• Привет !

    На форуме есть зеркало в ТОРе:rusfwz3cukdej7do.onion

    ЗЕРКАЛА ФОРУМА:

    ru-sfera.org

    ru-sfera.online

    Обратная связь:

    Email:[email protected]

    Форум будет доступен до марта 2022 года, подробнее здесь.

    Всего доброго !

ВАЖНО Делаем крутой крипто-джойнер и обходим детект VT (1 Viewer)

Кто просматривает этот контент: "Тема" (Всего пользователей: 0; Гостей: 1)

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 460
Репутация
7 935
Итак данная статья будет полезна кул-хацкерам, которые качая какой-нить Испанский криптор проверив его на VT, радостно подсовывают вирус жертве, но бедалаги не понимают, что он в этоге спалится при запуске !

Более продвинутые "Хакеры", покупают такой крипт за 5-10 баксов, результат кстати такой-же будет, т.е. палево при запуске !sm3888 Dmeh-Smeh-Smeh!!!

Если вдруг статью прочитает, профи который может делать, нормальный криптор, то сразу скажет, чо хуйню пишешь и распинает, хотя почему хуйню, смотря кто и как это будет юзать !sm3888

Сразу скажу что-бы обойти такой детект не нужно знать программирование, знать что такое пермутация, полиморфизм, хотя в этоге мы вирус получим полиморфный, слова-то я какие знаю, даже самому страшно !sholoh it

А вообще всё ОЧЕНЬ просто, итак алгоритм, а потом реализация:

1)Используя самораспаковывающийся архив, упаковываем вирус с паролем, любым, при этом архив должен "Скрыто" распаковать вирус в темпе и запустить его (После ввода пароля естественно) !

2)Упаковываем архив ещё раз, но с параметром в командной строке, где указываем нужный пароль.

Что-бы было понятно рассмотрим пример:

1)Итак в качестве примера, рассмотрим тестовый вирус EICAR который палится ВСЕМИ АВ и попробуем его скрыть в наш "Джойнер".

Для создания SFX-архив я использую WinRar, вы можете делать вручную, либо при помощи любой другой программы, в этой теме рассмотрим WinRar.

Итак вначале создаём запароленный SFX-архив который будет скрыто запускать наш вирус из папки темп:

1.png


2.png


3.png


4.png


5.png


Далее ОК->ОК и получаем наш экзешник !like it

Далее этот-же архив упаковываем ещё раз с теми-же настройками, НО где "Выполнить после распаковки", указываем наш архив с параметром, где параметр пароль, без кавычек:

6.png


Строчка:
Код:
VirusTest1.exe -p1
Где -p это параметр, а 1-это пароль !WinkSmile

Можно поставить свой значёк нашему вирусу:

7.png


В общем-то и всё пакуем и получаем FUD !

https://www.virustotal.com/ru/file/...eb6a620dd63c272fcd285260/analysis/1399128591/

Пример в архиве, пароль:111
 

Вложения

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 775
Прикольный способ маскировки,читал о нём когда-то на ифуде,но как-то вполглаза и значения не придал.А сейчас подумал,что многим испанским крипторам далеко до этого метода,так как многие из них ломают файл или работают с определёнными мальварями.При этом же способе неважно какая мальварь.А итог и там,и там один:при запуске файл вылезает из архива и палится при попытке запуститься.
Такая фишка покатит там,где человек не имеет антивиря,а просто сканирует каким-нибудь антивирусным сканером.А от чего зависит палевность этих запакованных файлов на ВТ?Сейчас дал ему бозка запакованного,видит два антивиря (до этого 32).Кстати НОД,чует его через архив.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 460
Репутация
7 935
А от чего зависит палевность этих запакованных файлов на ВТ?
Ну тут вся фишка, в том-что, антивирь не может проверить зашифрованный архив, также АВ может не проверяет вложенные архивы...

Также действуют и крипторы, шифруют вирус, он получается как-бы безвредный, а потом после запуска он расшифровывается...

Кстати таким образом можно паковать сколь угодно раз, чем больше раз запакуешь, тем меньше вероятность что спалят, другое дело, что время запуска уменьшается из-за этого...

И кстати я не написал, но таким образом можно склеить несколько файлов, например с картинкой...

Короче все фишки "Джойнера" здесь есть...like it
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 460
Репутация
7 935
Ещё хочу добавить, что данная штука может-быть куда опасней, чем кажется на первый взгляд !

Вот например, если подключить СИ: "Сказать жертве, отключите АВ, иначе работать не будет, видите на VT-же нет вирусов ! "Отдыхай!!!

Многие думаю и схавают !Dmeh-Smeh-Smeh!!!

