Readme:
CODE
Minke 1.0.1
Coded in Delphi7
- by Codius
Disclaimer:
The creator of Minke will in no way be responsible for damages caused by the use
of this program, the program was written for educational use only.
By downloading and/or using this program you agree on this condition.
If there's anything which may prevent you to follow these conditions,
you're not allowed to use this program.
What is Minke?:
Minke is an executable crypter which will encrypt the inputfile to prevent
detection of the original file. When executed the crypted file will decrypt and
load itself into the memory, without dropping anything to the disc.
Sadly, this procedure will add 22kb (+ iconSize) to the file.
Features:
• Loads decrypted file in memory without dropping anything to the disc
• Icon may be changed
• Crypting files with data at the end is supported
Thanks to:
- p0ke
- Shapeless
- redlime
- Aphex
- SweRAT
- famfamfam.com
- Akkie
- Gullb3rg
Codius
www.swerat.com
irc.datawhore.net:6667 #swerat
Just nu är denna UD, när den blir detected kommer en CLI version släppas i Silverforumet.
Click to view attachmentPassword: swerat.com
Gullb3rg
2006-10-15 17:49
Nice bidrag
Tackar
Nice! Ska jävlas med någon senare ;>
Är jag blind eller finns det inget lösenord med i trådstarten?
um.... du måste vara blind.. det finns ju där.. nu
Ah, det var så lätt
Ska kika på denna nu!
Jag har bara varit borta i ett par dagar och redan försöker någon att ta min plats, det trodde jag inte om er.
shapeless
2006-10-15 18:05
Så det är det här du har pillat på?
Funkar ju faktiskt väldigt bra
Här är mina resultat på en pi2-server (lokal scanning):
QUOTE
Ikarus : Last update: 2006-09-24 - scan result: No virus found in specified file
VBA32 : Last update: 2006-09-24 - scan result: No virus found in specified file
F-prot : Last update: 2006-09-24 - scan result: No virus found in specified file
KAV : Last update: 2006-09-24 - scan result: No virus found in specified file
Antivir : Last update: 2006-09-24 - scan result: No virus found in specified file
Mc Afee : Last update: 2006-09-24 - scan result: No virus found in specified file
Dr.Web : Last update: 2006-09-24 - scan result: No virus found in specified file
Norton : Last update: 2006-09-24 - scan result: No virus found in specified file
Bit defender: Last update: 2006-09-24 - scan result: No virus found in specified file
Clam AV : Last update: Unknown - scan result: No virus found in specified file
AVG : Last update: 2006-09-24 - scan result: No virus found in specified file
Panda : Last update: 2006-09-24 - scan result: No virus found in specified file
ETrust : Last update: 2006-09-24 - scan result: No virus found in specified file
Sophos : Last update: 2006-09-24 - scan result: No virus found in specified file
Avira : Last update: 2006-09-24 - scan result: No virus found in specified file
Ewido : Last update: Unknown - scan result: No virus found in specified file
RAV : Last update: Discontinued - scan result: No virus found in specified file
Avast : Last update: Unknown - scan result: OK
Norman : Last update: 2006-09-24 - scan result: No virus found in specified file
nja, detta gjorde jag för någon månad sedan.. har egentligen bara väntat på en ikon, men nu får den där fula duga..
Här är mina resultat från Virustotal:
CODE
Antivirus Version Update Result
AntiVir 7.2.0.30 10.14.2006 no virus found
Authentium 4.93.8 10.13.2006 no virus found
Avast 4.7.892.0 10.13.2006 no virus found
AVG 386 10.14.2006 no virus found
BitDefender 7.2 10.15.2006 no virus found
CAT-QuickHeal 8.00 10.14.2006 no virus found
ClamAV devel-20060426 10.15.2006 no virus found
eTrust-InoculateIT 23.73.22 10.13.2006 no virus found
eTrust-Vet 30.3.3131 10.13.2006 no virus found
DrWeb 4.33 10.15.2006 no virus found
Ewido 4.0 10.15.2006 no virus found
Fortinet 2.82.0.0 10.15.2006 no virus found
F-Prot 3.16f 10.13.2006 no virus found
F-Prot4 4.2.1.29 10.13.2006 no virus found
Ikarus 0.2.65.0 10.13.2006 no virus found
Kaspersky 4.0.2.24 10.15.2006 no virus found
McAfee 4873 10.13.2006 no virus found
Microsoft 1.1603 10.15.2006 no virus found
NOD32v2 1.1804 10.15.2006 no virus found
Norman 5.80.02 10.13.2006 no virus found
Panda 9.0.0.4 10.15.2006 no virus found
Sophos 4.10.0 10.15.2006 no virus found
TheHacker 6.0.1.098 10.14.2006 no virus found
UNA 1.83 10.13.2006 no virus found
VBA32 3.11.1 10.15.2006 no virus found
VirusBuster 4.3.7:9 10.15.2006 no virus found
Tackar! Ungefär hur länge tar det tills den blir detected?
