Форум АНТИЧАТ - Троянизация на коленке

Intro

Однажды, перед некоторыми из нас встаёт проблема впарить троян жертве, у которой конечно же стоит антивирус.
Перед нами три шага к успеху: впарить, обойти антивирь, засесть в системе. Способы впаривания уже вполне рассмотрены на Ачате.
Посполним пробелы =]

Если ты продвинутый кодер, скрыть или написать троян для тебя не проблема. Или у тебя много WMZ ?
В разделе объявлений куча соответсвующих предложений(если, конечно, не кинут).
Однако не все мы дети банкира, и не у всех имеется талант и время на языки программирования.

Сейчас мы рассмотрим, как можно скрыть трояна(или ещё какого виря), пользуясь лишь популярными прогами и гуглом для их поиска.

Infected!

1) Азы троянизации.
2) Кручу-верчу, Кинуть хочу.
- трояны
- упаковщики
- криптовальщики
- защита
- хекс-редактор
- редактор иконок
- клей
- инсталятор
3) Полезные ссылки.

=============..:: Азы троянизации ::..===============

Протроянивание жертвы - один из самых эффективных методов в достижении различных целей.
Однако, сейчас только у самого ленивого юзверя не стоит антивируса.
А уж если ты хочешь кидануть админа или вражину-хакерюгу, то задача серьёзно осложняеться.
Рассмотрим особенности, которые полезно знать любому кулл-хацкеру в создании троев.

Намба_1_
Чем больше ты знаешь о жертве - тем лучше. Разводи его(её) как хочешь, но узнай, какой у неё:
- антивирус
- фаервол
- аська-клиент
- почтовик
- браузер
и остальное по вкусу.

Зачем? Зная ПО компа жертвы, мы заложим в троян именно нужные функции и обеспечим гладкость всего процесса.
Об особенностях софта далее и пойдёт речь.

Намба_2_
Многофункциональные трои, имеющие билдер(Pinch, Xinch, A-311), позволяет включать и исключать различные способности в создаваемом коне.
Способность есть код, а код может быть в базе сигнатур антивируса. Следовательно, троян, при различных комбинациях заложенных в него функциях может как палиться, так и не палиться ОДНИМ И ТЕМ ЖЕ ативирём. А значит, надо делать всё по минимуму и проверять антивирусом до полной беспалевности.
Вот, сами смотрите. Берём ксинч. Указывем ему тащить пароли - компилим - проверяем нодом - "бла-бла-модифиц.-Pinch".
А теперь компилим с функцией ирка-бота - проверяем Нодом - "бла-бла-ирка-бот..."
Вот так вот.
Мне достаточно одного бэкдора+отключение фаервола. Благо, Аутпост любезно предоставил список (защита у него такая от конкурентов =] ).
Названия процессов популярных фаерволов, спасибо Аутпосту!.. :

iamapp=atguard
LoadBlackD=black
blackice=black
blackd=black
TrueVector=za
vsmon=za
Symantec Core LC=nis
SndSrvc=nis
KPF4=kerio
Look 'n' Stop=lns
looknstop=lns
ARMOR2NET=armor
SmcService=sygate
mpfexe=mcafee
mpfservice=mcafee
mpfagent=mcafee
mpftray=mcafee
mpfconsole=mcafee
Secuties Personal Firewall=buhl
;bdlite=bitdefender
;bdmcon=bitdefender
bdoesrv=bitdefender
rfw=R-Firewall
SophosFirewall=sophos

Конект на порт при знании консольных команд - это по хакерски =] Да, это долго и гемор, но обычно того стоит.
При желании можно собрать аналогичный список антивирей.

Намба_3_
При пассивном просканивании антивирусом трой может не палиться, но будет обнаружен, будучи запущенным.
Как проверить? Только эмпирически(те опытом).
Создадим аналогичного троя, только без автозапуска и прочих остаточных явлений для системы.
Включим антивирь и запускаем. Так и не заорал - значит точно всё путём.

Намба_4_
Антивирус антивирусу рознь. То, что нашёл один - не заметит другой.
В нашем случаем вирус известен и внесён в базы, а значит придётся его прятать.
Здесь нам и потребуеться точно знать фирму антивиря жертвы, чтобы учесть его инидивидуальные особенности(читай, глюки).
Ну, например, Нод плохо понимает MEW, и *.dll c изменённой точкой входа. А Доктор Веб испытывает трудности с AsProtect.

Намба_5_
Самой важной проблемой являеться проверка троя на работоспособность после упаковки. Проверить можно только на себе, запустив его.
Как правило, троян теряет работоспособность после нескольких упаковок\криптовок\защит. Есть очень много несовместимых комбинаций.
Подход к каждому трою сугубо индивидуальный. На выяснение всех комбинаций и проверку уходит львиная доля времени.
Это самая сложная и долгая часть в скрытии троя. Иногда потратив часы так и не добиваешься беспалевности, испробовав все варианты.
Терпение - самое важное ПО =]

=============..:: Кручу-верчу, Кинуть хочу. ::..===============

1) Трояны
Выбирают обычно по функциям:
Pinch, A-311, Xinch, Lamers Death, Netbus, GST, Anti-Lamer BackDoor и др.
Важно помнить, что не все трояны легко спрятать. Чем функциональней билдер, тем больше комбинаций и шансов на успех.

