• Привет !

    На форуме есть зеркало в ТОРе:rusfwz3cukdej7do.onion

    Обратная связь:info@ru-sfera.org

    Всего доброго !

Прячем вирус в картинку и криптуем (1 Viewer)

Кто просматривает этот контент: "Тема" (Всего пользователей: 0; Гостей: 1)

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 388
Репутация
7 878
Telegram
На одном хакерском ресурсе я публиковал статью как можно спрятать вирус в картинку, но та статья полезна для взлома сайта и последующего скрытие шелла на сайте, т.е. получался не плохой руткит !WinkSmile

Здесь-же я хочу рассказать, как можно сделать это для десктопа, т.е. для винды, вот залил ролик на ютуб, ролик не мой, а от Испанцев, но в целом всё понятно:


Прилагаю также архив с нужным софтом и роликом, пароль:111

Вам нужно авторизоваться, чтобы просмотреть содержимое.
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 774
Интересный способ,но после этого софта безопасные файлы стали палиться.На виртуальной семёрке без антивиря всё прекрасно работало.На восьмёрке куда-то исчезла иконка и несмотря на визуальное расширение jpg система пишет,что это приложение.
 

Вложения

B

BioNIX

Гость
На восьмёрке куда-то исчезла иконка и несмотря на визуальное расширение jpg пишет,что приложение.
Я не испанец, но там написано работает на XP, Vista, 7 Dmeh-Smeh-Smeh!!! на 8-ке работать не будет и если расширение х-64 то тем более, это просто файл и не болееDmeh-Smeh-Smeh!!!
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 774
Я не испанец, но там написано работает на XP, Vista, 7 Dmeh-Smeh-Smeh!!! на 8-ке работать не будет и если расширение х-64 то тем более, это просто файл и не болееDmeh-Smeh-Smeh!!!
Нет,почему же.Работать всё работает.Файл запускается и картинка появляется(если антивирь выключить).Просто видно,что это приложение,а не картинка.Там безопасные файлы,кейген для С++Билдер и картинка.Пароль 111.Правда комодо говорит что это бэкдор.
 
B

BioNIX

Гость
Интересный способ,но после этого софта безопасные файлы стали палиться.На виртуальной семёрке без антивиря всё прекрасно работало.На восьмёрке куда-то исчезла иконка и несмотря на визуальное расширение jpg система пишет,что это приложение.
А хорошо ты его закрутил.
https://www.virustotal.com/ru/file/...ed811ebe47cd1b5858d4b964/analysis/1390497642/
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 774
После запуска появилась иконка картинки,но всё портит окошко которое выводит виндовс.
Снимок.PNG
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 388
Репутация
7 878
Telegram
После запуска появилась иконка картинки,но всё портит окошко которое выводит виндовс.
Фишка в том, что это просто маскировка, на самом деле это экзешник, а антивирусник реагирует на упаковщик SFX Compiler, может другой какой поискать !Не въехал!!!

Кстати у Onlain Armor не плохо сработал HIPS:

Безымянный.png


Вот в Линуксе прикольно можно руткит скрывать, открыв картинку в редакторе прописываете например что-то типо такого:
Код:
eval ( string $code )
Или проще просто сохраняете ваш шелл в формате Jpeg, потом вызываете на исполнение, правда это будет работать если админ долбаёб, либо у вас есть админские права на сервак (Возможны кстати два варианта одновременно !Отдыхай!!! )

Итак если есть админские права, надо ещё сделать следующее чтобы руткит работал:

Код:
в .htaccess прописать следующее:
AddType application/x-httpd-php .jpeg
И чтобы совсем классно было в php.ini прописать вот это:
Код:
allow_url_include=on
Dmeh-Smeh-Smeh!!! sm3888
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 774
Снимок.JPG

На хэппи-хаке встретилась программка производящая все те же действия,что и в видео (в шапке темы),но более автоматизировано.Не буду пересказывать инструкцию по пользованию,просто скопирую её с источника (и дополню своей гифкой).
MostSecurity Spoofer - меняем расширение *.exe файла, маскируем, например, под картинку..
1) На первой вкладке "Convertir" выбираем файл и жмакаем кнопочку "Convertir". Рядом с exe файлом появится его клон, но с расширением *.scr
2) Переходим на вторую вкладку "Spoofer", выбираем наш файл с расширением *.scr, выбираем нужное расширение из предложенных в комбобокс (я выбрал .jpg), в поле "Nombre de tu Desktop" пишем имя пользователя компьютера и нажимаем кнопку "Spoofer", на рабочем столе появится файл с нужным Вам расширением, но при запуске будет вести себя как обычный .exe файл.
Для того чтобы замаскировать файл нам нужно ещё сменить иконку,на стандартную для того файла под который маскируем.Меняем иконку до всех манипуляций с файлом.
Сначала попробовал эту программку на XP,но из-за неправильного пути прога выдала ошибку.
Снимок.JPG
Решается проблема созданием в корне диска С папки под именем Users в которой создаём папку с именем пользователя и рабочим столом с нашими файлами.Посмотрел,вроде программка чистая,ничего с неё не лезет.Проэкспериментировал на рабочей системе (но учтите,это только маскировка файла):
1.gif
Пароль на архив:111
 

Вложения