Tjeaaa.. release'a den på chasenet så tar det väl några minuter sen är den detectad
Fint bidrag codius. grats till releasen
good work man >>>
Snyggt jobbat Codius!
NetspaCer
2006-10-17 18:39
Väldigt fint jobbat, tackar så hjärtligt
UD från allt på Virustotal
Gullb3rg
2006-10-17 18:51
QUOTE(NetspaCer @ 2006-10-17 16:50)
Väldigt fint jobbat, tackar så hjärtligt
UD från allt på Virustotal
Glöm inte att inte distrubera(?) till AV. Så får vi den UD en längre tid
Trevligt trevligt, jag ska se på den lite senare! Tackar
fint fint bidrag codius!:D
Grymt!
Tackar!
CODE
AntiVir 7.2.0.31 10.20.2006 no virus found
Authentium 4.93.8 10.20.2006 no virus found
Avast 4.7.892.0 10.19.2006 no virus found
AVG 386 10.19.2006 no virus found
BitDefender 7.2 10.20.2006 DeepScan:Generic.Malware.SE!.512E0A5A
CAT-QuickHeal 8.00 10.19.2006 no virus found
ClamAV devel-20060426 10.20.2006 no virus found
DrWeb 4.33 10.20.2006 no virus found
eTrust-InoculateIT 23.73.30 10.20.2006 no virus found
eTrust-Vet 30.3.3143 10.19.2006 no virus found
Ewido 4.0 10.19.2006 no virus found
Fortinet 2.82.0.0 10.20.2006 no virus found
F-Prot 3.16f 10.20.2006 no virus found
F-Prot4 4.2.1.29 10.19.2006 no virus found
Ikarus 0.2.65.0 10.20.2006 no virus found
Kaspersky 4.0.2.24 10.20.2006 no virus found
McAfee 4877 10.19.2006 BackDoor-CEP.svr
Microsoft 1.1603 10.19.2006 no virus found
NOD32v2 1.1817 10.19.2006 no virus found
Norman 5.80.02 10.19.2006 no virus found
Panda 9.0.0.4 10.19.2006 no virus found
Sophos 4.10.0 10.15.2006 no virus found
TheHacker 6.0.1.101 10.19.2006 Backdoor/CEP
UNA 1.83 10.19.2006 no virus found
VBA32 3.11.1 10.19.2006 no virus found
VirusBuster 4.3.7:9 10.20.2006 no virus found
:/
Den är fortfarande undetected när jag scannar den, vilket program försöker du kryptera?
hehe9011
2006-10-22 02:06
really great~~~!!
Thx....
NetspaCer
2006-10-23 09:30
QUOTE(Gullb3rg @ 2006-10-17 20:02)
Glöm inte att inte distrubera(?) till AV. Så får vi den UD en längre tid
Nejdå, kryssar alltid för 'do not distribute'. Får se hur länge detta håller nu, väldigt fin release =D
player01
2006-10-25 16:24
nu e de nån n00b som gjort den detected:
virus Email-Worm.Win32.Doombot.k
(detta meddelande kom från Kaspersky 6 och då har ja även packat den med MEW efter)
Attans den som va så bra o undetected
Unnamed Scrambler får också detectionen
Backdoor-CEP.svr
Backdoor/CEP
;D blir att haxa om det hela codius, skall jag med göra
tror den inte gillar memory grejsen, får hitta en annan väg
Stubben är väl fortfarande relativt UD? Att McAfee kniper filen tror jag har att göra med att det är bifrost du cryptat, mcafee och thehacker verkar ha blivit experter på bifrost :/
http://forums.chasenet.org//index.php?show...r-CEP\.svr =>
QUOTE
Hi
I was bored so I looked a bit after McAfee & Bifrost
- McAfee has three signatures.
- Two are in the server (and easy to patch so that the server will work) and
- the third is in the settings.
