Cactus Metamorph 0.3 es la ultima version de este fabuloso programa creado por MadAntrax,
un reconocido usuario de elhacker.net, ahora no explicare lo que hace
el programa ya que el autor creo una extensa descripcion del mismo, y
quien mejor que el para explicar todo sobre su herramienta, asi que
solo pondre la descripcion que dio el. De todas formas al final dare mi
opinion sobre el Cactus metamorph 0.3.
-----> De ahora en adelante texto escrito por el autor MadAntrax
Listado de funcionalidades 0.3
[ + ] Modificar TimeDateStamp Permite modificar las fechas de creación, acceso y modificación del fichero final
[ + ] vMap: Offset Pointer (Muestra de forma gráfica que zonas del código se han modificado)
[ + ] Sistema de Log's (Genera y guarda un log con los cambios realizados al fichero, junto con TODOS sus offset's modificados)
[ + ] Virtual EOF (añade hasta 25 Kbytes de código adicional, altera el tamaño)
[ + ] Clonación de Código: Permite modificar el ejecutable con partes del código de otro ejecutable inofensivo
[ + ] Diccionario Estático: Selecciona de forma aleatoria un carácter hexadecimal para modificar el fichero
[ + ] Botón 'Detener': para finalizar el proceso de Metamorph en cualquier momento
[ + ] Ayuda Dinámica: Pulsar los botones '?' para ver la ayuda
[ + ] Mejoras en la GUI: Barra de título animada.
[ + ] Mejoras en la GUI: Añadida ventana de "About" con efecto petardos xD
[ + ] Mejoradas las estadísticas, ahora son más eficientes
[ + ] Mejoras en el código interno, los bucles y condiciones son ahora más estables y rápidos
[ + ] Se han cambiado los valores hexadecimales de los diccionarios
[ + ] Aumentados y mejorados los niveles de Ofuscación
Descripción
Este sencillo programa permite modificar un archivo ejecutable compilado (binario) para alterar su estructura interna sin modificar el tamaño original
(ni aumentan ni disminuyen los bytes finales). No añade ningún Stub ni
descomprime código en tiempo de ejecución. Si modificas 2 veces un
mismo archivo obtendrás 2 ficheros distintos, nunca obtendrás 2 copias
idénticas de un mismo fichero. Ahora como novedad podrás aumentar el
tamaño del fichero modificado, añadiendo hasta 25 Kbytes de datos
adicionales. También podrás usar partes del código de otra aplicación
inofensiva para modificar tu ejecutable, de esta forma tu 'malware'
tendrá partes de código de otra aplicación 'normal' y podrás despistar
algo mejor a los Antivirus. Se ha añadido el módulo vMap que muestra en
pequeñas celdas las zonas de código que se han modificado, permite
también generar y guardar un archivo .log con todos los datos y
modificaciones hechas al ejecutable, junto con el listado COMPLETO de
los offset's modificados. De esta forma podrás utilizar el listado de
offset's para modificar manualmente el mismo ejecutable sin necesidad
de lanzar el proceso de nuevo o para integrarlo con otras tools.
Se ha añadido un nuevo modulo llamado 'Modificar TimeDateStamp'.
Esto nos permite generar una fecha aleatória y establecerla como fecha
de creación, acceso y modificación del fichero. De esta forma la
víctima no sospechara si ve un fichero en su sistema con una fecha
antigua. Además hay AntiVirus que no escanean ficheros con fechas muy
inferiores. A parte permite dejar más modificado el ejecutable.
Para que sirve?
Los
AntiVirus detectan un archivo malicioso si encuentran en su interior un
patrón de datos que los identifican como tal. Un simple ejemplo:
fichero1
01010101011101010101
Los
AntiVirus almacenan en su fichero de firmas un patrón que les ayuda ha
identificar un archivo malicioso (firma), en este ejemplo diremos que
es 01110. Bien, si yo consigo detectar cual es el patrón que delata a
mi fichero malicioso y consigo cambiarlo un poco obtendré un fichero
inocuo al AntiVirus, por ejemplo:
fichero2
01010101011111010101
Al realizar está técnica pueden ocurrir 3 cosas:
El fichero final se ha modificado perdiendo su funcionalidad
El fichero final se ha modificado manteniendo su funcionalidad, pero los AV lo siguen detectando
El fichero final se ha modificado manteniendo su funcionalidad, y los AV NO lo siguen detectando
Está
claro que nosotros queremos llegar al 3º punto, pero no es una tarea
sencilla: Hay que ir modificando los Offset's del fichero hasta dejarlo
ligeramente modificado, sin "romper" el ejecutable y que el AV no lo
detecte. Bien, pues Cactus Metamorph realiza esta tarea de forma
automatizada y en pocos segundos.
Como funciona realmente?
Cactus
Metamorph coge un fichero compilado (*.exe) y examina TODOS Y CADA UNO
de los Offset's del fichero, intentando modificar aquellos que no
comprometen la estabilidad ni el funcionamiento del fichero, dejándolo
intacto en cuanto a funcionalidad, pero modificado en cuanto a su
estructura.
Cabe destacar que Cactus Metamorph no utiliza
Stub's, no añade código adicional al ejecutable final, no comprime su
estructura ni la expande. No altera su tamaño, deja y respeta hasta el
último byte del fichero original (en la versión 0.2 puedes añadir
código, modificando los últimos bytes). Después de la metamorfosis, el
fichero final cambia por completo, modificando su MD5, CRC32, etc...
Entonces... ¿este programa deja indetectable cualquier fichero o troyano?
No,
y lo repito 100 veces más: NO. Cactus Metamorph no asegura que el
fichero final vaya a quedar indetectable, es más, si intentas usar este
programa con ficheros famosos (Poison Ivy, Bifrost, etc...) no
conseguirás nada, pues estos ficheros tienen las firmas en los Offset's
vitales del fichero, si se intentan modificar se vuelven inestables y
no funcionan.
Este programa te permitirá modificar de forma
masiva aquellos Offset's que no son vitales de un ejecutable y
dependiendo de cada caso obtendrás:
Un fichero funciona indetectable
Un fichero funcional detectado
Un fichero no funcional (roto)
Dependiendo
del nivel de Ofuscación y del Tamaño del Diccionario obtendrás un
fichero más o menos modificado. En el cuadro de estadísticas obtendrás
un valor llamado Total Offsets que indica cuantos Offset's se han
modificado. Cuanto mayor es ese número mejor. Cada vez que uses este
programa generará un fichero completamente distinto al anterior con un
MD5 distinto. Disfrútalo
Bueno, dejo ya de escribir, espero que
haya quedado claro más o menos cómo funciona el programa. Os recomiendo
que lo probéis, modifica un fichero y lo subes a virustotal.com para
ver si has conseguido "burlar" algún Antivirus.
----> Hasta aqui texto escrito por MadAntrax
En
mi opinion es un muy buena herramienta, ya lo era su version anterior,
por las pruebas realizadas no sirve para dejar algun virus 100%
indetectable, pero ayuda a quitar antivirus por firmas, ademas modifica
muy bien el codigo, esto convinado con un buen crypter puede tener
resultados muy favorables, solo es cuestion de hacer pruebas
convinandolo con distintos programas.
Descarga
Cactus metamorph 0.3 (rapidshare)
Cactus metamorph 0.3 (megaupload)
Pass: troyanosyvirus.com.ar
