On avait crie' au canular, en fait, c'est un fantome :
http://valgasu.rstack.org/casper/
Je n'ai absolument rien contre le developpement de POC, mais
la prochaine fois qu'on viendra sur ce forum demander si ce sont
les editeurs d'anti-virus qui font les malwares...refrechissez bien
avant de repondre :
Je n'ose pas imaginer que ce code puisse etre inclus dans une
version quelconque d'Agobot (brrrr...).
Ah, j'oubliais. Heuristiques vs Furtivite' : 1 - 0
351 ms D:\Tmp\casper\Release\hook.exe Virus W32/Malware ( [
General information ]
* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO -
REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.
* File length: 53248 bytes.
[ Process/window information ]
* Enumerates running processes.
* Modifies other process memory.
* Creates a remote thread.
)
--
Tweakie
--
Posté via http://www.webatou.net/
Usenet dans votre navigateur !
Complaints-To: abuse@webatou.net
On avait crie' au canular, en fait, c'est un fantome :
http://valgasu.rstack.org/casper/
Je n'ai absolument rien contre le developpement de POC, mais la prochaine fois qu'on viendra sur ce forum demander si ce sont les editeurs d'anti-virus qui font les malwares...refrechissez bien avant de repondre :
Je lis: "Il fait partie en outre d'un groupe nommé RSTACK composé de passionnés de sécurité informatique. Plusieurs de ses divers projets de développement sont accessibles sur le site http://valgasu.rstack.org"
Il y en a des choses mises à disposition sur ce site:
evilin.chm/stream est infecté par le virus TrojanDropper.VBS.Madmax evil.html est infecté par le virus TrojanDropper.VBS.Madmax codebase.html est peut-être infecté par un virus Exploit.CodeBaseExec external.html est peut-être infecté par un virus Exploit.CodeBaseExec assign.html est peut-être infecté par un virus Exploit.CodeBaseExec evilfile.hta est infecté par le virus TrojanDropper.VBS.Inor.ax ph_ping.exe est infecté par le virus HackTool.Win32.PhatomPing whitecane.exe est un cheval de Troie Trojan.Win32.WitchAnee.a
Roland Garcia
On avait crie' au canular, en fait, c'est un fantome :
http://valgasu.rstack.org/casper/
Je n'ai absolument rien contre le developpement de POC, mais
la prochaine fois qu'on viendra sur ce forum demander si ce sont
les editeurs d'anti-virus qui font les malwares...refrechissez bien
avant de repondre :
Je lis:
"Il fait partie en outre d'un groupe nommé RSTACK composé de passionnés
de sécurité informatique. Plusieurs de ses divers projets de
développement sont accessibles sur le site http://valgasu.rstack.org"
Il y en a des choses mises à disposition sur ce site:
evilin.chm/stream est infecté par le virus TrojanDropper.VBS.Madmax
evil.html est infecté par le virus TrojanDropper.VBS.Madmax
codebase.html est peut-être infecté par un virus Exploit.CodeBaseExec
external.html est peut-être infecté par un virus Exploit.CodeBaseExec
assign.html est peut-être infecté par un virus Exploit.CodeBaseExec
evilfile.hta est infecté par le virus TrojanDropper.VBS.Inor.ax
ph_ping.exe est infecté par le virus HackTool.Win32.PhatomPing
whitecane.exe est un cheval de Troie Trojan.Win32.WitchAnee.a
On avait crie' au canular, en fait, c'est un fantome :
http://valgasu.rstack.org/casper/
Je n'ai absolument rien contre le developpement de POC, mais la prochaine fois qu'on viendra sur ce forum demander si ce sont les editeurs d'anti-virus qui font les malwares...refrechissez bien avant de repondre :
Je lis: "Il fait partie en outre d'un groupe nommé RSTACK composé de passionnés de sécurité informatique. Plusieurs de ses divers projets de développement sont accessibles sur le site http://valgasu.rstack.org"
Il y en a des choses mises à disposition sur ce site:
evilin.chm/stream est infecté par le virus TrojanDropper.VBS.Madmax evil.html est infecté par le virus TrojanDropper.VBS.Madmax codebase.html est peut-être infecté par un virus Exploit.CodeBaseExec external.html est peut-être infecté par un virus Exploit.CodeBaseExec assign.html est peut-être infecté par un virus Exploit.CodeBaseExec evilfile.hta est infecté par le virus TrojanDropper.VBS.Inor.ax ph_ping.exe est infecté par le virus HackTool.Win32.PhatomPing whitecane.exe est un cheval de Troie Trojan.Win32.WitchAnee.a
Roland Garcia
Roland Garcia
Il y en a des choses mises à disposition sur ce site:
Je sais, j'y ai fait une descente il y a quelques jours :o)
Ce Casper est détecté? j'ai rien pour compiler là :-(
Si quelqu'un qui l'a compilé peut me l'envoyer.....
