Guia do hacker/Crypters

Esse software carrega o malware, joga o código dele na memória do sistema, embaralha o código, criptografa e então salva o arquivo, em um novo executável.

Quando esse novo executável é aberto, o programa automaticamente organiza o código e remove a criptografia, fazendo o processo inverso. Só aí que o malware de facto é executado.

Isso acontece porque os antivírus têm uma base de dados com várias strings suspeitas. Quando um programa com alguma dessas strings é executado, o antivírus reconhece aquilo como uma ameaça e não deixa ele ser executado.

É como se fosse uma revista policial na porta de uma boate, onde o policial revista todas as pessoas que tentam entrar, e se alguém tiver algum item ameaçador, essa pessoa é barrada pela polícia, que não deixa ela entrar na boate.

O crypter é dividido em duas partes: O client e a Stub.

O client é a parte gráfica, o programa em si, onde você carrega o malware para ser criptografado. Mas um arquivo criptografado nunca poderia ser executado, pois seu código é ilegível. É aí que entra a stub.

A stub se responsabiliza por fazer o processo inverso do crypter, ou seja, ela gera um código que é anexado ao malware, e faz com que esse código seja executado antes do malware. Esse código é que faz toda a descriptografia do código, tornando o malware um executável novamente, e dessa vez, sem passar pelos antivírus.