A titolo informativo, date le numerose richieste pervenute al nostro staff. Vi daremo delle indicazioni basilari per muoversi in quello che è il mondo dei malware, come lo conosciamo OGGI.
La premessa è poter toccare con mano e vedere quanto sia facile realizzare e distribuire prodotti malevoli (a vostro rischio e pericolo), usando il gergo tipico del settore ed attraverso strumenti conosciuti che danno ancora filo da torcere alle più grandi compagnie antivirus internazionali.

Cos’è un Crypter?

Un Crypter è un software usato per nascondere/crittare i virus, keylogger o qualsiasi altro tipo di strumento (RAT) dagli antivirus, in modo da non essere rilevati e cancellati. Per approfondimenti leggete la pagina scritta appositamente tempo fa.

Cosa fa un Crypter?

Un crypter semplicemente codifica il codice sorgente di un virus in qualcosa che sia illegibile agli occhi degli antivirus. Esistono svariati metodi per portare a termine la crittografia del codice, ed esistono altrettanti algoritmi crittografici per farlo.

Cosa vuol dire FUD?

FUD è l’acronimo per Fully UnDetectable, ovvero completamente irrilevabile. Con l’avvento dei Crypter e il loro costante utilizzo per bypassare gli antivirus, le stesse case produttrici hanno iniziato a includere dentro le gli stessi antivirus le definizioni per i crypter, rilevandoli come minacce potenzialmente pericolose. Motivo per cui oggi è diventato più complicato utilizzare un Crypter, e ancor di più trovarne pubblicamente uno FUD.

Come sapere quali antivirus rilevano il mio file crittato?

Ci sono online moltissimi Multi-Engine Antivirus Scanners. Ma prima di usarne uno è bene controllare se il servizio scelto distribuisce il vostro file come sample alle compagnie antivirus.
Molti Scanner gratuiti online lo fanno. Di conseguenza anche il semplice controllare che il vostro exe sia realmente FUD rischierebbe di comprometterlo in pochi giorni.

Ecco una lista di Scanner online che NON CONSIGLIAMO:

Virustotal.com
Filterbit.com
Virscan.org
Virusscan.jotti.org

Qui invece una lista di Scanner online CONSIGLIATI:

vscan.novirusthanks.org [gratuito][Dovete clikkare su DO NOT Distribute check Box ][Solo 6 Av Engines ]
myAvScan.com [1 scansione al giorno è gratuita][ 34 Av Engines ]
virtest.com
avcheck.ru
avcheck.biz
scan4you.net
avhide.com
nicescan.net

Che tipi di Crypter ci sono?

  • ScanType Crypters: Codifica il file specificato in modo che gli AV non siano in grado di analizzarlo, ma SOLO prima che venga eseguito. Durante l’esecuzione è possibile che lo rilevino.
  • RunTime Crypters: Codifica il file specificato e quando viene eseguito, viene decrittato in memoria. In questo modo gli antivirus non sono capaciti di analizzarlo ne prima, ne dopo la sua esecuzione.

    • Cose che dovresti sapere sui Crypters:

    Client:

    Il client è l’interfaccia dal quale si interagisce con le funzioni del crypter, secondo le modalità scelte dal programmatore.

    Stub:

    Lo Stub è un file eseguibile (.exe) oppure un .Dll . Questo file è usato come filtro per i file che vengono dati in pasto al crypter.

    EOF:

    EOF sta per End of File. Molti RAT richiedono un EOF dichiarato per girare. Se il Crypter non lo preserva, si rischia di ottenere un file corrotto.

    Anti’s:

    E’ una feature aggiuntiva che possono avere alcuni crypter, abbinata a prodotti specifici. Anti-debugger, anti-vm etc. Riferendosi al bypass di qualcosa in particolare.

    Hide Process:

    Fa in modo che il file crittato venga nascosto dalla normale lista di processi attualmente in esecuzione (di solito visibile dal task manager di windows).

    Dependencies:

    Il No Dependencies significa che sia il crypter, sia il file crittato non hanno bisogno del framework .net installato sulla macchina per girare correttamente.

    File Binder:

    Di questo ne abbiamo parlato approfonditamente in questa pagina.

    Questo è soltanto un breve articolo, di risposta alle vostre numerose domande, che assolutamente NON fornisce informazioni sul processo produttivo dei malware (esula dalle nostre e dalle vostre competenze). Sono informazioni tranquillamente reperibili in rete. Per tanto non ci assumiamo qualsiasi responsabilità dell’uso che possiate farne. Intaccare sistemi di proprietà altrui è reato, e viene punito a norma di legge.