QUOTE(ReadMe.txt)
NME 1.1 - Public
- by redlime
Disclaimer:
Swerat or the creator of NME will in no way be held responsible for any damages caused
by the negligent use of this software.
By downloading and using this software you agree to this condition.
If you dont agree to this condition you are not allowed to use this software.
What is NME:
NME is a executable crypter that leaves the crypted file in a executable state.
The whole targetfile is crypted and put inside a stub to avoid detection of the
original file. Upon execution of the crypted file, the stub will decrypt the original
data and load it in memory.
An interesting feature is that you may crypt files that has got data appended at the end
of the file. As an example, Bifrost store its data at the end of the file, and most
crypters/packers would delete those settings, but not NME. NME will automatically append
the settings at the end of the new file, leaving your settings intact.
Features:
* Makes everything undetected
* Loads the decrypted file in memory and does not write it to disc
* Icon may be changed directly in the builder
* Crypting files with data at the end of the file is supported
* ~16.5kb stub
* Manual UPX-packing before crypting is supported (compression)
* Unhooks VirtualAllocEx & WriteProcessMemory to avoid user level-hooking firewalls
Crypted files run on Windows NT and up.
Coded in Delphi 7.
Special Thanks:
* Shapeless
* Aphex
* Positron
* ErazerZ
* StTwister
* The rest of Swerat Team and its members
* p0ke
* Chasenet.org
Undetectables:
If you like this tool and would like a private undetected version i sell unique versions
for the price of $125. You get a totally unique version which only youve got and it will
make almost any executable you throw to it undetected.
The private versions includes a sandbox emulation bypass technique (Nod32) and custom
features may be added on request. Replacement guarantee on detection.
Contact me on redlime@gmail.com for order or more information.
Enjoy this release!
redlime @ Swerat Team
www.swerat.com
QUOTE(ChangeLog)
NME 1.1 - 13/12 -05
* User Level Unhooking for WriteProcessMemory and VirtualAllocEx
(SttUnhooker, by StTwister @ Gateofgod.com)
* Minor changes/fixes
NME 1.0 - 9/12 -05
* First public version released!
Download: http://www.swerat.com/downloads.php?file=NME
har den iconstealer lr måste man ha en .ico fil?
QUOTE(kapiten @ Dec 9 2005, 22:08)
har den iconstealer lr måste man ha en .ico fil?
Den tar endast .ico för tillfället, kommer nog lägga till iconstealer i en framtida version.. Har mycket planer för den här lilla krabaten
QUOTE(SD-XI @ Dec 9 2005, 22:12)
Den finns på nerladdningssidan under specifikationerna.
asså ibland ser jag inte :S '
soory
Vågar man kolla upp den med virustotal..å kryssa i dont blblbl....
en till ud crypter! tackar och bugar
QUOTE(SD-XI @ Dec 9 2005, 22:15)
Vågar man kolla upp den med virustotal..å kryssa i dont blblbl....
Jag har själv skannat en Bifrost-server på virustotal och VBA32 tycker den är misstänksam och ClamAV tror det är Gobot-7.
Med andra ord är det nog inget antivirus som vanligt folk använder som hittar den!
shapeless
2005-12-10 00:09
grattis redlime! Ser riktigt lovande ut
snel redlime hest
klad farbror ska testha nu .....
QUOTE(SD-XI @ Dec 9 2005, 22:53)
Vilken packer använde du? Det där ser ut som du använt en icke supported packare, t.ex. FSG.
Jag har gjort tester med UPX och det är den enda packaren som verkar fungera tillsammans med NME.
QUOTE(redlime)
An interesting feature is that you may crypt files that has got data appended at the end of the file. As an example, Bifrost store its data at the end of the file, and most crypters/packers would delete those settings, but not NME. NME will automatically append the settings at the end of the new file, leaving your settings intact.
Det där är en uppskattad feature. Ska väl göra det lite enklare för de som har haft svårt med det tidigare.
Senaste Nytt!
