Bienvenidos al nuevo foro de hackplayers. En caso de encontrarse cualquier tipo de error, contacte con cualquier administrador por mensaje privado.
Recuerda que, para incrementar tu privacidad, tambien puedes acceder al foro usando el dominio forohpysho2t5mjs.onion de la red tor.

AntiFooling, simula que tu máquina es virtual para que el malware no se ejecute

vis0rvis0r
en Defense tools Administrator Vote Up5Vote Down
Hoy nos llegaba una petición de un amigo en nuestro grupo de Telegram para que echáramos un vistazo a una herramienta publicada por Scorpio en Indetectables, concretamente AntiFooling.

AntiFooling es una sencilla pero útil herramienta hecha con AutoIt para simular que un sistema Windows es una máquina virtual, pero ¿para qué?. Pues hoy en día la mayoría del malware es analizado dinámicamente en máquinas virtuales y sandboxes, por lo que el software malicioso suele implementar medidas que lo detectan y detienen su ejecución en tal caso. Por lo tanto, si "engañamos" al malware para que crea que está en un entorno de análisis de este tipo podremos conseguir que tampoco se ejecute en nuestra máquina, obteniendo así un eficaz "antivirus".

Por el momento, AntiFooling puede simular ser un sistema virtualizado con VirtualBox o VMWare, para lo cuál utiliza los siguientes artefactos:

Processes:
'VBoxService.exe' (VBOX)
'VBoxTray.exe' (VBOX)
'VMwareUser.exe' (VMWARE)
'VMwareTray.exe' (VMWARE)
'VMUpgradeHelper.exe' (VMWARE)
'vmtoolsd.exe' (VMWARE)
'vmacthlp.exe' (VMWARE)

Files:
@WindowsDir & '\System32\drivers\VBoxMouse.sys' (VBOX)
@WindowsDir & '\System32\drivers\VBoxGuest.sys' (VBOX)
@WindowsDir & '\System32\drivers\VBoxSF.sys' (VBOX)
@WindowsDir & '\System32\drivers\VBoxVideo.sys' (VBOX)
@WindowsDir & '\System32\vboxdisp.dll' (VBOX)
@WindowsDir & '\System32\vboxhook.dll' (VBOX)
@WindowsDir & '\System32\vboxmrxnp.dll' (VBOX)
@WindowsDir & '\System32\vboxogl.dll' (VBOX)
@WindowsDir & '\System32\vboxoglarrayspu.dll' (VBOX)
@WindowsDir & '\System32\vboxoglcrutil.dll' (VBOX)
@WindowsDir & '\System32\vboxoglerrorspu.dll' (VBOX)
@WindowsDir & '\System32\vboxoglfeedbackspu.dll' (VBOX)
@WindowsDir & '\System32\vboxoglpackspu.dll' (VBOX)
@WindowsDir & '\System32\vboxoglpassthroughspu.dll' (VBOX)
@WindowsDir & '\System32\VBoxService.exe' (VBOX)
@WindowsDir & '\System32\VBoxTray.exe' (VBOX)
@WindowsDir & '\System32\VBoxControl.exe' (VBOX)
@WindowsDir & '\System32\drivers\vmmouse.sys' (VMWARE)
@WindowsDir & '\System32\drivers\vmhgfs.sys' (VMWARE)
@ProgramFilesDir & '\VMWare\VMware Tools\VMwareUser.exe' (VMWARE)
@ProgramFilesDir & '\VMWare\VMware Workstation\VMwareTray.exe' (VMWARE)
@ProgramFilesDir & '\VMWare\VMware Tools\VMUpgradeHelper.exe' (VMWARE)
@ProgramFilesDir & '\VMWare\VMware Tools\vmtoolsd.exe' (VMWARE)
@ProgramFilesDir & '\VMWare\VMware Tools\vmacthlp.exe' (VMWARE)

Directories:
@ProgramFilesDir & '\Oracle\Virtualbox Guest Additions\' (VBOX)
@ProgramFilesDir & '\VMWare\' (VMWARE)
@ProgramFilesDir & '\VMWare\VMware Tools' (VMWARE)
@ProgramFilesDir & '\VMWare\VMware Workstation' (VMWARE)

Por el momento, añade sólo técnicas Anti-Virtualización, pero también se le puede hacer creer al malware que esta siendo debuggeado o emulado para prevenir su ejecución en equipos legítimos.

Descarga:
-Compilados x64 & x86: https://www.sendspace.com/file/rph4dh
-Source Code (AutoIt): https://www.sendspace.com/file/lvdx2x

Documentación:
-http://www.xylibox.com/2011/05/anti-vmware.html
-https://github.com/LordNoteworthy/al-khaser

En grupo se divide el trabajo y se multiplican los resultados.
Etiquetado:
Accede o Regístrate para comentar.