Guia do hacker/Crypters
Esse software carrega o malware, joga o código dele na memória do
sistema, embaralha o código, criptografa e então salva o arquivo, em um novo executável.
Quando esse novo executável é aberto, o programa automaticamente organiza o código e
remove a criptografia, fazendo o processo inverso. Só aí que o malware de facto é executado.
Isso acontece porque os antivírus têm uma base de dados com várias strings
suspeitas. Quando um programa com alguma dessas strings é executado, o antivírus
reconhece aquilo como uma ameaça e não deixa ele ser executado.
É como se fosse uma revista policial na porta de uma boate, onde o policial revista
todas as pessoas que tentam entrar, e se alguém tiver algum item ameaçador, essa pessoa é
barrada pela polícia, que não deixa ela entrar na boate.
O crypter é dividido em duas partes: O client e a Stub.
O client é a parte gráfica, o programa em si, onde você carrega o malware para ser
criptografado. Mas um arquivo criptografado nunca poderia ser executado, pois seu código é
ilegível. É aí que entra a stub.
A stub se responsabiliza por fazer o processo inverso do crypter, ou seja, ela gera um
código que é anexado ao malware, e faz com que esse código seja executado antes do
malware. Esse código é que faz toda a descriptografia do código, tornando o malware um
executável novamente, e dessa vez, sem passar pelos antivírus.