Nova geração de usuários, malwares indetectáveis, etc

whit3_sh4rk · 10 de April , 2007, 06:02:17 PM

Olá pessoal, resolvi postar este tópico com a intenção de sanar algumas dúvidas, evitar alguns tipos de posts/comentários e tentar abrir os olhos de algumas pessoas.

Atualmente a galera está pensando que o motivo principal da ferramenta ser boa ou não, é se ela é indetectável..
E isso realmente está virando moda.. quem já está nesse "mundo" à algum tempo, percebe que vem muita gente que mal sabe mexer no Windows, nem sequer sabe fuçar no registro, prompt, etc.. E está atrás dessas ferramentas.. Principalmente os keyloggers.. porque parece que virou febre querer pegar senhas alheias(orkut, msn, etc)..

É a famosa nova geração da informática.. usuários com conhecimentos básicos.. porém querem fazer coisas avançadas.. e aí o que acontece é que há uma espécie de desvio na linha de aprendizado e conhecimento deles..

NOOB -> CURIOSO -> FUÇADOR -> INTERMEDIÁRIO -> AVANÇADO

Isso é apenas uma demonstração não levem ao pé da letra esse esquema..

Simplesmente o usuário quer passar de:

NOOB -> CURIOSO -> FUÇADOR -> INTERMEDIÁRIO -> AVANÇADO = LAMMER

Esse tipo de usuário pega informações mastigadas, são os famosos sangue-sugas, pidões, malas, etc..
Que quando baixam um programa da internet nem se quer dão o trabalho de ler e tentar entender as funções, simplesmente saem igual entrevistadores, perguntando para toda sua lista de contato, blood-friends, etc.. Inventei esse termo agora aauauhahu, mas são amigos de sangue.. apenas são de importância quando esses usuários conseguem sugar algo deles..
E em consequência disso tudo, esse tipo de usuário fica preguiçoso ao ponto de não tentar solucionar os seus problemas e nem aprender algo sozinho.. simplesmente vira um dependente.. e não adianta mandar links do google que eles provavelmente não devem saber o que fazer..

Aos mais experientes, tentem não cultivar esse tipo de usuário.. quer ajudar? Dê dicas.. mesmo sabendo, não explique tudo.. de fonte de pesquisa, sites pra pessoa ler.. Isso está aumentando monstruosamente..

Voltando ao assunto dos indetectáveis.. agora tanto voltado para iniciantes e para quem já entende e ainda não sabe..

O processo padrão de detecção dos AVs era via banco de dados.. então era encontrado apenas os malwares que estavam catalogados nesse banco.. Porém as coisas evoluiram e então muitos dos AV atuais adotaram o método de detecção conhecido como Heurística.. Que resumidamente detecta malwares que não estão catalogados, são detectados ações maliciosas ou algo que represente algum dano ao sistema.. A única desvantagem disso seria os alarmes falsos.. porque pode detectar como suspeito, algum arquivo "inocente"... Exemplos desses antivírus, seria NOD32, BitDefender, AntiVir, etc..

Todo malware, no estilo trojan(rat), keylogger, bot, etc.. que seja público, será DETECTÁVEL em pouco período de tempo.. principalmente os feitos pelo underground gringo.. como por exemplo criadores do ProRAT, Bifrost, Poison Ivy, etc..
Existem os espiões de empresas de AV que frequentam os fóruns, etc.. para ficar por dentro dessas ferramentas e poder detectá-la assim mais rapidamente do que seu concorrente, etc..
E também existem os famosos HoneyPots.. o mais conhecido de todos é o VIRUS TOTAL.. não adianta marcar opção para "não distribuir" para as empresas, que isso é apenas ilusão, de qualquer maneira o arquivo passa pelas empresas de antivírus.. e se é um malware, se tornará detectável pouco tempo..

Como ter ferramenta indetectável então? Crie, compre, modifique-a.. são as alternativas que você tem..
Como fazer isso? Se vire

Existem outras alternativas também... hoje o pessoal quer tudo na mão.. e onde fica a famosa Engenharia Social(SEing) ??
Antigamente com antivírus, eu por exemplo, quando mexia com isso, já consegui algumas vezes fazer a vítima desativar ou até mesmo desinstalar seu antivírus para poder executar o que eu havia lhe mandado..

A questão é apenas querer e fazer o possível para conseguir, atualmente esse tipo de coisa fica mais difícil pq a informação está antigindo bastante usuários mais leigos, então mtos já tomam cuidado ao abrir programas, tem noção sobre antivírus, etc..
Porém, aprendam com a frase: "Nada se perde, nada se cria, tudo se transforma".. Adaptem para os tempos atuais.. recursos é o que não falta.. mas o melhor recurso mesmo é você mesmo.