Roland Garcia
Il y en a des choses mises à disposition sur ce site:
Je sais, j'y ai fait une descente il y a quelques jours :o)
Ce Casper est détecté? j'ai rien pour compiler là :-(
Si quelqu'un qui l'a compilé peut me l'envoyer.....
Il y en a des choses mises à disposition sur ce site:
Je sais, j'y ai fait une descente il y a quelques jours :o)
Ce Casper est détecté? j'ai rien pour compiler là :-(
Si quelqu'un qui l'a compilé peut me l'envoyer.....
Roland Garcia
joke0
Salut,
Roland Garcia:
Ce Casper est détecté? j'ai rien pour compiler là :-(
Je ne me suis pas occupé de Casper, je n'avais pas le compilo adéquat (MSVC++).
Tiens, dans un fichier "inject.opt", on trouve la mention d'un répertoire sur le disque du créateur: C:ConferenceBlack Hat Europe 2004DemoMultiple Injection
-- joke0
Salut,
Roland Garcia:
Ce Casper est détecté? j'ai rien pour compiler là :-(
Je ne me suis pas occupé de Casper, je n'avais pas le compilo
adéquat (MSVC++).
Tiens, dans un fichier "inject.opt", on trouve la mention d'un
répertoire sur le disque du créateur:
C:ConferenceBlack Hat Europe 2004DemoMultiple Injection
Ce Casper est détecté? j'ai rien pour compiler là :-(
Je ne me suis pas occupé de Casper, je n'avais pas le compilo adéquat (MSVC++).
Tiens, dans un fichier "inject.opt", on trouve la mention d'un répertoire sur le disque du créateur: C:ConferenceBlack Hat Europe 2004DemoMultiple Injection
-- joke0
Roland Garcia
joke0 nous disait :
Roland Garcia:
Ce Casper est détecté? j'ai rien pour compiler là :-(
Je ne me suis pas occupé de Casper, je n'avais pas le compilo adéquat (MSVC++).
Non lui et son "copain" Spooky ne sont pas détectés par Norton à jour. Si cela vous intéresse je peux vous faire parvenir les binaires.
Ca nous intéresse.
joke0 nous disait :
Roland Garcia:
Ce Casper est détecté? j'ai rien pour compiler là :-(
Je ne me suis pas occupé de Casper, je n'avais pas le compilo
adéquat (MSVC++).
Non lui et son "copain" Spooky ne sont pas détectés par Norton à jour.
Si cela vous intéresse je peux vous faire parvenir les binaires.
Non lui et son "copain" Spooky ne sont pas détectés par Norton à jour. Si cela vous intéresse je peux vous faire parvenir les binaires.
Ca nous intéresse.
Envoye' a l'instant (a tous les deux).
"spooky" n'est en fait qu'un "Hello world" mode c0wb0yZ (de 24 ko tout de meme, merci Visual C++ !) destine' a etre webdownloade'.
-- Tweakie
-- Posté via http://www.webatou.net/ Usenet dans votre navigateur ! Complaints-To:
AMcD®
Heu, je parcours un peu à 100 à l'heure, là, mais qu'est-ce qui est furtif ???
Déjà, une recherche de PID par CreateToolhelp32Snapshot() c'est trop discret de la mort... Ensuite, le chargement de kernel32.dll via LoadLibrary(), trop de la balle ! Un chtit driver kernel, tu hookes les fonctions genre VirtualAllocEx et compagnie et plié l'affaire.
Aurais-je loupé quelque chose ? Bon, en même temps, j'y ai passé 15'...
-- AMcD®
http://arnold.mcdonald.free.fr/
Heu, je parcours un peu à 100 à l'heure, là, mais qu'est-ce qui est furtif
???
Déjà, une recherche de PID par CreateToolhelp32Snapshot() c'est trop discret
de la mort... Ensuite, le chargement de kernel32.dll via LoadLibrary(), trop
de la balle ! Un chtit driver kernel, tu hookes les fonctions genre
VirtualAllocEx et compagnie et plié l'affaire.
Aurais-je loupé quelque chose ? Bon, en même temps, j'y ai passé 15'...
