1. Теперь за форумную активность начисляются биткоины и другие криптоденьги. Подробнее.
    Скрыть объявление
  2. Появилась архивная версия форума arhiv.xaker.name, где собраны темы с 2007 по 2012 год.
    Скрыть объявление

Делаем бота саморазмножающимся.

Тема в разделе "Статьи", создана пользователем onthar, 24 окт 2011.

  1. onthar
    onthar Команда форума Админ
    Симпатии:
    388
    Делаем бота саморазмножающимся.

    В этой статье я расскажу, как на халяву получить инсталлы вашего трояна\бота.
    Как то, не очень давно, я прочитал на сайте Касперского (просто кладезь полезной информации (я не шучу)), про вирус Parite.b (с этим вирусом у меня связанны неприятные воспоминания, но не буду об этом). Чем меня заинтересовала эта информация? Тем, что было написано, что широким распространением этот вирус обязан червям. Как так? Оказывается, что вирус заражает черви, и они переносят его по всей сети.

    Появилась идея - почему бы не заразить черви не бесполезным вирусом, а полезным софтом? Сказано-сделано - берем любой джойнер, и склеиваем червь с трояном\ботом. И обламываемся . Почему? Потому что джойнеры извлекают из запущенного файла чистый червь (без трояна) и троян. Далее червь распространяется по компам без нашей полезной нагрузки. Как же быть? И тут на помощь приходит замечательная программа inPEct! Что она делает? Она позволяет внедрить в файл-жертву(червь) полезный груз (троян). При запуске, она не распаковывает оба файла в какую-нибудь папку, а распаковывает только полезный груз. Файл-жертва запускается сам (без кидания в Temp\Windir\Systemdir). То есть червь так и остается вместе с внедренным трояном. Естественно, когда червь копирует себя по сети, на флешку, и т.д., он копируется вместе с внедренным трояном.

    Черви можно найти на зараженных сайтах. Например на сайтах из этого списка - www.malwaredomainlist.com
    Итак, на хирургическом столе -
    1. червь Radminer
    2. троян PoisonIvy
    Все очень просто - открываем inPEct, в качестве жертвы выбираем червь, в качестве трояна - PoisonIvy. Убираем галку Enable "smart" feature. Нажимаем "inPEct!". В папке Output появился файл. Далее кидаем этот файл на дедики, либо распространяем другими способами. После этого червь начнет самораспространяться, и вы увидите новых ботов в клиенте PI. Червь не очень хорош, я привел его только для примера. Самораспространяется слабо, но все же результаты есть!
    Конечно же, вместо inPEct, вы можете применить любой другой инфектор (они встречаются на сайтах вирмейкеров). Но рекомендую использовать виртуалку (инфекторы часто заражены сами).

    Файлы к статье - Radminer и inPEct -
    Код:
    http://www.sendspace.com/file/a2eqf8
    Пасс - exploit.in
    Без криптовки файлов у вас ничего не получится! Нужно закриптовать бот и червь хотя бы пабликом.

    ВНИМАНИЕ! Антивирусы часто пишут то, что не соответствует действительности! Например, они пишут Email-Worm(то есть червь), а на самом деле, это спам-бот. Он не саморазмножается, а просто спамит по заданию хозяина! Не обожгитесь на этом!

    © haxdef для exploit.in​
     
    24 окт 2011
    3 пользователям это понравилось.
  2. BlackFire
    BlackFire Guest
    Очень понравилась статья, вобщем как обычно все твои статьи на высоте)!
    Несколько вопросов:
    1.Если склею 2 файла джойнером после склейки файл можно криптовать или я его тока сломаю?
    2.Если я таким образом привенчу к своему боту, трояну и т.д несколько червей с помощью inPEct и джойнера, буду приклеивать червей пока вес файла не будет 600кб можно так зделать или не желательно?вить эфективность будет выше так как много разных червей и распростроняются они по разному.
    3.не совсем по теме, склееные файлы или джойнером или криптованные можно сжимать UPX или это следует делать до склейки и криптовки по отдельности каждый?
     
    24 окт 2011
  3. onthar
    onthar Команда форума Админ
    Симпатии:
    388

    все зависит от криптера и джойнера, в идеале - сначала крипуем троя, склеиваем, криптуем склеенный файл. Но часто файлы бьются.
    Особенно при работе с пабликом.

    не пробовал этот способ, наверное можно.


    тут так же все зависит от криптера, лучше сжимать вообще чистые файлы, до крипта/склейки. Так же можно комбинировать.

    Тут дело опыта - главное.
     
    24 окт 2011
  4. BlackFire
    BlackFire Guest
    Не внимательность :)

    Щас буду ставить эксперементы, попробую для начало привентить 3 разных червя. за разъяснения сенкс.
     
    24 окт 2011
  5. zapadlo_zapadlov
    zapadlo_zapadlov Продвинутый
    Симпатии:
    4
    Тебе таки приглянулась эта статья :)
     
    24 окт 2011
  6. onthar
    onthar Команда форума Админ
    Симпатии:
    388
    да, оригинальный подход)
     
    25 окт 2011
  7. fess66
    fess66 Guest
    Не могли бы пожалуйста кто нить дать хорошего червя?
     
    19 янв 2012
  8. digimon
    digimon Новичок
    Симпатии:
    11
    +1

    Ибо радминер сам по себе хорош,что начинает сканить и брутить радмины.
    а потом появляется палевность в разделе с: с названием log.txt

    Было бы здорово если можно было бы найти червя похожий на parite ибо это штука зловещная, с которым я неоднократно марался.

    или какого-нибудь червя схожим функционалом,а именно:
    находит exe файлы и модифицирует их путем того что он склеивает еще и вредоносный exe файл.С уважением!
     
    19 янв 2012
  9. onthar
    onthar Команда форума Админ
    Симпатии:
    388
    Вот тут в архиве и parite, и kolab, и Phorpiex:
    Код:
    http://www.sendspace.com/file/lyoqos
     
    19 янв 2012
  10. digimon
    digimon Новичок
    Симпатии:
    11
    onthar,
    спасибо,у меня вопросик,если parite склеить с данлоадером при помощи inpect то работать должен?
     
    19 янв 2012
  11. onthar
    onthar Команда форума Админ
    Симпатии:
    388
    По идее должен, если склеивать не с зараженным файлом, а с телом вируса.
     
    19 янв 2012
  12. fess66
    fess66 Guest
    Нужно ли менять в формат ехе? и объсните плиз чем отличается parite.b от win32.parite
     
    19 янв 2012
  13. onthar
    onthar Команда форума Админ
    Симпатии:
    388
    Да.
    это в гугл, я уже совершенно не помню. Там может быть один файл - вообще чисто библиотека.
     
    19 янв 2012
  14. diker
    diker Новичок
    Симпатии:
    0
    Подскажите инжектор какйнибуд на подобие InPect

    Одскажите инжектор какйнибуд на подобие InPect, а то у меня не работает, не идет распространения, и даже бот не отстукивает
     
    9 май 2012
  15. greengrey
    greengrey Новичок
    Симпатии:
    0
    получилось ? если да скажи как плз )
     
    11 янв 2013
  16. redstarusss
    redstarusss Новичок
    Симпатии:
    0
    Перезайлете пожалуйста
     
    9 июл 2013

Поделиться этой страницей

Загрузка...