Brandväggar som hookar API's märker att denna versionen av NME använder WriteProcessMemory och VirtualAllocEx.
NME 1.1 är påväg och den använder user level unhooking av dessa API's.
jag har samma problem med NME som jag hade med NTpacker i början, att efter jag packar filen så fungerar inte servern.. den skickar inget tillbaks ? :S vet nån vad det kan bero på?
utan det problemet så är det här lösningen på alla mina problem ! tusen tack
Orbitaljl
2005-12-10 12:22
tack så mycket redlime
programerat i VB6?
crazyboris
2005-12-10 13:22
vill ha......
är min version färdig än..???
@crazyboris
Nej, inte än, men du lär få den innan nästa helg! Ska utoch supa ikväll så blir inte mkt kodande på NME 1.1 nu heller..
@kronk
Det går inte att använda packare med NME av någon anledning. Antar att det är för att det krypterade datat är så pass stor del av filen och krypterat data går inte att komprimera.
@Orbitaljl
Nej, den är helt kodad i Delphi 7.
ah...okej
jag gjord load sen cretae typ...
ska man packa den med upx efter...?
crazyboris
2005-12-10 18:18
ok redlime ta den tid du behöver....
nja några öl skulle inte sitta fel...
30 sec senare..
såja öppnar en nu.. mmmmm.. o så lite nötter....mmmm
Vad står NME för då?
QUOTE(redlime)
Brandväggar som hookar API's märker att denna versionen av NME använder WriteProcessMemory och VirtualAllocEx.
Vilka brandväggar rör det sig om? Använder du samma metod som i 2hc? Jag skriver en krypter till och tänkte till en början använda mig av den metoden så det vore intressant att veta om den inte fungerar längre.
Norton internet security sa imot på direkten.
Och jag får dumt error(0xc000000007b) typ, när jag försöker starta den
Använder bifros btw
Att du får error 'r mog att du packat den före, annars vet jag inte.
NME 1.1 kommer innehålle en unhooker, (SttUnhooker) som unhookar user level)
Att norton säger ifrån vet jag inte, för såvitt jag vet hookar den inte... Lite mer info?
Öl driucker ag! Tar en paus i pokern nu... börjar bli dragen
@Andvare
Använd inte denna tekniken om du inte vill unhooka.. Annars tar brandväggar såsopm Tiny den.
Okej, länktar redan, Och jag ska prova lite saker sen kommer jag tillbaka med lite mer information
efter jag packat den med NME så är det inte autostart på servern :S.. den startar liksom inte på vicsen när dom startar datorn? lösning?
QUOTE(kronk @ Dec 11 2005, 20:33)
efter jag packat den med NME så är det inte autostart på servern :S.. den startar liksom inte på vicsen när dom startar datorn? lösning?
Har väldigt svårt att tro att det är NME's fel faktiskt..
Vilken RAT, vilken autostart och lite sådan information skulle varit bra.
Fungerar de andra inställningarna så ska även autostart fungera.
BiFrost andvänder jag.. andvänder mig av både Local Machine och CUrrent user
om man kan säga så.. men det har varit så här tidigare, och ibland så ploppar dom kontakterna upp 2 veckor senare :S?
Jag tog ur autopack så funkade den tack ;D
Congrats mate, well done ...
QUOTE(Andvare @ Dec 10 2005, 17:03)
NME på engelska blir ju enemy
Jobbar på att få upp NME 1.1 just nu! Återkommer!
Nu ligger NME 1.1 uppe!
Första posten i tråden är editerad så att den är uppdaterad!Hittar ni buggar så får ni mer än gärna rapportera det här!
