باشه )
( ما همون فارسي خودمون رو پاس بداريم بهتره!)

[Payman62]

سلام.
البته منظور didi جان پوئن بود.
کاسپر به چاک دیوارم گیر میده. یعنی اگه دیوار اتاقت نم داده باشه و گچش ریخته باشه کاسپر گیر میده که چرا دیواره گچ نداره مشکوکه. شاید ویروسی باشه دیواره.
حالا از شوخی گذشته مشکوک بودن بیش از حد کاسپر رو میشه باهاش کنار اومد و گفت این آنتی به همه چی گیر میده. پس کسی به برنامه من شک نمیکنه.
شما اگه با یه پکر نا معروف هم پک کنی که کاسپر نتونه آنپک کنه ولی پسورد فایندر دایال آپی که تو برنامه موجوده خیلی شک بر انگیزه.

[lord_viper]

من امروز یه کد اینجکشن رو با molebox پک و فشرده کردم چون خودم انتی نصب نمیکنم با virustotal اونو اسکن کردم به جز 3 تا که احتمال دادن ویروس باشه و یکی هم فقط اسم پکرو گفت نه nod نه kasper هیچ کدوم نشناختنش (واقعا جای شک داره که کسپر به ایجاد یک remoute thread گیر نداده)
البته من زیاد به این جور سایتها اطمینان ندارم
(شب میزارم کسایی که کسپر و نود نصب دارن لطف کنن یه چکی بکنن)

[HoseinVig]

این ویروس آخریه که نوشته بودم یادمه به محض اینکه پروژه رو exe کردم آنتی پاکش کرد(ضد حالو تصور کنید) اما متوجه شدم این اتفاق بعد از اضافه کردن دستور FileCopy افتاد بنا بر این اومدم واسه کپی کردن ویروسم دست به کار شدمو خودم یه تابع نوشتم که کارمو راه بندازه و از اون به بعد آنتی ویروس به هیچ کجاش گیر نداد...
حالا شما هم اگه از این دستور اشتفاده کردی اولین کاری که می کنی همین کاریه که گفتم

[lord_viper]

این ویروس آخریه که نوشته بودم یادمه به محض اینکه پروژه رو exe کردم آنتی پاکش کرد(ضد حالو تصور کنید) اما متوجه شدم این اتفاق بعد از اضافه کردن دستور FileCopy افتاد بنا بر این اومدم واسه کپی کردن ویروسم دست به کار شدمو خودم یه تابع نوشتم که کارمو راه بندازه و از اون به بعد آنتی ویروس به هیچ کجاش گیر نداد...
حالا شما هم اگه از این دستور اشتفاده کردی اولین کاری که می کنی همین کاریه که گفتم

ممنون حسین جان
تو نوشتن ویروس حد الامکان باید سعی کنین تا از توابع api کمتر استفاده کنین و توابع رو خودتون با قابلیتهای زبان برنامه نویسی کدنویسی کنین اینجوری کمترانتیها بهش گیر میدن و برای ارسال compres و جلوگیری از شناسایی احتمالی pack اونم از نوع چند لایه فراموش نشه