Peguei o post abaixo no blog do Luiz Viera, pois eu achei bem interessante.
O pessoal do Security Labs desenvolveu um script bem interessante pronto para rodar no Backtrack.
O mais interessante, é que as técnicas de evasão aplicadas por tal script, funcionam não apenas em antivírus, mas também em Firewalls e Sistemas de Detecção de Intrusão (IDS).
É interessante dar uma olhada para ver quantos antivírus o script conseguiu burlar: http://virusscan.jotti.org/en/scanresult/a974be8a357cf4f13df8e94ca89ee4ecb89fb1da
Para compilar e gerar o payload malicioso e aplicar o script para torná-lo indectável, é necessário ter alguns pacotes instalados previamente. Para tanto, basta executar o seguinte comando:
# apt-get install mingw32-runtime mingw-w64 mingw gcc-mingw32 mingw32-binutils
Com os pacotes instalados, precisamo copiar o script baixado para o diretório do Metasploit e executá-lo (/pentest/exploits/framework).
O que é preciso prestar atenção, é que esse script por padrão gera um payload de conexão reversa via TCP, mas isso pode ser alterado editando o script e alterando algumas opções. Para quem já conhece o funcionamento do MSFpayload isso é bem tranquilo 😉
Para baixar o script, basta clicar aqui.
Gustavo Roberto
13 dez 2011Na verdade, este script não tem nada de novo, inclusive ele foi chupado do site http://astr0baby.wordpress.com/2011/11/09/bypassing-antivirus-somehow/.
E quanto a detecção, um antivírus mal configurado até pode engolir esse payload, agora com ele bem configurado não passa.
Abraços !
Le0VilleMS
13 dez 2011E depois de tudo isso, tem que marcar o vanish.sh como executável 😉
SuporteDev
17 dez 2011O que você quer dizer com um antivírus mal configurado? não é só atualizar e pronto?
Gustavo Lima
17 dez 2011nops.. tem muita gente que tem a mania de tirar alguns diretórios e arquivos do radar da ferramenta e é aí que mora o perigo
Demo Bill
10 jan 2012Alguem conseguiu instalar a versao 64bits?
Pois uso backtrack 5 r1 64bits.
Wairisson
28 abr 2012Testado personalizado e aprovado, testem também o crypter.py!!!!
wesley
6 ago 2013o download esta fora do ar :/