De nuevo, vamos a poder comprobar que los antivirus no son capaces de hacer mucho más que comparar con firmas (hashes). Cualquier mínimo nivel de ofuscación se los salta.
En esta "práctica", lo que haremos es subir a virustotal, un conocido servicio de antivirus online, la shell c99.txt, que podría decirse es la más típica shell en php. La subiremos, analizaremos, ofuscaremos y volveremos a subir y analizar. Y el resultado es ... el que todos esperamos. Los siguientes pantallazos ilustran el experimento.
En primer lugar, subimos la shell a virustotal. Por supuesto, casi todos los antivirus la detectan.
Una vez comprobado esto, copiamos el código de la shell y la subimos a codeeclipse, que tiene un servicio online de ofuscación de código php. El proceso es muy sencillo, tal y como vemos a continuación:
Finalmente, subimos la shell ofuscada a virustotal, y ...
Seguramente, cambiando los nombres de las funciones que se llaman c99xxx tendríamos que nuestra shell es totalmente indetectable para los antivirus. De hecho, además de con c99, he probado con otra shell menos conocida y virustotal no la ha detectado tras ofuscarla.
Me gustaría decir que el resultado me ha sorprendido pero, para ser sinceros, me parece que es la confirmación de un hecho por todos conocido.
Saludos
Dr.White
u_u no se usa virustotal.. alli la cagas p
ResponderEliminarCiertamente lo que dices es de sierta manera correcto pero como sabes pues si la subes a un host ya sea que muchos AVs la detecten la puedes usar ahi nada te saltará, igual pues yo recomiendo hacer tus propias shells es mejor asi la puedes hacer de la manera que tu quieras y sin problemas con que mas gente "la cague"...
ResponderEliminarDe todos modos estoy parcialmente de acuerdo contigo...
igual el tuto no es mio ;)
Saludos