Gostaram do titulo do topico? Eu tambem, mas o titulo original e essa ae em cima eheh, so coloquei o outro pra chamar mais gente rsrsrsrs. Vamos la rapaziada, passei um tempo sem escrever pro forum porque estou com problemas com minha ex-mina, ela ta afim de me matar hauhauhauh!!!! Deixa pra la e vamos ao texto. Essa aqui é bem velhinha, o pessoal undergroud (rsrs) usou muito o macete quando descobriram, usaram tanto que as empresas de AV resolveram escrever assinatura pra ele tb, putz! esses caras que trabalham em empresas desenvolvedoras de AVs se cadastram em fóruns ou ate mesmo sao donos de fóruns honeys, pegam o maior numero de vàrus e trojans possàveis "postados pelos usuírios que caem" e escrevem assinaturas para os mesmos, isso é demais!!! Então galera, vai um aviso:
Aviso pra quem ta começando a mecher com o LADO NEGRO
Apenas postem seus vàrus e trojans em fóruns quando voces souberem que num tem correção, nem chance de detecçao pelos AVs, você pode usar o proprio AV como cobaia para camuflar seu trojan (como eu gosto de fazer). Sejam cautelosos na distribuição de seus encoders, distribua apenas para gente conhecida, tente ficar longe de funcionírios de empresas de AVs, caso contrario sua descoberta pode ir por agua abaixo.
Repito: Tente não distribuir muito seu novo trojan pois podem criar assinaturas para ele, eu sei que divulgar o mesmo pode lhe trazer fama, mas isso não importa, o que importa é que você sabe que vc é um puta de um invasor , num tente provar nada pra ninguém, tenho certeza que as que as poucas pessoas que verem sua criação irão te respeitar
Mas para que eu quero saber algo que ja ta sendo detectado?
Opa 1, vamos julgar aqui que o cara num tem AV
Opa 2, você desembolou a parada e tirou a assinatura que o av pega
Opa 3, existem muitas formas de ocultas um trojan, ou seja, tente ocultar o nosso jpg tb
Opa 4, não estude apenas coisas novas, conheça tudo, pois algum dia você pode precisar de coisas antigas e que num estudou porque julgou que a falha ou algo assim era antiga, mas essa é a falha que você achou no host, dai o que voce faz?
Você:Chora
Sigam o texto e os shots (isso foi um pleonasmo? rsrsr)
Use um executível qualquer para teste, usei na minha demonstração um um pequeno programinha escrito em assembler que faz parte de um curso de engenharia reversa. Vamos la.
Como todos sabemos, caso você mude a extensão de um arquivo o mesmo pode ser danificado e tals, mas o que ninguem sabe é que esse arquivo apenas parece ser danificado, siga os shots ae:
fergo ex1.exe sendo executado normalmente
Vamos mudar a extensao do nosso exe para jpg
Vamos tentar executar ele:
vocês podem ver que deu pau, mas e se nós usassemos o shell do DOS? Vamos testar:
Executou normalmente o nosso programinha como se você um programa executível, mas porque? Antes que eu explique eu vou mostrar mais um shot:
O que eu fiz acima foi criar um arquivo de texto, coloquei o comando pause dentro dele e abri o DOS para executa-lo, repare que executei normalmente o arquivo colocando o seu nome e extensão, mas quando não coloco a extensão, da erro. Depois eu mudei a extensão no nosso arquivo de texto para bat, agora repare que consegui executar o arquivo colocando sua extensão e não colocando sua extensão, mas porque isso aconteceu? Simples:
Existe uma variível de ambiente que armazena as extensões conhecidas pelo sistema, essa variível é a PATHEXT:
O esquema funciona da seguinte maneira: O windows analisa um "padrão" do arquivo que foi chamado (que vc chamou no DOS) e "compara com os valores da variavel PATHEXT inicialmente", caso ele encontre algo correspondente, blz, mas ele só encontra se a extensão do arquivo que foi chamado retornar um valor verdadeiro na comparação do valor da variível PATHEXT, caso isso aconteça (o resultado da comparação for verdadeiro) o windows executa o arquivo, caso contrario da erro, mas antes de dar erro ele faz outro teste que é analisar o tal do padrão que eu disse, para ver se ali se trata de um executível sem precisar conferir a extensão "exe" propriamente dita.
O que o programa que vou utilizar faz é "esconder" a real extensão do arquivo e exibir apenas a que especificarmos primeiro, assim o que tiver escrito antes do final da extensão original vai parecer uma extensão, nesse caso:
".jpg "
Vamos a outro exemplo de edição da variível PATHEXT, mas agora vamos incluir no PATH da variível um arquivo com extensão jpg
O INTERESSANTE DA HISTORIA
Lembram que anteriormente eu mostrei como um arquivo de qualquer extensão (que tiver no PATHEXT) e executado "pelo MS-Windows" (derivado do difunto DOS) mesmo sem especificar a extensão? Agora que vem o bom da historia, mas porque?
