[HACK] W2k y la linea de commandos
Bernardo Quintero
bernardo at hispasec.com
Wed Apr 23 23:07:35 CEST 2003
> de comandos. Supongamos que intentamos instalar un troyano
> (backoriffice)... ¿y si existe un monitor antivirus? (la opción de los
> troyanos habría que descartarla entonces, y quedan quizás únicamente
a) create tu propio troyano
b) modifica uno ya existente
Los antivirus suelen ser bastante malos contra codigo nuevo o modificado.
El pasado junio jcea y yo expusimos en e-gallaecia sobre antivirus, y como
prueba de concepto creamos un gusanillo en 20 líneas. De entrada había
AVs que no lo reconocían (pese a que se utilizó lo más estándar, conocido,
y fácil de leer/interpretar para el público), y con modificaciones "tontas"
(meter líneas en blanco, dividir algunos literales en variables y concatenarlas,
etc), se iban burlando al resto, hasta llegar a una muestra que no reconocía
ninguno (en la demostración habría7 u 8 antivirus de los mas utilizados).
Incluso para la opción b) no necesitas tener su código fuente, también
hicimos una demo (precisamente con el backoriffice), donde bastó pasarlo
por un compresor de ejecutables para que ningún AV lo detectara.
Ahí tienes un test que hice hace un par de años al respecto con compresores
muy conocidos:
http://www.hispasec.com/directorio/laboratorio/articulos/Comparativa2001/mundoreal/11.html
Hay algunos que han mejorado, pero sigue siendo trivial tratar cualquier
código malware para evitar el reconocimiento de un AV.
Saludos,
Bernardo
More information about the hacking
mailing list