Прячем зловреда.ехе в Word

Discussion in 'Статьи' started by Veil, 30 Mar 2018.

  1. Veil

    Veil Banned

    Joined:
    21 May 2015
    Messages:
    2,049
    Likes Received:
    3,420
    Reputations:
    72
    Написать статью вынудили вопросы. А как файл.ехе спрятать в jpg, в ворде и тд? Будет ли он виден на компе жертвы, как он будет выглядеть и палят ли его антивирусы? Какая есть программа для этого? Некоторый раз лучше один раз описать и показать этот "Баян", что бы потом не возвращаться к нему.
    Начну по порядку с программы. Программ много, но я опишу одну. Что бы на её примере все увидели, что творится на самом деле.
    Программа называется Backdoorppt.
    Установка на Kali

    git clone https://github.com/r00t-3xp10it/backdoorppt.git

    Запускаем программу.

    [email protected]:~# cd backdoorppt
    [email protected]:~/backdoorppt# ./backdoorppt.sh

    [​IMG]

    Видим запуск прошел успешно. Вставляем свой файл, пусть это будет antichat.exe, который я предварительно сделал на Veil 3.0

    [​IMG]

    Соглашаемся. Жмем Yes.

    [​IMG]

    Вставляем свой файл. И выбираем картинку, которая будет видна на компе жертвы.

    [​IMG]

    Жмем ОК. И выбираем как мы назовем готовый файл.

    [​IMG]

    Ваш файл готов

    [​IMG]

    Он лежит в /root/backdoorppt/output/

    [​IMG]

    Как мы видим файл содержит расширение .ехе

    [​IMG]

    Так мы видим его на Kali, а вот что мы увидим на Винде.

    [​IMG]
    А это так, напоследок.

    [​IMG]

    Теперь вы все увидели своими глазами, что полностью расширение .exe не спрячешь, его можно только скрыть за иконкой.
    Надеюсь в будущем у вас больше не возникнет вопросов по этому поводу? ;)

     
    d0xDog, CKAP, Gorev and 14 others like this.
  2. fire-dance

    fire-dance Well-Known Member

    Joined:
    12 May 2015
    Messages:
    896
    Likes Received:
    613
    Reputations:
    10
    При простой проверки файла может и не выдаст но при запуске он скорей всего же задетектит?
     
    Keltas and panic.ker like this.
  3. killanas

    killanas Member

    Joined:
    14 Sep 2015
    Messages:
    27
    Likes Received:
    11
    Reputations:
    0
    Детект с иконкой никак не связан.
    Veil, полагаю, прятал обычный исполняемый файл, а не вирус. Иконка это всего лишь картинка, которая храниться в .exe
    Утилита, просто редактирует секцию ресурсов PE-файла.
    Аналогичное можно провернуть и в винде (Resource Hacker и т.д.).
     
    VentaL74 likes this.
  4. Veil

    Veil Banned

    Joined:
    21 May 2015
    Messages:
    2,049
    Likes Received:
    3,420
    Reputations:
    72
    Антивирь даже не пикнул при запуске.
    Даже думать забудь про обычные. ;) Прятал простой исполнительный файл-вирус, сделанный на Veil фраемворке.
     
    #4 Veil, 31 Mar 2018
    Last edited: 31 Mar 2018
  5. killanas

    killanas Member

    Joined:
    14 Sep 2015
    Messages:
    27
    Likes Received:
    11
    Reputations:
    0
    Чётко :)
     
  6. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,069
    Likes Received:
    1,564
    Reputations:
    40
    Ёжик
     
  7. fire-dance

    fire-dance Well-Known Member

    Joined:
    12 May 2015
    Messages:
    896
    Likes Received:
    613
    Reputations:
    10
    А можете протестировать на avira и каспере,просьба
     
  8. yondaime737

    yondaime737 New Member

    Joined:
    20 Mar 2018
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Приветствую Veil! Благодарю за такие статьи поучительные! Но, на данный момент, половина антивирей все палит. И что только не делал. Вот после это операции 13 антивирей остается, основные палят. На сегодняшний день есть какой ни будь обход? А то все таки тестировать надо антивирусы и все мы тут ради учения сидим.
     
  9. libidoua

    libidoua New Member

    Joined:
    3 Apr 2018
    Messages:
    2
    Likes Received:
    1
    Reputations:
    0
    Дебильная статья. Переименовал *.exe в *.ppt и сменил иконку! Профит! На кого это рассчитано? Безо всяких дурацких рубиновых скриптов я тебе за несколько секунд какое хочешь расширение сделаю вкупе с какой хочешь иконкой.
    Про склейки и макросы, которыми уже лет 20 пичкают офисные файлы, автор не слышал.
    Описание охуенное:
    Simple script that allow users to add a ms-word icon to one
    existing executable.exe (using resource-hacker as backend appl)
    and a ruby one-liner command that will hidde the .exe extension
    and add the word doc .ppt extension to the end of the file name.