Here (in settings) McAfee checks: (example is for a server without plugin attached)
1. Is it a exe (valid EXE-Header) ?
2. Is the block @ EOF 163 bytes long?
3. Are first 10 bytes in block = 72 0A 77 40 2D 41 61 28 40 ?
4. Are last 4 bytes in block = 9F 00 00 00 ?
If any of the three Sigs is found McAfee cries "Found the BackDoor-CEP.svr Remote Administration Tool !!!"
ProofOfConcept:
1. Take a HexEditor of your choice
2. Copy a valid EXE-Header into it (first 600 bytes are okay).
3. Copy a block with 163 bytes after it wich starts with 72 0A 77 40 2D 41 61 28 40 and ends with 9F 00 00 00 (anything between will be ignored by McAfee so enter what you like)
4. Save it as blah.exe and scann with McAfee
5. congratulations! You made your own t'r'o'j'a'n
If you want more fun, rename it to blah.gif and you are the first human on earth that build a Remote Administration Tool into a gif.
Lösning: Kör med en annan RAT tills någon lyckas komma på en lösning
Dom har faktiskt börjat detecta stubben på riktigt nu.
Ny version av stubben, inga funktioner är ändrade, den är bara UD på nytt:
Click to view attachmentpassword: swerat.com
QUOTE(Codius @ 2006-10-26 13:06)
Ny version av stubben, inga funktioner är ändrade, den är bara UD på nytt:
Click to view attachmentpassword: swerat.com
kekekekeke ^^
bra jobbat codius,
viruset56
2006-10-26 15:58
Very very nice
QUOTE
AntiVir 7.2.0.32 10.26.2006 no virus found
Authentium 4.93.8 10.26.2006 no virus found
Avast 4.7.892.0 10.26.2006 no virus found
AVG 386 10.26.2006 I-Worm/Mytob.AML
BitDefender 7.2 10.26.2006 Win32.Doombot.K@mm
CAT-QuickHeal 8.00 10.26.2006 no virus found
ClamAV devel-20060426 10.26.2006 no virus found
DrWeb 4.33 10.26.2006 RAT.MulDrop.4389
eTrust-InoculateIT 23.73.37 10.26.2006 Win32/MytobDL.8bb!RAT
eTrust-Vet 30.3.3158 10.26.2006 Win32/Hagcite.A
Ewido 4.0 10.26.2006 Worm.Doombot.k
Fortinet 2.82.0.0 10.26.2006 no virus found
F-Prot 3.16f 10.26.2006 no virus found
F-Prot4 4.2.1.29 10.26.2006 no virus found
Ikarus 0.2.65.0 10.26.2006 no virus found
Kaspersky 4.0.2.24 10.26.2006 Email-Worm.Win32.Doombot.k
McAfee 4882 10.26.2006 BackDoor-CEP.svr
Microsoft 1.1609 10.25.2006 Win32/Mytob.PW@mm
NOD32v2 1.1836 10.26.2006 Win32/Mytob.VI
Norman 5.80.02 10.26.2006 no virus found
Panda 9.0.0.4 10.26.2006 W32/Mytob.QC.worm
Sophos 4.10.0 10.26.2006 W32/Foundu-A
TheHacker 6.0.1.105 10.25.2006 Backdoor/CEP
UNA 1.83 10.25.2006 no virus found
VBA32 3.11.1 10.26.2006 Email-Worm.Win32.Doombot.k
VirusBuster 4.3.15:9 10.26.2006 I-Worm.BorlcPif.A
Detectable :/
QUOTE(kennyo @ 2006-10-26 18:09)
Detectable :/
ja du, det är inte många program som är omöjliga att upptäcka.
min blir rätt så detectad nu
jo, den är inte undetected längre.
Terrydoof
2007-01-04 15:13
yeah it's a nice and working binder
Works really fine!
Help, I add the server.exe to encrypt, but I don't see anywhere the output encrypted file, and the source file is deleted.. where is it?? I searched for it in c: but no luck... am I wrong somewhere?
theklansmen
2008-02-08 14:44
QUOTE(zooster @ 2008-02-08 11:23)
Help, I add the server.exe to encrypt, but I don't see anywhere the output encrypted file, and the source file is deleted.. where is it?? I searched for it in c: but no luck... am I wrong somewhere?
It's detected and removed by your Antivirus.
avast har hittat den
QUOTE(jocke @ 2008-02-13 18:21)
avast har hittat den
Hade de inte hittat en publik release på över ett år hade det varit RIKTIGT illa
my node32 detect virus mydom in output exe
snacka om gammal tråd, o så kommer noobar utan att ens kolla på datumet o skriver att den är upptäckt...
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please
click here.