AntiVir
Found nothing
ArcaVir
Found nothing
Avast
Found nothing
AVG Antivirus
Found nothing
BitDefender
Found nothing
ClamAV
Found RAT.Gobot-7
Dr.Web
Found nothing
F-Prot Antivirus
Found nothing
Fortinet
Found nothing
Kaspersky Anti-Virus
Found nothing
NOD32
Found nothing
Norman Virus Control
Found nothing
UNA
Found nothing
VBA32
Found RAT.Delf.37 (probable variant)
Annars inge fel, iaf inte vad jag märkt
QUOTE(Berbec @ Dec 13 2005, 08:20)
ClamAV
Found RAT.Gobot-7
VBA32
Found RAT.Delf.37 (probable variant)
Ingen använder varken VBA32 eller ClamAV så spela roll
QUOTE(redlime @ Dec 13 2005, 09:06)
QUOTE(Berbec @ Dec 13 2005, 08:20)
ClamAV
Found RAT.Gobot-7
VBA32
Found RAT.Delf.37 (probable variant)
Ingen använder varken VBA32 eller ClamAV så spela roll
indeed
btw: HATA lucia
Mm, men folk brukar kolla med sån där scan ;\
Nu har NOD tagit den
QUOTE(geeken @ Dec 14 2005, 12:39)
Hur är det med norton? Fortfarande UD? Jag sitter på skolan så jag kan ej kolla :/
Caecigenus
2005-12-14 14:42
Fan vad nice rödis!
QUOTE(redlime @ Dec 10 2005, 20:38)
Använd inte denna tekniken om du inte vill unhooka.. Annars tar brandväggar såsopm Tiny den.
Men det är samma teknik som i 2hc? Alltså starta den egna filen igen och skriva över med det skyddade programmet? Kerio och zonealarm klagade ju inte, men tiny gör det? Och tiny använder bara userlevel hooks? Får ta och ladda ner tiny och prova.
shapeless
2005-12-14 16:04
QUOTE(Andvare @ Dec 14 2005, 13:07)
QUOTE(redlime @ Dec 10 2005, 20:38)
Använd inte denna tekniken om du inte vill unhooka.. Annars tar brandväggar såsopm Tiny den.
Men det är samma teknik som i 2hc? Alltså starta den egna filen igen och skriva över med det skyddade programmet? Kerio och zonealarm klagade ju inte, men tiny gör det? Och tiny använder bara userlevel hooks? Får ta och ladda ner tiny och prova.
Som jag förstår det så är det samma teknik som i 2hc. Men i version 1.1 så unhookar redlime userlevel hooks så att inte tiny upptäcker den.
Damn, konstigt.
Min bifrostserver från igår hittas inte, men jag tror bestämt att den inte fungerar.
Någon som nyligen har kollat på virustotal om den fungerar?
Hm, jag kan inte ladda ned NME.
edit: Det går nu!
edit2: Fungerar skitbra :D
HELVETE!
Min krypterade server klarade sig i en vecka.. sen hittar NOD32 den under namnet NMK
Mitt NOD32 upptäcker den också nu under namnet "Win32/Agent.NAK.RAT"
Vilka AV är den fortfarande UD för ?
Redlime planerar du en ny version snart ? Funderat på att slänga med en binder?
QUOTE(hnZ^ @ Dec 23 2005, 14:27)
Mitt NOD32 upptäcker den också nu under namnet "Win32/Agent.NAK.RAT"
Vilka AV är den fortfarande UD för ?
Redlime planerar du en ny version snart ?
Funderat på att slänga med en binder? Faktum är att jag har det
Nästa version kommer antagligen ha en binder inbyggd i buildern, men först vill jag få iväg alla privata versioner och kodat en ny loader till den!
NME 1.1 detection:
Vore trevligt om den blev UD igen
Skyddar denna typ av crypters mot s.k. "heuristic scans"?
QUOTE(student @ Dec 27 2005, 08:58)
Skyddar denna typ av crypters mot s.k. "heuristic scans"?
I stort sett. Nod32's sandbox tar den inte och inte varit med om att heur tar den heller.
crazyboris
2006-01-01 15:57
hmm jag kan inte ens öppna min längre....
har även provat att ladda ner den igen men det går fotfarande inte att öppna den..
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please
click here.