Heu, je parcours un peu à 100 à l'heure, là, mais qu'est-ce qui est furtif ???
Déjà, une recherche de PID par CreateToolhelp32Snapshot() c'est trop discret de la mort... Ensuite, le chargement de kernel32.dll via LoadLibrary(), trop de la balle ! Un chtit driver kernel, tu hookes les fonctions genre VirtualAllocEx et compagnie et plié l'affaire.
Aurais-je loupé quelque chose ? Bon, en même temps, j'y ai passé 15'...
-- AMcD®
http://arnold.mcdonald.free.fr/
AMcD®
Sans parler du très discret (et à peine connu) CreateRemoteThread()...
-- AMcD®
http://arnold.mcdonald.free.fr/
Sans parler du très discret (et à peine connu) CreateRemoteThread()...
Sans parler du très discret (et à peine connu) CreateRemoteThread()...
-- AMcD®
http://arnold.mcdonald.free.fr/
NO_eikaewt_SPAM
AMcD® wrote:
Heu, je parcours un peu à 100 à l'heure, là, mais qu'est-ce qui est furtif ???
Déjà, une recherche de PID par CreateToolhelp32Snapshot() c'est trop discret de la mort... Ensuite, le chargement de kernel32.dll via LoadLibrary(), trop de la balle ! Un chtit driver kernel, tu hookes les fonctions genre VirtualAllocEx et compagnie et plié l'affaire.
C'est furtif vis-a-vis des firewall persos *existants* (cela dit, faudrait tester avec SSM).
Aurais-je loupé quelque chose ? Bon, en même temps, j'y ai passé 15'...
Ils detournent (entre autre) des fonctions de Winsock pour pouvoir communiquer avec l'exterieur, et s'injectent dans un autre process puis tuent le process initial pour rester discrets. Mais bon, j'ai ete' agreablement surpris de constater que Norman detecte un truc fraichement compile' comme ca, c'est la furtivite' qui en a pris un coup :-D
-- Tweakie
-- Posté via http://www.webatou.net/ Usenet dans votre navigateur ! Complaints-To:
AMcD® wrote:
Heu, je parcours un peu à 100 à l'heure, là, mais qu'est-ce qui est furtif
???
Déjà, une recherche de PID par CreateToolhelp32Snapshot() c'est trop discret
de la mort... Ensuite, le chargement de kernel32.dll via LoadLibrary(), trop
de la balle ! Un chtit driver kernel, tu hookes les fonctions genre
VirtualAllocEx et compagnie et plié l'affaire.
C'est furtif vis-a-vis des firewall persos *existants* (cela dit, faudrait
tester avec SSM).
Aurais-je loupé quelque chose ? Bon, en même temps, j'y ai passé 15'...
Ils detournent (entre autre) des fonctions de Winsock pour pouvoir
communiquer avec l'exterieur, et s'injectent dans un autre process puis
tuent le process initial pour rester discrets. Mais bon, j'ai ete'
agreablement surpris de constater que Norman detecte un truc
fraichement compile' comme ca, c'est la furtivite' qui en a pris un
coup :-D
--
Tweakie
--
Posté via http://www.webatou.net/
Usenet dans votre navigateur !
Complaints-To: abuse@webatou.net
Heu, je parcours un peu à 100 à l'heure, là, mais qu'est-ce qui est furtif ???
Déjà, une recherche de PID par CreateToolhelp32Snapshot() c'est trop discret de la mort... Ensuite, le chargement de kernel32.dll via LoadLibrary(), trop de la balle ! Un chtit driver kernel, tu hookes les fonctions genre VirtualAllocEx et compagnie et plié l'affaire.
C'est furtif vis-a-vis des firewall persos *existants* (cela dit, faudrait tester avec SSM).
Aurais-je loupé quelque chose ? Bon, en même temps, j'y ai passé 15'...
Ils detournent (entre autre) des fonctions de Winsock pour pouvoir communiquer avec l'exterieur, et s'injectent dans un autre process puis tuent le process initial pour rester discrets. Mais bon, j'ai ete' agreablement surpris de constater que Norman detecte un truc fraichement compile' comme ca, c'est la furtivite' qui en a pris un coup :-D
-- Tweakie
-- Posté via http://www.webatou.net/ Usenet dans votre navigateur ! Complaints-To:
NO_eikaewt_SPAM
joke0 wrote:
On va faire un mailing spécial labos ;o)
joke0 at tiscali.fr
Heu, tu devrais l'avoir recu sur ton autre adresse mail, normalement.
