Crypted file but WD show trojan:win32\wacatac.H!ml

[waka1116]

I have stub file and I hired someone to help me crypt this file. I checked this file on avcheck and everything is fine. but when I put this file on a VMWare with windows 10 installed, WD show trojan:win32\wacatac.H!ml .
please let me know, crypter not good Or is it a Windows mistake?

 

[0x43rypt0n]

0x43rypt0n сказал(а):
that's because the avcheck is only scantime so it scan the signature of the file and does not scan the stub at runtime but the Antivirus in real life have more actions the antivirus scan at runtime to see how your stub works and if the AV detect suspicous activity will flag your stub as a malware

I think you get scammed never by a crypt that allow you to scan only on avcheck when you buy a crypt as for checkzilla scan at least

Я думаю, он имеет ввиду, что его закриптованный файл не проходит проверку скантайма дефендера на реальном устройстве в то время как на АВчекере закриптованый файл не показывает детектов. Выходит в этом случае проблема в крипте?

 

[benj]

Я больше скажу, файл может показать отличный результат на checkzilla, но быть спаленым на реальной машине. Причина в облачных песочницах, которые сейчас есть почти в любом антивирусе. То есть, запуск стаба с отключенным интернетом, детекта не дает. С включенным интернетом получаем wacatac.

Насколько я понял, wacatac это детект по известной сигнатуре, если есть доступ к исходникам, то можно последовательно отключать блоки кода и смотреть, когда пропадет детект.

 

[MekkeyBug]

benj сказал(а):
Я думаю, он имеет ввиду, что его закриптованный файл не проходит проверку скантайма дефендера на реальном устройстве в то время как на АВчекере закриптованый файл не показывает детектов. Выходит в этом случае проблема в крипте?

Пожалуйста, обратите внимание, что пользователь заблокирован

Yes the encryption is a scam that he bought ! how can you check scantime on real pc simply just download the stub without executing it if the WD detect it this means the crypt is detected at scantime if not detected and when click the stub the WD detect the stub this means the detection only on Runtime .

AV check is not trusted to be used as a proof for crypt most of the sellers are using only AVCheck they banned from the forum beacuse they are scammers ! you need to buy using escrow from some one who offers runtime scan

 

[0x43rypt0n]

MekkeyBug сказал(а):
Я больше скажу, файл может показать отличный результат на checkzilla, но быть спаленым на реальной машине. Причина в облачных песочницах, которые сейчас есть почти в любом антивирусе. То есть, запуск стаба с отключенным интернетом, детекта не дает. С включенным интернетом получаем wacatac.

Насколько я понял, wacatac это детект по известной сигнатуре, если есть доступ к исходникам, то можно последовательно отключать блоки кода и смотреть, когда пропадет детект.

yes, I have source code.
Your mean I can move some code, reorder function, add more meaningless code, meaningless functions, right?

Do you have any other way or do you know any good crypter? pls advice me

 

[waka1116]

waka1116 сказал(а):
Your mean I can move some code, reorder function, add more meaningless code, meaningless functions, right?

Yes, but this may not enough. I though you need some kind of obfuscation of your source code

 

[MekkeyBug]

MekkeyBug сказал(а):
Yes, but this may not enough. I though you need some kind of obfuscation of your source code

Do you know how to do ? pls give me some guide or some service ?

 

[waka1116]

I doesn't have a solution but you could read this article for beginning

http://xssforumv3isucukbxhdhwz67hoa5e2voakcfkuieq4ch257vsburuid.onion/threads/42944/

 

[MekkeyBug]

MekkeyBug сказал(а):
I doesn't have a solution but you could read this article for beginning

http://xssforumv3isucukbxhdhwz67hoa5e2voakcfkuieq4ch257vsburuid.onion/threads/42944/

thanks Sir

 

[waka1116]

wacatac.H!ml
In most cases this is a false positive, it is a pain in the ass because everyone has a different theory for why it appears

 

[slice]

so difficult when almost PC that I checked, all Stub removed by this

 

[waka1116]

Помогает ли раздутие файла при вакатаке, прокачка запусков? Либо какие-то другие методы, не имея сорцов софта? Заметил что на реальных машинах вакатак на криптованный билд вылазит не везде, но в большинстве случаев. Как с ним эффективно бороться?

 

[Fargo]

Fargo сказал(а):
Помогает ли раздутие файла при вакатаке, прокачка запусков? Либо какие-то другие методы, не имея сорцов софта? Заметил что на реальных машинах вакатак на криптованный билд вылазит не везде, но в большинстве случаев. Как с ним эффективно бороться?

Если Windows Defender выдает детект, допустим Wacatac с определенной буквой, значит без исходников ничего сделать не получится. 100% сигнатура за что-то цепится, логично? Надо проверять точечно.

 

[secflag]

pointer сказал(а):
Если Windows Defender выдает детект, допустим Wacatac с определенной буквой, значит без исходников ничего сделать не получится. 100% сигнатура за что-то цепится, логично? Надо проверять точечно.

so, if I have source code, what step i need check and process ?