1. Все файлы исключительно загружать на наш сервер в формате .rar или .zip, темы где будут указаны ссылки для загрузки файлов будут удалены.

Crypter Avast by DarkCoderSc Hidden Startup&Start in Safe mode

Тема в разделе "Crypter / Binder / Loader", создана пользователем DarkCoderSc, 7 янв 2017.

  1. DarkCoderSc
    Статус
    Оффлайн
    Сообщения:
    58
    Симпатии:
    106

    Filename: Stub.exe
    Filesize: 35,00 kB
    Date: 2017-01-07 13:30:28
    MD5: 3574f22fe47d134b494f342015c81e29
    SHA1: e12cf8cc44cf15745cd652581e3c1c574d18c8c8
    Status: Infected
    Rate: 1/35

    Details:
    Ad-Aware - File is clean
    A-Squared - File is clean
    Avast - File is clean
    AVG Free - File is clean
    AntiVir (Avira) - TR/Dropper.Gen
    BitDefender - File is clean
    BullGuard - File is clean
    Clam Antivirus - File is clean
    COMODO Internet Security - File is clean
    Dr.Web - File is clean
    ESET NOD32 - File is clean
    eTrust-Vet - File is clean
    FortiClient - File is clean
    F-PROT Antivirus - File is clean
    F-Secure Internet Security - File is clean
    G Data - File is clean
    IKARUS Security - File is clean
    K7 Ultimate - File is clean
    Kaspersky Antivirus - File is clean
    McAfee - File is clean
    MS Security Essentials - File is clean
    NANO Antivirus - File is clean
    Norman - File is clean
    Norton Antivirus - File is clean
    Panda CommandLine - File is clean
    Panda Security - File is clean
    Quick Heal Antivirus - File is clean
    Solo Antivirus - File is clean
    Sophos - File is clean
    SUPERAntiSpyware - File is clean
    Trend Micro Internet Security - File is clean
    Twister Antivirus - File is clean
    VBA32 Antivirus - File is clean
    VIPRE - File is clean
    Zoner AntiVirus - File is clean

    Scan Result:

    Пожалуйста, войдите или зарегистрируйтесь чтобы видеть ссылки.


    Пожалуйста, войдите или зарегистрируйтесь чтобы видеть ссылки.



    File Name: Crypted.Exe
    File Size: 78kb
    Scan Date: 07-Jan-2017 11:46:53
    Detected by: 3/35

    MD5: c11b72b0361840f8e57bd02b553391ec
    SHA256: fe2f40c46724353b2f4d056f7cd918dad8203fc64f3e6809b6075ff0e945cf49
    Scan Result:

    Пожалуйста, войдите или зарегистрируйтесь чтобы видеть ссылки.



    A-Squared:Clear
    Ad-Aware:Clear
    Avast:Clear
    AVG Free:Clear
    Avira:TR/Dropper.Gen
    BitDefender:Clear
    BullGuard:Clear
    Clam Antivirus:Clear
    Comodo Internet Security:Clear
    Dr.Web:Clear
    ESET NOD32:Clear
    eTrust-Vet:Clear
    F-PROT Antivirus:Clear
    F-Secure Internet Security:Clear
    FortiClient:Clear
    G Data:Clear
    IKARUS Security:Clear
    K7 Ultimate:Clear
    Kaspersky Antivirus:Clear
    McAfee:Clear
    MS Security Essentials:Clear
    NANO Antivirus:Clear
    Norman:Clear
    Norton Antivirus:Heur.AdvML.B
    Panda CommandLine:Clear
    Panda Security:Clear
    Quick Heal Antivirus:Clear
    Solo Antivirus:Clear
    Sophos:Clear
    SUPERAntiSpyware:Clear
    Trend Micro Internet Security:HKTL_HPPJOAO.SM1
    Twister Antivirus:Clear
    VBA32 Antivirus:Clear
    VIPRE:Clear
    Zoner AntiVirus:Clear
    Зависимость NET Framework 2.0


    Pass: crypters.ru
     

    Вложения:

    Mixaton, Hanter, oxotnik и 7 другим нравится это.
  2. FAST3
    Статус
    Оффлайн
    Сообщения:
    418
    Симпатии:
    556
    Красава!!! хорошая работа мне нравится!
     
    DarkCoderSc нравится это.
  3. DarkCoderSc
    Статус
    Оффлайн
    Сообщения:
    58
    Симпатии:
    106
    Спасибо
     
  4. DarkCoderSc
    Статус
    Оффлайн
    Сообщения:
    58
    Симпатии:
    106
    Перед тем как криптовать нужно поснимать все галочки!!!
     