    1) писать самому
    2) код обфусцировать
    2) криптовать
     
    artkar likes this.
  10. t0ma5

    t0ma5 Reservists Of Antichat

    Joined:
    10 Feb 2012
    Messages:
    831
    Likes Received:
    816
    Reputations:
    90
    статью вообще читал? там в самом начале автор пишет
    Code:
    Некоторый раз лучше один раз описать и показать этот "Баян", что бы потом не возвращаться к нему.
    
    ps. критиковать много ума не надо
     
    _________________________
    CKAP, killanas and Veil like this.
  11. NetSter

    NetSter Moderator

    Joined:
    30 Jul 2007
    Messages:
    810
    Likes Received:
    413
    Reputations:
    62
    ты гонешь. там под линухами все сделано ! ;)
     
    _________________________
    Veil likes this.
  12. Veil

    Veil Banned

    Joined:
    21 May 2015
    Messages:
    2,049
    Likes Received:
    3,420
    Reputations:
    72
    Вот тебе склейка ))) https://forum.antichat.ru/threads/456447/
    Да и джойнер сейчас не в почете.;)
    Слышали все и делали...;)
    Сделай файл с иконкой "Георгия-Победоносца" или " Святого Йоргена"
    [​IMG]
     
    #12 Veil, 3 Apr 2018
    Last edited: 4 Apr 2018
    Coost, DartPhoenix, Vovo4ka and 2 others like this.
  13. madik

    madik Member

    Joined:
    4 May 2017
    Messages:
    236
    Likes Received:
    81
    Reputations:
    6
    а не проще было-бы макрос запилить и запихать в word?
     
  14. Veil

    Veil Banned

    Joined:
    21 May 2015
    Messages:
    2,049
    Likes Received:
    3,420
    Reputations:
    72
    Можно сделать многое чего. Но статья не про это. А про то что виден ли вирус с расширением .ехе и как виден?
    Не путайте кислое с длинным.
    Парни, вы хотя бы статью читайте, а не только картинки смотрите.;)
     
    killanas likes this.
  15. madik

    madik Member

    Joined:
    4 May 2017
    Messages:
    236
    Likes Received:
    81
    Reputations:
    6
    ну не знаю не знаю) под видимостью что ты предполагаешь, если хвост .exe то в твоем случае не видно а если антивирусы то зависит в болшей части от криптора. да и все антивирусы не надо нагибать в большинстве случаев только один нужно обойти, (если ты знаешь что за зверь там стоит)
     
  16. begin_end

    begin_end

    Joined:
    4 Jan 2007
    Messages:
    252
    Likes Received:
    557
    Reputations:
    470
    Оо, Джоинеры. Возрождение. [ https://forum.antichat.ru/threads/41392/ ]
    Неужели до сих пор актуальны...
    До первого использования до реальной склейки. Сейчас антивирусы очень быстро обновляют базы, даже без учета проактивной защиты у каждого. Если раньше джоинер жил неделю активного использования, то теперь это будет в лучшем случае пара дней, если все будут активно клеить. А старые трюки с небольшой коррекцией кода в перевыпусках версий джоинера уже не помогут.
     
    _________________________
    vinosh and Veil like this.
  17. Nelson120

    Nelson120 New Member

    Joined:
    28 Jan 2018
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    Подскажите а как потом привести в исполнение этот файл?
     
  18. Spinus

    Spinus Level 8

    Joined:
    23 Sep 2018
    Messages:
    335
    Likes Received:
    1,919
    Reputations:
    3
    Жмак на него два раза мышью, файл и запустится.
     
  19. GREQUE

    GREQUE Member

    Joined:
    5 Dec 2019
    Messages:
    12
    Likes Received:
    18
    Reputations:
    3
    Для тех кому интересно, здесь используется символ RLO, т.к имеются языки в которых текст читается не слева на право, а с права на лево)
     
    #19 GREQUE, 5 Dec 2019
    Last edited: 5 Dec 2019
  20. GREQUE

    GREQUE Member

    Joined:
    5 Dec 2019
    Messages:
    12
    Likes Received:
    18
    Reputations:
    3
    Помню несколько лет назад делал так:
    1) Создавал sfx архив
    2) Добавлял в него малварь и картинку (устанавливал авто-открытие после распаковки)
    Что получалось в итоге - юзер открывал файл , перед ним открывалась картинка и паралельно запускался малварь :)
     
Loading...
Similar Threads - Прячем зловреда Word
  1. madik
    Replies:
    22
    Views:
    21,072
  2. GoodGoogle
    Replies:
    13
    Views:
    27,207
  3. P3L3NG

    Авторские статьи Прячем файлы (Version 1.1)

    Replies:
    9
    Views:
    5,134
  4. P3L3NG

    Авторские статьи Прячем файлы

    Replies:
    30
    Views:
    8,673