ВАЖНО Делаем крутой крипто-джойнер и обходим детект VT

Тема в разделе "СТАТЬИ И УРОКИ ПО ВЗЛОМУ И ОБХОДУ ЗАЩИТЫ", создана пользователем X-Shar, 3 май 2014.

↑ ↓
  1. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.800
    Симпатии:
    425
    Пол:
    Мужской
    Репа:
    +957 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Итак данная статья будет полезна кул-хацкерам, которые качая какой-нить Испанский криптор проверив его на VT, радостно подсовывают вирус жертве, но бедалаги не понимают, что он в этоге спалится при запуске !

    Более продвинутые "Хакеры", покупают такой крипт за 5-10 баксов, результат кстати такой-же будет, т.е. палево при запуске !sm3888 Dmeh-Smeh-Smeh!!!

    Если вдруг статью прочитает, профи который может делать, нормальный криптор, то сразу скажет, чо хуйню пишешь и распинает, хотя почему хуйню, смотря кто и как это будет юзать !sm3888

    Сразу скажу что-бы обойти такой детект не нужно знать программирование, знать что такое пермутация, полиморфизм, хотя в этоге мы вирус получим полиморфный, слова-то я какие знаю, даже самому страшно !sholoh it

    А вообще всё ОЧЕНЬ просто, итак алгоритм, а потом реализация:

    1)Используя самораспаковывающийся архив, упаковываем вирус с паролем, любым, при этом архив должен "Скрыто" распаковать вирус в темпе и запустить его (После ввода пароля естественно) !

    2)Упаковываем архив ещё раз, но с параметром в командной строке, где указываем нужный пароль.

    Что-бы было понятно рассмотрим пример:

    1)Итак в качестве примера, рассмотрим тестовый вирус EICAR который палится ВСЕМИ АВ и попробуем его скрыть в наш "Джойнер".

    Для создания SFX-архив я использую WinRar, вы можете делать вручную, либо при помощи любой другой программы, в этой теме рассмотрим WinRar.

    Итак вначале создаём запароленный SFX-архив который будет скрыто запускать наш вирус из папки темп:

    1.

    2.

    3.

    4.

    5.

    Далее ОК->ОК и получаем наш экзешник !like it

    Далее этот-же архив упаковываем ещё раз с теми-же настройками, НО где "Выполнить после распаковки", указываем наш архив с параметром, где параметр пароль, без кавычек:

    6.

    Строчка:
    Код:
    VirusTest1.exe -p1
    Где -p это параметр, а 1-это пароль !WinkSmile

    Можно поставить свой значёк нашему вирусу:

    7.

    В общем-то и всё пакуем и получаем FUD !

    https://www.virustotal.com/ru/file/...eb6a620dd63c272fcd285260/analysis/1399128591/

    Пример в архиве, пароль:111
     

    Вложения:

    • Мне нравится Мне нравится x 7
  2. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.174
    Симпатии:
    11.089
    Пол:
    Мужской
    Репа:
    +11.237 / 47 / -6
    Jabber:
    Skype:
    Прикольный способ маскировки,читал о нём когда-то на ифуде,но как-то вполглаза и значения не придал.А сейчас подумал,что многим испанским крипторам далеко до этого метода,так как многие из них ломают файл или работают с определёнными мальварями.При этом же способе неважно какая мальварь.А итог и там,и там один:при запуске файл вылезает из архива и палится при попытке запуститься.
    Такая фишка покатит там,где человек не имеет антивиря,а просто сканирует каким-нибудь антивирусным сканером.А от чего зависит палевность этих запакованных файлов на ВТ?Сейчас дал ему бозка запакованного,видит два антивиря (до этого 32).Кстати НОД,чует его через архив.
     
    • Мне нравится Мне нравится x 6
  3. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.800
    Симпатии:
    425
    Пол:
    Мужской
    Репа:
    +957 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Ну тут вся фишка, в том-что, антивирь не может проверить зашифрованный архив, также АВ может не проверяет вложенные архивы...

    Также действуют и крипторы, шифруют вирус, он получается как-бы безвредный, а потом после запуска он расшифровывается...

    Кстати таким образом можно паковать сколь угодно раз, чем больше раз запакуешь, тем меньше вероятность что спалят, другое дело, что время запуска уменьшается из-за этого...

    И кстати я не написал, но таким образом можно склеить несколько файлов, например с картинкой...

    Короче все фишки "Джойнера" здесь есть...like it
     
    • Мне нравится Мне нравится x 5
  4. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.800
    Симпатии:
    425
    Пол:
    Мужской
    Репа:
    +957 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Ещё хочу добавить, что данная штука может-быть куда опасней, чем кажется на первый взгляд !

    Вот например, если подключить СИ: "Сказать жертве, отключите АВ, иначе работать не будет, видите на VT-же нет вирусов ! "Отдыхай!!!

    Многие думаю и схавают !Dmeh-Smeh-Smeh!!!

