Nik9
21.06.2010, 01:14
В данной статье излагается нехитрый, но 100% работающий способ сокрытия зараженного файла от ЛЮБЫХ антивирусов на Virustotal.Com. Для применения описанного способа нам понадобится программа WinRar. Описанное тестировалось на версии 3.62.
Итак, поехали...
У нас имеется троянский файл prog.exe, содержащий, к примеру, билд трояна Pinch 2.58. Необходимо, чтобы антивирус не детектировал его как зараженный. Для этого воспользуемся следующей методикой.
Во-первых создадим папку и положим туда билд трояна. Затем зайдем в папку с WinRar и скопируем в эту папку консольный архиватор rar.exe
Теперь создадим с помощью WinRar зашифрованый rar-архив, с именем prog.rar с файлом трояна(prog.exe).Пароль на архив к примеру, будет passw0rd.
Для распаковки и автозапуска трояна напишем bat-файл следующего содержания:
rar e -ppassw0rd prog.rar - здесь мы распаковываем троян в текущую папку. после ключа -p идет пароль
prog.exe - запускаем троян
Для того чтобы объединить 3 файла в 1, можно воспользоваться каким-нибудь джойнером(если он паблик, то будет палиться вся сброка) однако мы воспользуемся все тем же WinRar'ом.
Для этого создадим самораспаковывающийся архив, в который добавим файлы prog.rar и rar.bat с приведенным выше содержимым. При создании архива в диалоге "Имя и параметры архива" на вкладке "Общие" отметим чекбокс "Создать SFX-фрхив", затем перейдем на вкладку "Дополнительно", нажмем там кнопку "Параметры SFX". В открвышемся окне на вкладке "Общие" введем в поле ввода "Выполнить после распаковки" имя нашего bat-файла rar.bat
Затем перейдем на вкладку "Режимы", отметим там чекбокс "Распаковать во временную папку", в рамочке "Режим вывода информации" нажмем радиокнопку "Скрыть все", а в рамочке "Режим перезаписи" на всякий случай - "Перезаписывать все файлы"
[Ссылки могут видеть только зарегистрированные и активированные пользователи]
Сохраним значения и создадим архив нажатием кнопок "OK". Теперь полученный файл можно смело впаривать жертве, не опасаясь, что Virustotal.Com обнаружит в нем вирусы. При запуске архив prog.rar автоматически распакуется во временную папку и будет расшифрован с указаным паролем.
Естественно, у описанного способа есть огромный недостаток - нормальный антивирус запалит троян в момент распаковки из второго архива. Однако многие жертвы не держат антивируса с актуальными базами, а грузат файлы на вирустотал, касперского и другие серваки, а при простом сканировании такой файл выявить практически невозможно.
Итак, поехали...
У нас имеется троянский файл prog.exe, содержащий, к примеру, билд трояна Pinch 2.58. Необходимо, чтобы антивирус не детектировал его как зараженный. Для этого воспользуемся следующей методикой.
Во-первых создадим папку и положим туда билд трояна. Затем зайдем в папку с WinRar и скопируем в эту папку консольный архиватор rar.exe
Теперь создадим с помощью WinRar зашифрованый rar-архив, с именем prog.rar с файлом трояна(prog.exe).Пароль на архив к примеру, будет passw0rd.
Для распаковки и автозапуска трояна напишем bat-файл следующего содержания:
rar e -ppassw0rd prog.rar - здесь мы распаковываем троян в текущую папку. после ключа -p идет пароль
prog.exe - запускаем троян
Для того чтобы объединить 3 файла в 1, можно воспользоваться каким-нибудь джойнером(если он паблик, то будет палиться вся сброка) однако мы воспользуемся все тем же WinRar'ом.
Для этого создадим самораспаковывающийся архив, в который добавим файлы prog.rar и rar.bat с приведенным выше содержимым. При создании архива в диалоге "Имя и параметры архива" на вкладке "Общие" отметим чекбокс "Создать SFX-фрхив", затем перейдем на вкладку "Дополнительно", нажмем там кнопку "Параметры SFX". В открвышемся окне на вкладке "Общие" введем в поле ввода "Выполнить после распаковки" имя нашего bat-файла rar.bat
Затем перейдем на вкладку "Режимы", отметим там чекбокс "Распаковать во временную папку", в рамочке "Режим вывода информации" нажмем радиокнопку "Скрыть все", а в рамочке "Режим перезаписи" на всякий случай - "Перезаписывать все файлы"
[Ссылки могут видеть только зарегистрированные и активированные пользователи]
Сохраним значения и создадим архив нажатием кнопок "OK". Теперь полученный файл можно смело впаривать жертве, не опасаясь, что Virustotal.Com обнаружит в нем вирусы. При запуске архив prog.rar автоматически распакуется во временную папку и будет расшифрован с указаным паролем.
Естественно, у описанного способа есть огромный недостаток - нормальный антивирус запалит троян в момент распаковки из второго архива. Однако многие жертвы не держат антивируса с актуальными базами, а грузат файлы на вирустотал, касперского и другие серваки, а при простом сканировании такой файл выявить практически невозможно.