O programa que vou utilizar faz o Windows acreditar, ou melhor dizendo (rsrs) executa o nosso trojan como se estivesse sendo chamado pelo shell do DOS, sacou? Ou seja, ele insere um comando no trojan que após a execução do mesmo inseri na variível PATHEXT uma entrada dinâmica para que o mesmo possa ser executado MESMO SEM A EXTENSAO ORIGINAL, o CreatEXT da um jeito de fazer o windows acreditar que a extensão pré definida é um executível, assim executando o nosso amigo com outra extensão como se fosse um exe
Mas qual seria a extensao que poderia ser usada para inserir uma entrada dinâmica no PATHEXT?
Simples, o programa que vou mostrar possui varias extensões pré-definidas para serem usadas como cobaia para executar o exe, ou seja, são essas extensões pré definidas que serão inseridas no PATH para fazer o nosso trojan ser executado "como se estivesse sendo chamado pelo DOS".
Essas extensões "somem" NO XP quando você nomeia um arquivo com elas (logo após a execução do CreatEXT)
.trojan
.jpj
.uri
.text
.mpx
.scrn
.giff
Essas extensões quando são inseridas no PATHEXT sao tratadas como arquivos executíveis e POR ISSO O SISTEMA EXECUTA O ARQUIVO "EXECUTÁVEL" SEM EXTENSàO EXE.
Espera ae! Eu posso deixar meu trojan sem extensão e criar um programa que simule a chamada do arquivo pelo DOS?
Nao cara, lembra que te disse que para executar o arquivo pelo DOS você tem que inserir no PATHEXT a "EXTENSàO" do mesmo? Ou seja, se seu trojan ta sem extensão o DOS não encontra ele.
Botando a mão na massa
Em 'Extension' nos podemos definir uma extensão para o arquivo, repare na semelhança de jpj e jpg ehhe, e intencional mesmo. Em file type definimos o que vai aparecer em tipo de arquivo, la nas propriedades gerais de arquivo, este programa faz o que nos podemos fazer em linha de comando que é:
ASSOC .jpj=Imagem no formato JPEG
ASSOC .MyLoveLuz=6_Bl4ck9_f0x6 forum invaders
Em Default icon definimos o icode para o nosso arquivo, se bem que ele tem que ter icone de imagen certo? Mas vou usar o icone 68 da dll shell32.dll, ela se localiza no diretorio do sistema %systemroot%\system32\, o numero 68 equivale ao icone de numero 471 dentro da dll, use o reshacker que vera muitos icones.
O padrão é o shell32.dll,68, ou seja, uma lata de lixo ehhe.
JUNTE SEUS TROJANS COM IMAGENS REAIS usando Binders e faça o esquema de manipulação de extensão. Fica mais original, pois a vitima vai ver uma imagem e vai ter extensão de imagem.
Decription e Content Type fazem parte das propriedades do arquivo recêm criado, ou seja, joga coisas relacionadas a um arquivo jpg de verdade, se não esta nem um pouco parecido pega o reshacker e deixa do jeito que tu gosta usando A arte da Engenharia reversa
. O resto das opções eu deixo com você, se bem que você poderí deixar configurações pré definidas também para cada tipo de arquivo, se quer image, clica la em baixo onde tem um àcone de de imagem, e assim vai.Depois de tudo configurado clique em 'Generate File...' na parte de baixo da interface do programa, selecione um local para salva-lo e depois mova seu trojan pra la, pra ficar cara a cara ehhehe, daà você executa o arquivo recem criado que ele injeta os comandos no seu trojan, faça um teste agora, mude a extensão do teu trojan colocando .jpg como parte do nome do arquivo e depois a extensão do arquivo (aquelas que somem ehehe) "jpj" e retire a extensão exe do seu backdoor, assim:
Mesmo que o sistema esteja configurado para visualizar extensões de arquivos, a vitima não vai ver nada. Existem muuuuitas formas de se camuflar um trojan, muitas mesmo, uma das mais fíceis é fazendo engenharia reversa, mas enfim, isso é assunto pra outro tópico, um abraço Luz e até a próxima.
Link do programa:
http://www.hunterhacker.xpg.com.br/Crea ... utable.rar
Tamanho: 137 KB (141.227 bytes)
Senha: myloveluz
Aguardem o meu protector que ta saindo, "so para os chegados" ehhe. Vai ta saindo daqui a duas semanas, porque tenho que me preocupar com facas sabe e num da pra se concentrar no compilador
b-fox@bol.com.br
6_Bl4ck9_f0x6 - Viper Corp Group
porra manin, essa senha ta errada =\ nao consigo descompactar o arquivo com essa senha ae...se der, upa ele sem senha
ResponderExcluirabraços!
6_Bl4ck9_f0x6 manow so amigo de pessoas dos invader e um grande fa seu tem como me mandar por msn a senha ou o programa sem ela? Lukas_agricultor_@hotmail.com ou se preferir lucas_deitos_@hotmail.com vlw manow abraço otimos tuto vc tem...
ResponderExcluir