Nuestros Contenidos

Las técnicas de stealth u ocultamiento de troyanos son bien conocidas por algunos. El problema es que casi nadie las publica para que todo el mundo comparta sus mismos conocimientos. Como yo deseo compartir lo poco que sé con todos los amigos internautas, aquí tienen Ustedes un pequeño tutorial para hacer indetectable otra vez el binder YAB v2.0 y el famoso servidor del troyano más temible de todos los tiempos: Sub7. Que Ustedes lo disfruten y, sobre todo, aprendan.

Nota de actualización: La mayoría de los antivirus ya conoce esta técnica. Esto quiere decir que ha quedado obsoleta para la mayoría de ellos (¡en su día fue muy efectiva!). Sólo dejamos el artículo por su interés histórico en las técnicas de evitación de antivirus.

Ante todo he de advertir una vez más que todo lo que Ustedes van a aprender aquí sólo es para propósitos de investigación. Esta información también está disponible para todos los investigadores de las empresas antivirus que quieran analizar el método para proteger de nuevo sus antivirus. 

Es un método muy sencillo y altamente eficaz en algunos casos. El único antivirus que se muestra relativamente eficaz ante esta técnica es McAfee. ¿Empezamos?

Lo primero que vamos a hacer es bajarnos estos dos programas:

ProcDump32

YAB v2.0

En primer lugar voy a explicarles qué es grosso modo ProcDump32. Es una herramienta que nos permite volcar y desempacar algunos archivos PE (Portable Ejecutable) protegidos sin necesidad de un depurador (debugger).

Es un programa pensado más para la ingeniería inversa que para nuestro objetivo de hoy. Pero ya verán lo que se puede hacer con él.

Vamos a hacer indetectable otra vez nuestro binder favorito, ¡el mejor del mundo!, YAB v2.00. Hay dos operaciones que deberemos realizar. Vayamos por partes:

1- Vamos a hacer indetectable el propio binder, aunque esto no nos asegura que el archivo fusionado (binded) siga siendo indetectable. Para hacer indetectable YAB v2.0 deberemos primero volcar el zip que lo contiene a una carpeta. Después vamos a abrir ProcDump32 y vamos a fijarnos en esta pantalla:

 Los principiantes deben estar ahora muy despistados ante tantos números y letras. ¡No toquen absolutamente nada si no entienden lo que están viendo!. Simplemente sigan mis instrucciones con exactitud. Ya verán qué fácil es.

Vamos a pulsar el botón PE Editor. Ahora vamos a buscar nuestro programa YAB v2.0, en concreto el archivo YAB.exe. Cuando lo seleccionen pulsen en Abrir. Esto es lo que verán:

Vuelvo a decirles lo mismo de antes: ¡no toquen nada o podemos estropear el programa!. Fijémonos sólo en la información de la cabecera (Header Infos). En concreto vamos a detenernos en Entry Point (el valor de entrada). ¡Aquí está la clave!. 

Si nos damos cuenta en la casilla que acompaña a Entry Point tenemos este valor: 000A4460. Esta cantidad está en hexadecimal y nuestro objetivo es añadirle la cantidad de 1 byte. Para nuestro objetivo ni siquiera es necesario que aprendamos a convertir valores decimales a hexadecimales y al contrario. Si el hexadecimal es un sistema matemático en base 16, esto quiere decir que en vez de disponer de 10 cifras como en el decimal (0, 1, 2, 3, 4, 5, 6, 7, 8 y 9), vamos a disponer de 16 (0, 1, 2, 3, 4, 5, 6, 7, 8, 9, A, B, C, D, E y F). Esto simplifica mucho las cosas. Para añadir un solo byte tendremos que aumentar en un número (o letra) la cantidad en hexadecimal. Por ejemplo, en nuestro caso tendremos que aumentar el valor 000A4460 (equivalente en decimal al número 672874) a esta otra cifra: 000A4461 (equivalente en decimal al número 672875). ¡Así de fácil!.

Cuando hayan introducido 1 byte más en Entry Point, pulsen sobre OK y ya está hecho. Ahora YAB v2.0 es indetectable a casi todos los antivirus del mundo (excepto McAfee) y sigue siendo funcional. Ni siquiera lo detecta KAV. ¡Increíble pero cierto!.

Pero con esto lo único que hemos conseguido es hacer indetectable YAB v2.0 en nuestro ordenador. Pero si usamos el código del binder para la fusión de dos archivos (los que sean), entonces los antivirus volverán otra vez a detectar el stub. ¿Ha sido entonces inútil todo lo que hemos hecho?. No, ni mucho menos, porque ahora vamos a repetir otra vez la misma operación con el archivo fundido (binded) y veremos cómo se hace indetectable con la misma facilidad (excepto McAfee de nuevo). 

Con esto estamos posibilitando que un troyano se pueda ocultar perfectamente a la mayoría de los antivirus mediante una aplicación legítima. 

Vamos ahora a aplicar el mismo método para un servidor no comprimido (unpacked) de Sub7. Algunos amigos de esta web me han preguntado si es posible ocultar Sub7 a los antivirus. Creo que aquí está la solución (al menos momentánea; si las compañías antivirus descubren los servidores de Sub7 modificados, volverán a ser detectados otra vez). 

Pues vamos a repetir los mismos pasos de antes y ya tenemos otra vez nuestro servidor de Sub7 favorito indetectable para la mayoría de los antivirus.  

Una vez más he de recomendarles que sean discretos en el uso de estos pequeños conocimientos. No hagan a nadie lo que no quisieran que hicieran con vosotros. Quédense en el reto de haber eludido la acción vigilante de los antivirus y no vayan más lejos. 

Aquí estamos para aprender todos un poco y pasar un buen rato. Nuca estamos para dañar a nadie.

Gracias.