  5. FAST3
    Статус
    Оффлайн
    Сообщения:
    418
    Симпатии:
    556
    не знаю как ты Start in Safe mode замутил )) но круто
    криптований дарк комет отстук есть Win7 x64
    [​IMG]
     
  6. DarkCoderSc
    Статус
    Оффлайн
    Сообщения:
    58
    Симпатии:
    106
    Для запуска в режиме Safe Mode нужно прописаться в Winlogon
    HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon, shell
    К примеру:
    RegistryKey _regKey = Registry.CurrentUser.OpenSubKey(@"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon", true);


    _regKey.SetValue("Shell", "explorer.exe," + " " + @"\путь к Вашему файлу", RegistryValueKind.String);
    наличие explorer.exe обязательное, так как без него не запустится проводник!!!
    также можно использовать следующие ветви реестра: (тут нужны будут права администратора)
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, shell
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit (по анологии с shell, только вместо "explorer.exe" ставим "userinit.exe"
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Taskman


     
    CHRmod, Anubis и FAST3 нравится это.
  7. oxotnik
    Статус
    Оффлайн
    Сообщения:
    193
    Симпатии:
    52
    DarkCoderSc спасибо за криптор, пытаюсь понять что и как тут в автозапуске происходит...
    [​IMG]
    Такой способ впервые встречаю...спасибо))
    Только вот извиняюсь за тупость...не понял один момент: файлик создается svchost.exe в директории C:\Users\******\AppData\Roaming\Microsoft\Windows\Templates\Service\
    при запуске он типа выдает себя за блокнот который лежит в C:\Windows\SysWOW64\notepad.exe
    Это так и задумано было??? или смысл не в процессе??? А показать метод авторана?
     
  8. DarkCoderSc
    Статус
    Оффлайн
    Сообщения:
    58
    Симпатии:
    106
    В папке Templates создается папка service, затем туда копируется под имене svсhost.exe инжектирует в блокнот. а так в принципе можно было и под други процессом сделать.
     
  9. oxotnik
    Статус
    Оффлайн
    Сообщения:
    193
    Симпатии:
    52
    А ты на VB писал криптор?
    А можно сделать так чтобы всё было так же только не было инжекта в блокнот а запускался бы сам svchost только от имени SYSTEM ? Был бы самый фарш)
     
  10. DarkCoderSc
    Статус
    Оффлайн
    Сообщения:
    58
    Симпатии:
    106
    C#
     
  11. DarkCoderSc
    Статус
    Оффлайн
    Сообщения:
    58
    Симпатии:
    106

    Filename: Stub.exe
    Filesize: 35,00 kB
    Date: 2017-01-10 22:53:39
    MD5: 3574f22fe47d134b494f342015c81e29
    SHA1: e12cf8cc44cf15745cd652581e3c1c574d18c8c8
    Status: Infected
    Rate: 14/35

    Details:
    Ad-Aware - Gen:Variant.MSILPerseus.66849
    A-Squared - Gen:Variant.MSILPerseus.66849 (B)
    Avast - File is clean
    AVG Free - Trojan horse MSIL11.HQO
    AntiVir (Avira) - TR/Dropper.Gen
    BitDefender - Gen:Variant.MSILPerseus.66849
    BullGuard - Generic.MSIL.Bladabindi.E5365AFD
    Clam Antivirus - File is clean
    COMODO Internet Security - File is clean
    Dr.Web - BackDoor.Tordev.9

    ESET NOD32 - Trojan.MSIL/GenKryptik.QMC
    eTrust-Vet - <virus> Gen:Variant.MSILPerseus.66857
    FortiClient - File is clean
    F-PROT Antivirus - File is clean
    F-Secure Internet Security - Gen:Variant.MSILPerseus.66849
    G Data - Gen:Variant.MSILPerseus.66857
    IKARUS Security - File is clean
    K7 Ultimate - Riskware ( 0040eff71 )
    Kaspersky Antivirus - File is clean
    McAfee - File is clean
    MS Security Essentials - File is clean
    NANO Antivirus - File is clean
    Norman - Gen:Variant.MSILPerseus.66849
    Norton Antivirus - File is clean
    Panda CommandLine - File is clean
    Panda Security - File is clean
    Quick Heal Antivirus - EE:Malwr.Heur.MSILPerseus.66857
    Solo Antivirus - File is clean
    Sophos - File is clean
    SUPERAntiSpyware - File is clean
    Trend Micro Internet Security - File is clean
    Twister Antivirus - File is clean
    VBA32 Antivirus - File is clean
    VIPRE - File is clean
    Zoner AntiVirus - File is clean

    Scan Result:

    Пожалуйста, войдите или зарегистрируйтесь чтобы видеть ссылки.


    Пожалуйста, войдите или зарегистрируйтесь чтобы видеть ссылки.