Ещё как вариант, запускать вместе с вирусом, какую-нить хрень, которая вызывает крах АВ, тогда АВ и вообще не сможет среагировать на наш вирус !sm3888
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 775
Ну тут вся фишка, в том-что, антивирь не может проверить зашифрованный архив, также АВ может не проверяет вложенные архивы...
Бозок начал сильно палится на ВТ через 6 часов.Изначально упакованный "раром" его видело,лишь двое.Сейчас уже 9.В чистом палится32 движками.И НОД,напрмер и там и там видит одинаковую опасность-a variant of Win32/Delf.AAV .
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 460
Репутация
7 935
Бозок начал сильно палится на ВТ через 6 часов.Изначально упакованный "раром" его видело,лишь двое.Сейчас уже 9.В чистом палится32 движками.И НОД,напрмер и там и там видит одинаковую опасность-a variant of Win32/Delf.AAV .
Там похоже какой-то алгоритм, для обнаружения таких штук !

Вот пример Винлока от Апо:

Что было:https://www.virustotal.com/ru/file/...64b35596efc68ffa9907ddcd07857d46112/analysis/

Что стало:https://www.virustotal.com/ru/file/...955ded93afb0600dbb3f1911/analysis/1399205438/

И хоть-ты тресни обнаруживает так и всё (Нод и Авира), видимо ещё от вируса зависит...Не въехал!!!

И ещё винлок ломается, если распаковывать в папку темп, а если в текущую, то всё гуд !like it

Вот в Архиве два винлока, который распаковывается в темп и не работает, файл Lock.exe и рабочий, который распаковывается из текущей папки, файл WinLok2.exe !

ВАЖНО:ОСТОРОЖНО, НЕ ЗАПУСКАЙТЕ НА ОСНОВНОЙ СИСТЕМЕ, ФАЙЛЫ ОПАСНЫ !

Пароль:111
 

Вложения

R

rinavat

Гость
Ничего не понятно, объясните пожалуйста на пальцах, или гифкой.:)
Итак вначале создаём запароленный SFX-архив который будет скрыто запускать наш вирус из папки темп
Архив нашего вирус.exe, так?
Создали, хорошо, SFX параметры прописали.
Получили:
Далее ОК->ОК и получаем наш экзешник !
Далее этот-же архив упаковываем ещё раз с теми-же настройками, НО где "Выполнить после распаковки", указываем наш архив с параметром, где параметр пароль, без кавычек:
Архив1 еще раз архивируем в архив sfx? и ставим распаковать во врем. папку и все делать скрыто.А пароль?
Вообще не могу понять, что жертва должна увидеть при таком архиве.) И сам архив будет не рар, а приложение?

:bagfixbag: Прошу объяснить популярно))
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 775
Прошу объяснить популярно))
Так как исходящей скорости мне Бог не дал-заливать объёмное видео на Ютуб мне пришлось бы долго.Поэтому закинул на хостингер в адобовском формате.Можешь посмотреть тут.
Для этого нам и нужен параметр -р.При открытии ,второй архив открывает первый, автоматически вводя пароль.Первый архив раскрывается и запускает наш файл (и в это время антивирь даст всем пи-ды).Все диалоговые окна скрыты.Если ты закрутил в архиве крысу или стилера (то есть прогу без фейса),то жертва вообще ничего не увидит.

И сам архив будет не рар, а приложение?
Мы говорим про sfx,то есть самораспаковывающийся архив с расширением ехе.Правда если пользователь полезет в свойства нашего файла,то он узрит такую вкладочку
Снимок.PNG

Но как я уже написал в том видосе,если поменять расширение с exe на scr,то выглядит это более-менеее удачно.Вот так
Снимок1.PNG


Можно засунуть в архив ,например,батник для самоликвидации файла после отработки.Единственный минус-если файл палится,то антивирус поймает его при распаковке.Впрочем у большинства испанских крипторов такой же минус.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 460
Репутация
7 935
И ещё, можно извратится и открывать/распаковывать вирус js, т.е. так:

Код:
var WSHShell = WScript.CreateObject("WScript.Shell");
WSHShell.Run("virus.exe -p111",0);
 
myActiveXObject = new ActiveXObject("Scripting.FileSystemObject");
Где 111 - Это пароль !
Это поможет скрыть от большинства аверов, особенно таких как Авира, Нод и т.д. !sm3888

Но при распаковки, как уже было сказано всё спалится !:rasstroen:
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 460
Репутация
7 935
Впрочем у большинства испанских крипторов такой же минус.
Скажу больше, я так и не нашёл нормального, который-бы не палился в памяти...

И ещё, скажу что большинство платных крипторов, то-же самое палятся в памяти...

Лучше-уж тогда юзать эту штуку, причём это и Джойнер не плохой, кстати расширение exe можно также замаскировать прогой из этой темы например:https://ru-sfera.online/threads/prjachem-virus-v-kartinku-i-kriptuem.1583/page-2#post-87681

Склеить с картинкой и замаскировать, нормально будет, если-бы не палился ещё, то страшная штука могла-бы быть !like it