-- Tweakie
-- Posté via http://www.webatou.net/ Usenet dans votre navigateur ! Complaints-To:
joke0 wrote:
On va faire un mailing spécial labos ;o)
joke0 at tiscali.fr
Heu, tu devrais l'avoir recu sur ton autre adresse mail,
normalement.
--
Tweakie
--
Posté via http://www.webatou.net/
Usenet dans votre navigateur !
Complaints-To: abuse@webatou.net
Heu, tu devrais l'avoir recu sur ton autre adresse mail, normalement.
-- Tweakie
-- Posté via http://www.webatou.net/ Usenet dans votre navigateur ! Complaints-To:
AMcD®
Tweakie wrote:
C'est furtif vis-a-vis des firewall persos *existants*
Soyons sérieux ! Tu sais très bien que la quasi-totalité des FW sont un peu "léger" niveau sécurité quand même !! Il faut des outils complémentaires et spécifiques. Comme dit plus haut, au pire tu hookes les fonctions genre CreateRemoteThread() via un driver kernel (et encore, même pas besoin d'aller jusque là !) et cela fera coin-coin dès qu'un CreateRemotethread() surgira. J'en ai déjà parlé dans un post récemment au sujet de SSM avecJjack et c'est fait et démontré depuis au moins 1 an et demi-deux ans
(cela dit, faudrait tester avec SSM).
Doit pas se laisser avoir si facilemnt.
Ils detournent (entre autre) des fonctions de Winsock pour pouvoir communiquer avec l'exterieur, et s'injectent dans un autre process puis tuent le process initial pour rester discrets. Mais bon, j'ai ete' agreablement surpris de constater que Norman detecte un truc fraichement compile' comme ca, c'est la furtivite' qui en a pris un coup :-D
Oui, oui, j'ai vu le code. En 15' ça suffit je te rassure :o). Mais bon, c'est pas avec ça que tu vas faire du furtif. MDR.
-- AMcD®
http://arnold.mcdonald.free.fr/
Tweakie wrote:
C'est furtif vis-a-vis des firewall persos *existants*
Soyons sérieux ! Tu sais très bien que la quasi-totalité des FW sont un peu
"léger" niveau sécurité quand même !! Il faut des outils complémentaires et
spécifiques. Comme dit plus haut, au pire tu hookes les fonctions genre
CreateRemoteThread() via un driver kernel (et encore, même pas besoin
d'aller jusque là !) et cela fera coin-coin dès qu'un CreateRemotethread()
surgira. J'en ai déjà parlé dans un post récemment au sujet de SSM avecJjack
et c'est fait et démontré depuis au moins 1 an et demi-deux ans
(cela dit,
faudrait tester avec SSM).
Doit pas se laisser avoir si facilemnt.
Ils detournent (entre autre) des fonctions de Winsock pour pouvoir
communiquer avec l'exterieur, et s'injectent dans un autre process
puis
tuent le process initial pour rester discrets. Mais bon, j'ai ete'
agreablement surpris de constater que Norman detecte un truc
fraichement compile' comme ca, c'est la furtivite' qui en a pris un
coup :-D
Oui, oui, j'ai vu le code. En 15' ça suffit je te rassure :o). Mais bon,
c'est pas avec ça que tu vas faire du furtif. MDR.
C'est furtif vis-a-vis des firewall persos *existants*
Soyons sérieux ! Tu sais très bien que la quasi-totalité des FW sont un peu "léger" niveau sécurité quand même !! Il faut des outils complémentaires et spécifiques. Comme dit plus haut, au pire tu hookes les fonctions genre CreateRemoteThread() via un driver kernel (et encore, même pas besoin d'aller jusque là !) et cela fera coin-coin dès qu'un CreateRemotethread() surgira. J'en ai déjà parlé dans un post récemment au sujet de SSM avecJjack et c'est fait et démontré depuis au moins 1 an et demi-deux ans
(cela dit, faudrait tester avec SSM).
Doit pas se laisser avoir si facilemnt.
Ils detournent (entre autre) des fonctions de Winsock pour pouvoir communiquer avec l'exterieur, et s'injectent dans un autre process puis tuent le process initial pour rester discrets. Mais bon, j'ai ete' agreablement surpris de constater que Norman detecte un truc fraichement compile' comme ca, c'est la furtivite' qui en a pris un coup :-D
Oui, oui, j'ai vu le code. En 15' ça suffit je te rassure :o). Mais bon, c'est pas avec ça que tu vas faire du furtif. MDR.
