Прячем вирус в картинку и криптуем

Тема в разделе "СТАТЬИ И УРОКИ ПО ВЗЛОМУ И ОБХОДУ ЗАЩИТЫ", создана пользователем X-Shar, 23 янв 2014.

↑ ↓
  1. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.800
    Симпатии:
    425
    Пол:
    Мужской
    Репа:
    +957 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    На одном хакерском ресурсе я публиковал статью как можно спрятать вирус в картинку, но та статья полезна для взлома сайта и последующего скрытие шелла на сайте, т.е. получался не плохой руткит !WinkSmile

    Здесь-же я хочу рассказать, как можно сделать это для десктопа, т.е. для винды, вот залил ролик на ютуб, ролик не мой, а от Испанцев, но в целом всё понятно:



    Прилагаю также архив с нужным софтом и роликом, пароль:111

    http://yadi.sk/d/GVTwAxhkGbGbE
     
    • Мне нравится Мне нравится x 9
  2. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.174
    Симпатии:
    11.089
    Пол:
    Мужской
    Репа:
    +11.237 / 47 / -6
    Jabber:
    Skype:
    Интересный способ,но после этого софта безопасные файлы стали палиться.На виртуальной семёрке без антивиря всё прекрасно работало.На восьмёрке куда-то исчезла иконка и несмотря на визуальное расширение jpg система пишет,что это приложение.
     

    Вложения:

    • Sasha Grey.rar
      Размер файла
      352,4 КБ
      Просмотров:
      23
    • Мне нравится Мне нравится x 5
  3. BioNIX Гость
    BioNIX
    Ответить в чате

    Репа:
    +0 / 0 / -0
    Я не испанец, но там написано работает на XP, Vista, 7 Dmeh-Smeh-Smeh!!! на 8-ке работать не будет и если расширение х-64 то тем более, это просто файл и не болееDmeh-Smeh-Smeh!!!
     
    • Мне нравится Мне нравится x 4
  4. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.174
    Симпатии:
    11.089
    Пол:
    Мужской
    Репа:
    +11.237 / 47 / -6
    Jabber:
    Skype:
    Нет,почему же.Работать всё работает.Файл запускается и картинка появляется(если антивирь выключить).Просто видно,что это приложение,а не картинка.Там безопасные файлы,кейген для С++Билдер и картинка.Пароль 111.Правда комодо говорит что это бэкдор.
     
    • Мне нравится Мне нравится x 4
  5. BioNIX Гость
    BioNIX
    Ответить в чате

    Репа:
    +0 / 0 / -0
    А хорошо ты его закрутил.
    https://www.virustotal.com/ru/file/...ed811ebe47cd1b5858d4b964/analysis/1390497642/
     
    • Мне нравится Мне нравится x 4
  6. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.174
    Симпатии:
    11.089
    Пол:
    Мужской
    Репа:
    +11.237 / 47 / -6
    Jabber:
    Skype:
    Потому что файлы на самом деле безвредные)
     
    • Мне нравится Мне нравится x 4
  7. BioNIX Гость
    BioNIX
    Ответить в чате

    Репа:
    +0 / 0 / -0
    сама винда смарт скрен не дает запустить неизвестно это для негоDmeh-Smeh-Smeh!!! впервые видит файл и блочит, значит разбирается в таких файлах.
     
    • Мне нравится Мне нравится x 4
  8. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.174
    Симпатии:
    11.089
    Пол:
    Мужской
    Репа:
    +11.237 / 47 / -6
    Jabber:
    Skype:
    После запуска появилась иконка картинки,но всё портит окошко которое выводит виндовс.
    Снимок.PNG
     
    • Мне нравится Мне нравится x 4
  9. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.800
    Симпатии:
    425
    Пол:
    Мужской
    Репа:
    +957 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Фишка в том, что это просто маскировка, на самом деле это экзешник, а антивирусник реагирует на упаковщик SFX Compiler, может другой какой поискать !Не въехал!!!

    Кстати у Onlain Armor не плохо сработал HIPS:

    Безымянный.

    Вот в Линуксе прикольно можно руткит скрывать, открыв картинку в редакторе прописываете например что-то типо такого:
    Код:
    eval ( string $code )
    Или проще просто сохраняете ваш шелл в формате Jpeg, потом вызываете на исполнение, правда это будет работать если админ долбаёб, либо у вас есть админские права на сервак (Возможны кстати два варианта одновременно !Отдыхай!!! )

    Итак если есть админские права, надо ещё сделать следующее чтобы руткит работал:

    Код:
    в .htaccess прописать следующее:
    AddType application/x-httpd-php .jpeg
    И чтобы совсем классно было в php.ini прописать вот это:
    Код:
    allow_url_include=on
    Dmeh-Smeh-Smeh!!! sm3888
     
    • Мне нравится Мне нравится x 6
  10. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.174
    Симпатии:
    11.089
    Пол:
    Мужской
    Репа:
    +11.237 / 47 / -6
    Jabber:
    Skype:
    Снимок.JPG
    На хэппи-хаке встретилась программка производящая все те же действия,что и в видео (в шапке темы),но более автоматизировано.Не буду пересказывать инструкцию по пользованию,просто скопирую её с источника (и дополню своей гифкой).
    MostSecurity Spoofer - меняем расширение *.exe файла, маскируем, например, под картинку..
    1) На первой вкладке "Convertir" выбираем файл и жмакаем кнопочку "Convertir". Рядом с exe файлом появится его клон, но с расширением *.scr
    2) Переходим на вторую вкладку "Spoofer", выбираем наш файл с расширением *.scr, выбираем нужное расширение из предложенных в комбобокс (я выбрал .jpg), в поле "Nombre de tu Desktop" пишем имя пользователя компьютера и нажимаем кнопку "Spoofer", на рабочем столе появится файл с нужным Вам расширением, но при запуске будет вести себя как обычный .exe файл.
    Для того чтобы замаскировать файл нам нужно ещё сменить иконку,на стандартную для того файла под который маскируем.Меняем иконку до всех манипуляций с файлом.
    Сначала попробовал эту программку на XP,но из-за неправильного пути прога выдала ошибку.
    Снимок.JPG
    Решается проблема созданием в корне диска С папки под именем Users в которой создаём папку с именем пользователя и рабочим столом с нашими файлами.Посмотрел,вроде программка чистая,ничего с неё не лезет.Проэкспериментировал на рабочей системе (но учтите,это только маскировка файла):
    1.
    Пароль на архив:111
     

    Вложения:

    • Мне нравится Мне нравится x 3

Поделиться этой страницей