    Update 10.1.2017
    Filename: Stub.exe
    Filesize: 24,50 kB
    Date: 2017-01-10 22:07:52
    MD5: b5c086146bbd67cba3d2a5e68c6aa42f
    SHA1: db9e0250321fe0af959b9f90f3d539b60ab3e8a2
    Status: Infected
    Rate: 2/35

    Details:
    Ad-Aware - File is clean
    A-Squared - File is clean
    Avast - File is clean
    AVG Free - File is clean
    AntiVir (Avira) - TR/Dropper.Gen
    BitDefender - File is clean
    BullGuard - File is clean
    Clam Antivirus - File is clean
    COMODO Internet Security - File is clean
    Dr.Web - File is clean
    ESET NOD32 - Trojan.MSIL/Injector.FCD
    eTrust-Vet - File is clean
    FortiClient - File is clean
    F-PROT Antivirus - File is clean
    F-Secure Internet Security - File is clean
    G Data - File is clean
    IKARUS Security - File is clean
    K7 Ultimate - File is clean
    Kaspersky Antivirus - File is clean
    McAfee - File is clean
    MS Security Essentials - File is clean
    NANO Antivirus - File is clean
    Norman - File is clean
    Norton Antivirus - File is clean
    Panda CommandLine - File is clean
    Panda Security - File is clean
    Quick Heal Antivirus - File is clean
    Solo Antivirus - File is clean
    Sophos - File is clean
    SUPERAntiSpyware - File is clean
    Trend Micro Internet Security - File is clean
    Twister Antivirus - File is clean
    VBA32 Antivirus - File is clean
    VIPRE - File is clean
    Zoner AntiVirus - File is clean

    Scan Result:

    Пожалуйста, войдите или зарегистрируйтесь чтобы видеть ссылки.


    Пожалуйста, войдите или зарегистрируйтесь чтобы видеть ссылки.



    Filename: Crypted.Exe
    Filesize: 67,93 kB
    Date: 2017-01-10 22:07:54
    MD5: fba817b3d1fb7ef4121af3402b21778e
    SHA1: f42f36b3f32d2dc37fa16bc23572e85b2601e234
    Status: Infected
    Rate: 3/35

    Details:
    Ad-Aware - File is clean
    A-Squared - File is clean
    Avast - File is clean
    AVG Free - File is clean
    AntiVir (Avira) - TR/Dropper.Gen
    BitDefender - File is clean
    BullGuard - File is clean
    Clam Antivirus - File is clean
    COMODO Internet Security - File is clean
    Dr.Web - File is clean
    ESET NOD32 - Trojan.MSIL/Injector.FCD
    eTrust-Vet - File is clean
    FortiClient - File is clean
    F-PROT Antivirus - File is clean
    F-Secure Internet Security - File is clean
    G Data - File is clean
    IKARUS Security - File is clean
    K7 Ultimate - File is clean
    Kaspersky Antivirus - File is clean
    McAfee - File is clean
    MS Security Essentials - File is clean
    NANO Antivirus - File is clean
    Norman - File is clean
    Norton Antivirus - File is clean
    Panda CommandLine - File is clean
    Panda Security - File is clean
    Quick Heal Antivirus - File is clean
    Solo Antivirus - File is clean
    Sophos - File is clean
    SUPERAntiSpyware - File is clean
    Trend Micro Internet Security - HKTL_HPPJOAO.SM1
    Twister Antivirus - File is clean
    VBA32 Antivirus - File is clean
    VIPRE - File is clean
    Zoner AntiVirus - File is clean

    Scan Result:

    Пожалуйста, войдите или зарегистрируйтесь чтобы видеть ссылки.


    Пожалуйста, войдите или зарегистрируйтесь чтобы видеть ссылки.


    Добавлено:
    Registry Persistence
    File Persistence

    Pass:
    crypters.ru

     

    Вложения:

    • Crypter.rar
      Размер файла:
      104,8 КБ
      Просмотров:
      5
    Flasher, Hanter, FAST3 и ещё 1-му нравится это.
  12. CHRmod
    Статус
    Оффлайн
    Сообщения:
    18
    Симпатии:
    10
    AVG RuNtime szigajet DC
     
  13. TheL1fe
    Статус
    Оффлайн
    Сообщения:
    6
    Симпатии:
    0
  14. Flasher
    Статус
    Оффлайн
    Сообщения:
    1
    Симпатии:
    0
    Спасибо! Хорошая работа!
     
  15. yilou
    Статус
    Оффлайн
    Сообщения:
    8
    Симпатии:
    0
    nice share mate, but too bad detection and not bypass Avast runtime

    Пожалуйста, войдите или зарегистрируйтесь чтобы видеть ссылки.



    how do you get it of Gen:Variant.MSILPerseus.66849
     
  16. pticagolub01
    Статус
    Оффлайн
    Сообщения:
    3
    Симпатии:
    0
  17. timbo
    Статус
    Оффлайн
    Сообщения:
    11
    Симпатии:
    11
    уже 10 антивирусов палят
     

Пользователи просматривающие тему (Пользователей: 0, Гостей: 1)