Provavelmente o tipo de usuário(nova geração) que citei no texto, olhará para o tamanho desse texto e não irá ler.. mas para quem ler, espero que tenha tirado algo de bom..

Obs: Era pra ser apenas sobre um assunto, mas veio as idéias e tive que escrevê-las..

[]s

rog · 10 de April , 2007, 06:25:10 PM

acho que vc esta certo

a atitude e tudo na vida e um lammer tem que ser esbofeteado

no entanto tem que ver que os avs evoluiram bastante e fica a cada vez mais dificil de escapar a heuristica avançada

um dos pai da indeteçao e ide spinner que estava fora da sena mas dize que esta de volta os tuts dele estao disponiveis no net
um outro pais da indeteçao e o execco (uk splitter) tambem esta fora (agora e papai) mas o prog dele e os tuts tambem estao na net
tem o senna spy que esta desaparecido mas pode procurar por tuts dele

tem eu que fez o av_tester, o tut e em ingles e eu vou releasar ele

depis disso tem os packers/crypters, os boms (termida armadillo) sao pagos e os outros sao detectados na hora que sao publicados

uma versao privada custa 100 à 150$

em breve tera o rog online packer mas eu acho que vou cobrar 1 ou 2 $ para um accesso que da para cryptar um trojan

rog

fize bastante propaganda

lol

#phobia · 10 de April , 2007, 07:52:34 PM

Acho que não tem nem mais o que falar neh...
Vocês já disseram tudo. Deu até pro rog fazer uma propaganda do seu negócio! Huahuahauahua!!!

O trem ta fei mesmo viu... E na minha concepção a tendência é piorar cada vez mais.
A unica coisa que podemos fazer para tentar 'combater' essa febre, é cortando o mal pela raíz!!! xD

Isso ae...
Vlw!

mrx · 10 de April , 2007, 08:00:33 PM

Os lammers são foda..

concordo plenamente com vcs

abraços..

branco · 10 de April , 2007, 09:04:35 PM

isso acontece tambem devido ao grande numero de tutoriais mastigados que fazemos, é um ponto a pensar..troquei de msn pelo fato de muito 'folgado' querer tudo mastigado, não é atoa que pouquissimos na real sabem algo sobre mim, até porque existem esse tipo de pessoas por todo lado...' meu computador deu problema concerta pra mim ??'
formatei pc pra um conhecido e direto ele liga agora falando que o computador deu problema e até parece que o problema é meu...

vo mandar fazer uma camisa com a frase 'aprenda, não peça', só assim vao ter desconfiometro...

até mais

Mental_Way · 11 de April , 2007, 12:14:11 AM

Mando bem whit3_sh4rk,

Realmente colocou o assunto de forma bem clara, para quem esta começando...

Isso facilita a vida de muita gente no msn..

Sua opnião foi elemento forte dentro do texto..

Sem +...

HadeS · 12 de April , 2007, 05:00:49 PM

Realmente, muito legal whit3_sh4rk.

Só também acho que temos que ter um pouco de compreensão, pois acho que todos nós já tivemos essa fase. Como o rog disse, realmente têm uns que merecem apanhar, mas acho que devemos pensar antes de mandar um cara um pouco menos provido de informação que agente pra algum lugar, acho que temos é que abrir os olhos dessas pessoas, assim eles vão saber se têm ou não condições de ficar de verdade no dito "Underground".

HadeS

insanity · 12 de April , 2007, 07:01:53 PM

Quote from: "HadeS"Realmente, muito legal whit3_sh4rk.

Só também acho que temos que ter um pouco de compreensão, pois acho que todos nós já tivemos essa fase. Como o rog disse, realmente têm uns que merecem apanhar, mas acho que devemos pensar antes de mandar um cara um pouco menos provido de informação que agente pra algum lugar, acho que temos é que abrir os olhos dessas pessoas, assim eles vão saber se têm ou não condições de ficar de verdade no dito "Underground".

HadeS

O pessoal pode falar que eu estou querendo aparecer, mais quando eu começei no underground ja tinha um base, e não fiquei enchendo o saco de ninguem hehe ;P, entao nao passei por essa faze hehe
Nunca gostei de ficar usando ferramentas dos outros e tal, claro que algumas a gente usa porque ficar inventando a roda ? hehe

Mais é tipo, quando o numero de White hats, o underground começou acabar e tal, sites com security focus, milw0rm ( tem um papers otimos nesse site ) dentre outros, fazem o cara sempre ficar como lammers e tal....

Entao é isso, quando o pessoal parar de postar exploits, se publicar um trojan ou backdoor , colocar o codigo fonte, a coisa começa a melhora....

Publicar uma ferramenta sem codigo fonte, para min é a mesma coisa de nada ....