FsG Old-V Detectat ca Trojan De Nod32

This article has been written before more than 24months, information might old.

Executabilele
cu Fsg ( o versiune anterioara ) , ( stands for : [F]ast [S]mall [G]ood File Packer ) sunt detectate si adaugate in carantina de catre nod32 ceea ce este oarecum o crima , asta pentru ca e absolut evindent ca in momentul in care ai scris in orice limbaj un executabil pentru win32 care va fi encriptat cu FSG ulterior va devenii „un virus ” , si din asta reiese ca vor aparea sute de mii de detectari false , imi aduc amntie atunci cand upx-ul a avut un conflict cunoscut cu cateva firme dezvoltatoare de anti virus pe motivul ca toate executabilele encriptate cu upx erau detectate ca virusi , acum sa ne intelegem e logic ca la o encriptare unui executabil exista posibilitatea ( aproape certa ) ca semnatura sa se schimbe dar evident ca diferite executabile encriptate cu acelas algoritm nu o sa aiba semnaturi asemenea , din acest fapt ne putem da seama ca un virus va trebui catalogat cu mai multe semnaturi fiecare fiind rezultat diferit al unui cunoscut algoritm de encriptare , dar de cele mai multe ori desi rezultatul criptarii a doua executabile diferite cu acelas algoritm este doua semnaturi diferite , aceste semnaturi nu sunt totalmente diferite ele au in comun o foarte mica parte care apare in toate semnaturile executabililor ce au fost criptati cu acelas algoritm , iar daca noi declaram in baza de semnaturi a anti-virusului acel mic segment ca fragment al unei semnaturi de virus ca fiind virus toate executabilele encriptate cu acelas algoritm for fi detectate ca virus …
Ce multi nu stiu e ca o semnatura nu trebuie sa aiba neaparat aceias marime ea fiind limitata doar de o marime maxima insa poate fi mai mica decat marimea maxima , am mentionat mai sus : ” algoritme cunoscute ” si ma reintrc cu o intrebare daca cineva face un algoritm „necunoscut” si il pune in aplicatie ce se intampla ? ….
Cred ca stiti deja ce , iar acel ceva este un motiv in plus pentru dezvoltatorii de AV sa detecteze un intreg algoritm nu doar o semnatura , lucru blamabil sa nu uitam ca encriptarea nu are ca singur scop „ascunderea” virusilor , multi il folosesc pentru micsorarea codului si pentru ingreunarea debuggingului , adica exemplu concret : sa ne imaginam ca suntem niste crackeri , si am reusit ca la un produs comercial sa ii gasim algoritmul de generare a cheilor de inregistrare , acum urmatorul nostu pas e sa producem si sa publicam un keyloger ( lucru realmente ilegal ) , evident acum putem sa ne gandim ca cei care au creat programul vor incerca sa vada cum functioneaza keylogerul sau patcherul nostru ca sa se paota proteja pe viitor , iar noi nu vrem asa ceva , asa ca securizam keylogerul sau patcherul cu un algoritm lucru ce ii va face viata mai grea celui ce incearca sa desluseasca ce face acel executabil .

Diferentele dintre doaua semnaturi ale aceluias executabil encriptat cu o versiune precedent(detectata) si cea actuala (nedetectata) :

Cea actuala :

File name: D:\crk\test\keygen2.exe
File size: 36KB

0000: 4D 5A 00 00 00 00 00 00 00 00 00 00 50 45 00 00  MZ..........PE..
0010: 4C 01 02 00 46 53 47 21 00 00 00 00 00 00 00 00  L...FSG!........
0020: E0 00 0F 01 0B 01 00 00 00 40 00 00 00 BC 00 00  .........@......
0030: 00 00 00 00 54 01 00 00 00 10 00 00 0C 00 00 00  ....T...........
0040: 00 00 40 00 00 10 00 00 00 02 00 00 04 00 00 00  ..@.............
0050: 00 00 00 00 04 00 00 00 00 00 00 00 00 D0 01 00  ................
0060: 00 02 00 00 00 00 00 00 02 00 00 00 00 00 10 00  ................
0070: 00 10 00 00 00 00 10 00 00 10 00 00 00 00 00 00  ................
0080: 10 00 00 00 00 00 00 00 00 00 00 00 E4 BF 01 00  ................
0090: 84 00 00 00 00 30 01 00 A8 08 00 00 00 00 00 00  .....0..........
00A0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
00B0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
00C0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
00D0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
00E0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
00F0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................

Cea veche Detectata ca virus :

File name: D:\vir\test\keygen.exe
File size: 36KB

0000: 4D 5A 00 00 00 00 00 00 00 00 00 00 50 45 00 00  MZ..........PE..
0010: 4C 01 02 00 46 53 47 21 00 00 00 00 00 00 00 00  L...FSG!........
0020: E0 00 0F 01 0B 01 00 00 00 40 00 00 00 BC 00 00  .........@......
0030: 00 00 00 00 54 01 00 00 00 10 00 00 0C 00 00 00  ....T...........
0040: 00 00 40 00 00 10 00 00 00 02 00 00 04 00 00 00  ..@.............
0050: 00 00 00 00 04 00 00 00 00 00 00 00 00 D0 01 00  ................
0060: 00 02 00 00 00 00 00 00 02 00 00 00 00 00 10 00  ................
0070: 00 10 00 00 00 00 10 00 00 10 00 00 00 00 00 00  ................
0080: 10 00 00 00 00 00 00 00 00 00 00 00 E8 BF 01 00  ................
0090: 84 00 00 00 00 30 01 00 AC 08 00 00 00 00 00 00  .....0..........
00A0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
00B0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
00C0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
00D0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
00E0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
00F0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................

Dupa cum se observa diferentele sunt foarte greu de sesizat ..

Exemplu concret la ultima varianta de StarDock ObjectDock exista pe interenet un patcher facut de Embrace , acum eu stiu care crackeri sunt de buna credinta si ale caror creatii nu sunt virusi , adica sa fim seriosi echipe ca BNK , SSG , FFF , Virility , Again , SND si multi altii sunt echipe active de ani de zile care au spart zeci de mii de programe , unele din executabilele lor sunt detectate pentru ca uneori le encripteaza , ar trebui sa scanati cu peid ca sa stiti daca nu cumva executabilul are o semnatura cunoscuta a vreunui packer , si daca are faceti un unpack ca sa nu mai fie detetctat ca virus …

Dar un lucru e clar la crack sau keygen daca e sa va ardeti , tot va ardeti cu toate AV-urile din lume , e clar ca executabilele care sunt keygen/crack/pacther sunt create de la 0 si sunt unice , din aceasta cauza mai bine de 90/100 dintre keygenuri si crackuri nu sunt detectate de AV si daca e sa fie virus tot va-ti ars … asa ca … AV-urile NU DETERMINA NIMIC CORECT LA SCANAREA EXECUTABILELOR FACUTE DE CRACKERI …..

Share the joy

Leave a Reply