    Ещё как вариант, запускать вместе с вирусом, какую-нить хрень, которая вызывает крах АВ, тогда АВ и вообще не сможет среагировать на наш вирус !sm3888
     
    • Мне нравится Мне нравится x 6
  5. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.174
    Симпатии:
    11.089
    Пол:
    Мужской
    Репа:
    +11.237 / 47 / -6
    Jabber:
    Skype:
    Бозок начал сильно палится на ВТ через 6 часов.Изначально упакованный "раром" его видело,лишь двое.Сейчас уже 9.В чистом палится32 движками.И НОД,напрмер и там и там видит одинаковую опасность-a variant of Win32/Delf.AAV .
     
    • Мне нравится Мне нравится x 5
  6. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.800
    Симпатии:
    425
    Пол:
    Мужской
    Репа:
    +957 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Там похоже какой-то алгоритм, для обнаружения таких штук !

    Вот пример Винлока от Апо:

    Что было:https://www.virustotal.com/ru/file/...64b35596efc68ffa9907ddcd07857d46112/analysis/

    Что стало:https://www.virustotal.com/ru/file/...955ded93afb0600dbb3f1911/analysis/1399205438/

    И хоть-ты тресни обнаруживает так и всё (Нод и Авира), видимо ещё от вируса зависит...Не въехал!!!

    И ещё винлок ломается, если распаковывать в папку темп, а если в текущую, то всё гуд !like it

    Вот в Архиве два винлока, который распаковывается в темп и не работает, файл Lock.exe и рабочий, который распаковывается из текущей папки, файл WinLok2.exe !

    ВАЖНО:ОСТОРОЖНО, НЕ ЗАПУСКАЙТЕ НА ОСНОВНОЙ СИСТЕМЕ, ФАЙЛЫ ОПАСНЫ !

    Пароль:111
     

    Вложения:

    • Мне нравится Мне нравится x 5
  7. rinavat Пользователь
    rinavat
    Ответить в чате

    Первый уровень

    Регистрация:
    29.05.2014
    Сообщения:
    9
    Симпатии:
    3
    Репа:
    +3 / 0 / -0
    Ничего не понятно, объясните пожалуйста на пальцах, или гифкой.:)
    Архив нашего вирус.exe, так?
    Создали, хорошо, SFX параметры прописали.
    Получили:
    Архив1 еще раз архивируем в архив sfx? и ставим распаковать во врем. папку и все делать скрыто.А пароль?
    Вообще не могу понять, что жертва должна увидеть при таком архиве.) И сам архив будет не рар, а приложение?

    :bagfixbag: Прошу объяснить популярно))
     
  8. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.174
    Симпатии:
    11.089
    Пол:
    Мужской
    Репа:
    +11.237 / 47 / -6
    Jabber:
    Skype:
    Так как исходящей скорости мне Бог не дал-заливать объёмное видео на Ютуб мне пришлось бы долго.Поэтому закинул на хостингер в адобовском формате.Можешь посмотреть тут.
    Для этого нам и нужен параметр -р.При открытии ,второй архив открывает первый, автоматически вводя пароль.Первый архив раскрывается и запускает наш файл (и в это время антивирь даст всем пи-ды).Все диалоговые окна скрыты.Если ты закрутил в архиве крысу или стилера (то есть прогу без фейса),то жертва вообще ничего не увидит.

    Мы говорим про sfx,то есть самораспаковывающийся архив с расширением ехе.Правда если пользователь полезет в свойства нашего файла,то он узрит такую вкладочку
    Снимок.PNG
    Но как я уже написал в том видосе,если поменять расширение с exe на scr,то выглядит это более-менеее удачно.Вот так
    Снимок1.PNG

    Можно засунуть в архив ,например,батник для самоликвидации файла после отработки.Единственный минус-если файл палится,то антивирус поймает его при распаковке.Впрочем у большинства испанских крипторов такой же минус.
     
    • Мне нравится Мне нравится x 4
  9. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.800
    Симпатии:
    425
    Пол:
    Мужской
    Репа:
    +957 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    И ещё, можно извратится и открывать/распаковывать вирус js, т.е. так:

    Код:
    var WSHShell WScript.CreateObject("WScript.Shell");
    WSHShell.Run("virus.exe -p111",0);
     
    myActiveXObject = new ActiveXObject("Scripting.FileSystemObject");
    Где 111 - Это пароль !
    Это поможет скрыть от большинства аверов, особенно таких как Авира, Нод и т.д. !sm3888

    Но при распаковки, как уже было сказано всё спалится !:rasstroen:
     
    • Мне нравится Мне нравится x 4
  10. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.800
    Симпатии:
    425
    Пол:
    Мужской
    Репа:
    +957 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Скажу больше, я так и не нашёл нормального, который-бы не палился в памяти...

    И ещё, скажу что большинство платных крипторов, то-же самое палятся в памяти...

    Лучше-уж тогда юзать эту штуку, причём это и Джойнер не плохой, кстати расширение exe можно также замаскировать прогой из этой темы например:https://ru-sphere.ru/threads/prjachem-virus-v-kartinku-i-kriptuem.1583/page-2#post-87681

    Склеить с картинкой и замаскировать, нормально будет, если-бы не палился ещё, то страшная штука могла-бы быть !like it
     
    • Мне нравится Мне нравится x 5

Поделиться этой страницей