Прячем вирус в картинку и криптуем

[denis7656]

Кстати, ребят нет ли у кого рабочего исходника под стиллиг пассов огнелиса последних версий ?
В пабе видел только под старые версии сорцы на разных языках.
Долго ломал голову, но так и не допетрил как новую победить. вот ветка на ачате -

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

А то под все хромы и его моды у меня уже есть.
Мне хоть на каком языке, я перепишу под себя.

 

[X-Shar]

А я вот что подумал, а внедрять криптованный вирус в доверенный процесс никто не пробовал ?

Например берём процесс svchost.exe и прям в этот процесс внедряем свой вирус, кто-нить пробовал такое провернуть ?

Вообще реально это ?

И как реагируют аверы на это ?

 

[denis7656]

Это называется инжект, довольно старая тема, у самого много исходников, но на такие действия у проактивок нормальных ставятся хуки.
Так что без "усыпления" =) проактивки и движков эвристиков это все сплошное ПАЛЕВО.
Причем даже при крипте беспалевными приватными крипторами никогда не ставил эту фичу при возможности. Так как наводит еще больше ПАЛЕВНОСТИ у эвристиков на файл, даже если он по сигнатурам прокатил - напишет - возможно вирус [подпись к неизвестным троянам на виртотале - GENERIC ни о чем не говорит ?] Хотя этот способ самый действенный, но проактивки - самая трабла получается. Почитай про трой Zeus, и его методы обхода проактивки. Особо не вникал, но там походу они все обходятся подгрузкой дровины в ядро в Ring 0 или Ring 3. Точно не помно, инфы полно в нете, если сорцы будут ныжны зевса - помогу с ними.

 

[denis7656]

и похоже что мы от темы основной ушли. Так что на эту тему лучше отдельный топ запили.

 

[Антоха]

Ещё одна универсальная испанская тулза.Сразу склеивает,меняет расширение (.avi/.html/.mp3/.jpeg) и иконку (правда такая иконка

для картинки не очень смотрится на восьмёрке).Прога написана на java,поэтому для запуска,нужно эту жаву иметь в системе.Небольшой гиф-обзор (склеим стилер с фоткой):

Пасс на архив:RatiumBinder
P.S.Блин,косяк в программе нарисовался:файлы обработанные этой прогой,будут работать лишь на машинах с установленной

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

 

[Juan]

Есть какие то адекватные методы на данный момент?

 

[X-Shar]

Есть какие то адекватные методы на данный момент?

https://ru-sphere.ru/threads/rms-polnostju-skrytaja-ustanovka-i-upravlenie.1891/page-4#post-98286

https://ru-sphere.ru/threads/delaem-krutoj-kripto-dzhojner-i-obxodim-detekt-vt.1858/

 

[Антоха]

Попалась на глаза одна прожка.Правда она старая,но свою функцию выполняет,а именно маскирует ваш экзешник под совершено любой файл и ярлычок.
1.На гифке видно,но поясню.Указываем какой файл хотим замаскировать.Я взял в качестве примера пустую форму делфи.
2.Указываем название и расширение ярлыка (тхт).Пишем что-нибудь побуждающее к действию)
3.Вписываем любое имя с любым расширением:*jpg,*avi,*png,*gif...Это будет как бы наш замаскированный файл,но работать при открытии двойным кликом он не будет)И тогда пользователь обратится к нашему ярлычку на котором будет написано "прочитай" или "readmy" или всё что угодно.Кликнув по вполне безобидному ярлыку он запустит наш файл(хотя расширение ярлыка и *тхт,но всё же видно что это ярлык)

Тулза чистая,можно юзать на основной системе.

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

 

[BORSYKMAG]

А те года, это когда ?

Вот мне интересно как сейчас дело обстоит с софтом для обхода аверов...

Приведу пример, что я имею в виду, сейчас есть куча пакеров, крипторов это да всё с ними в целом ясно...

А вот комбинацию криптор он-же склейщик, он-же и подготавливает систему для атаки...

Поясняю что имеется в виду, такой софт может перед запуском вируса тупо вырубать АВ, причём не только АВ а и UAC, защитник винды и т.д...

Я сейчас подумываю написать простенькую штуку, которая будет прятать вирь + защищать его от АВ + подготавливать систему для атаки...

Но вот не знаю, актуально-ли это ?

Кстати сложного в реализации такой вещи ничего нет, банально можно даже на том-же делфи сварганить за пару-тройку часов !

Тема очень актуальна, по этому буду признателен если у тебя ето получится сделать.

 

[X-Shar]

Тема очень актуальна, по этому буду признателен если у тебя ето получится сделать.

Я начинал проект, но в этоге забросил из-за нехватки времени и потери интереса !

Кстати сложного в реализации такой вещи ничего нет, банально можно даже на том-же делфи сварганить за пару-тройку часов !

Тут я конечно СИЛЬНО погарячился...

А пробовал сделать обход уак+файервол+бесплатный АВ, всё сводилось к тому что-бы повысить себе привелегии, но тут проблема если юзать эксплоит, у меня он работал через раз не на всех системах, а сейчас вообще работать перестал, гы-гы !

Да и прятал сами вирусы, путём паковки, что тоже наверное не айс...

Короче даже выкладывать нестал сиё поделье что-бы не позорится...