2) Упаковщики
Это программы вроде винрара или 7-зипа, только предназначены для особых типов файлов (*.exe, *.dll) сохраняя их работоспособность.
После упаковки троян становиться меньше. Так же видоизменяеться его код.
Важно то, что не каждый антивирус может распаковать упаковщик. А значит не может востановить исходный код и сравнить с вирусными сигнатурами.
В рекламе на сайтах можно найти, какие упаковщики поддерживает конкретный антивирь(и запаковать теми, которые не поддерживает =] )
Pklite, Lzexe, Diet, Exepack, CPAV, UPX, AsPack, FSG, MEW, Petite, Neolite, eXPressor, ARM Protector, SLVc0deProtector, WinUpack

Узнать,чем запакована прога, можно PEiD
Если требуеться наоборот распаковать, можно воспользоваться хорошим и универсальным Quick Unpack, или найти что-либо ещё.
Практически на все простые упаковщики есть распаковщики.

3) Криптование
Крипторы шифруют код программы, видоизменяют его, часто путают, усложняют, "замусоривают", делают невозможным определение типа упаковщика.
Одни и теже команды можно расписать совершенно непохоже.
После обработки трой может стать больше по размеру, но перестать палиться.

AFIX!, topo, Morphine, HidePE, Stealth PE

4) Защита
Защитные программы, как правило, включают в себя и упаковщики, и крипторыи, и разные анти-крякерские приёмы.
Они же позволяют встроить в прогу триальные ограничения и привязку к железу. (хыхы, триальный трой =] "У вас осталось 10 дней!")
Вобщем, тоже вариант шифрования трояна.
Аrmadillo, AsProtect, DotFix FakeSigner, Obsidium, ORiEN, PE_Compact, SoftwarePassport, , VMProtect

Не на все протекторы есть распаковщики. Но крутые крякеры рулят)

5) Хекс-редактор
Хекс-редактор это типа блокнот, только позволяет редактировать документ в 16-ти разрядных кодах.
Это требуеться для корректного отображения содержимого файла.
Нафиг оно надо? Многие антивири затыкаються, стоит лишь изменит пару байт на мусор вначале троя.
Трой после этого обычно всё равно работает, а антивирус замолкает.
Biew, Hiew, WinHex

6) Редактор иконок
Прилепить липовую иконку к трою? Да не вопрос!!!
Можно выдать трой за прогу, на за новую аську к примеру.
Часто делают так:
"Текстовый документ.txt (100 пробелов) .exe"
"Track_5.mp3 (100 пробелов) .exe"
"Новая папка (100 пробелов) .exe"
"readme.txt (100 пробелов) .exe"

Самые эффективные - иконка от 7-зип архива или самораспаковавающегося рар-архива(расширение не надо подделывать, оно *.exe и так)
Icon sushi, Icon+, Program Icon Changer

7) Клей
О, да! Один из самых популярных способов впарить трой под видом полезной проги. Склеивает *.exe и произвольные(ый) файлы.
Поведую известную штуку, о которой не всем известно. Делом в том, что на выходе клея получаеться екзешник.
Это не есть хорошо - опытный чел углядит расширение.
Но! Прикол в том, что если склеить трой с скринсейвером и переименовать скленный файл в *.scr - всё будет работать!
Да в жизни никто *.scr проверять на вири не станет!!! (хотя я бы и *.txt проверил =] )
ARP, MicroJoiner, SuperGlue32(SG32), KL

Фигово то, что некоторые клеи и их продукты считаються хак-тулзами и антивирусы их видят.

8) Как сервис
Все системы защиты давно научились мониторить ключевые места автозапуска троянов.
Только самый ленивый пользователь не скачал какой-нить там Starter, выдающий список всех автозапускаемых программ.
А вот в службы лезет не каждый. Многие даже и не знают как в них залезть и что это такое. (Алё! если ты один из них, тебе сюда: "Панель управления"->"Администрирование"->"Службы")
Как создать службу? Да в реестре её надо прописать. По аналогии можно взять одну из служб и посмотреть все ключики.
Вот программа помогающая создать запуск проги как сервис FireDaemon-Pro. Проследить операции рег-монитором и всё.

В Хакере (сен 2005) есть офигенная статья по автозапуску троянских приложений. Слабонервным не читать!!! Я теперь побаиваюсь левых файлов.

9) Инсталяторы
Самый изящное впаривание трояна - через инсталятор. Т.е. создать инсталятор на какую-нить прогу и зарядить туда трояна.
Бдительность жертвы при этом минимальна и обратно пропорциональна интересности встроенной проги.
ExeShield Deluxe, Inno Setup, MAKEMSI, MSIBuilde, NetScat Installer, NSIS, Nullsoft Ins Sys, Wise Ins Sys

=============..:: Полезные ссылки ::..===============

Даёшь трояны в массы?!

1) http://www.google.com =]
2) http://kickme.to/armMUPs подборка софта
3) http://www.compression.ru/ всё о упаковщиках
4) http://www.team-x.ru/xforum/index.ph...ST&f=40&t=3559 подборка софта
5) http://www.wisesoft.ru Хакер(#080, #081, #082)