Hola!!

Bueno, os voy a hablar de un método de 'infección' de ejecutables en el que llevo trabajando hace unos días. Pongo una atención especial en la palabra 'infección' (está entre comillas) ya que no es una infección real, no se modifica ni altera el fichero ha infectar, bueno, empecemos...

iFEO bug - Image File Execution Options



Éste es el programa que he diseñado para dar a entender éste método, está programado en VB pero se puede exportar de una forma MUY fácil a cualquier otro entorno, desde BACH, ASM, C, Delphi, da igual...

Os descargáis el fichero adjunto (iFEO.exe) en vuestra máquina y lo ejecutáis, os aparece el programa igual que en la imagen de arriba, nos centramos en el primer recuadro: 'Infección' de ejecutables.

Primero necesitamos un fichero Dummy, es decir, un ejecutable pequeñito y que no haga nada (remember DummyFile), el propio programa ya lo incorpora, así que pulsamos sobre el primer botón y nos generará el fichero C:\dummy.exe de 133 bytes

Una vez generado correctamente, buscamos el NOMBRE de un proceso de nuestro equipo. No necesitamos la ruta completa del fichero, solo el NOMBRE, por ejemplo: iexplore.exe, firefox.exe, notepad.exe. Podemos 'infectar' incluso ejecutables protegidos por Windows, o ejecutables a los que no tenemos acceso de Escritura: cmd.exe, explorer.exe. Incluso ejecutables o servicios de Antivirus/Windows: avp.exe, svchost.exe, regedit.exe

Para la prueba, os recomiendo usar el iexplore.exe, pulsamos sobre el botón de al lado: 'Infectar' Ejecutable

Ahora cerramos el iFEO.exe y ejecutamos nuestro Internet Explorer... ops! que es lo que ocurre? No se ejecuta?! El proceso iexplore.exe ha quedado 'infectado' y en su lugar se ejecuta nuestro ficherito dummy.exe en lugar del iexplore.exe

Después de esta prueba vuestra imaginación empezará a volar, ejemplos:

1) Infectamos procesos como: setup.exe, winrar.exe, winzip.exe, install.exe, update.exe, regedit.exe, mmc.exe, msconfig.exe, cmd.exe, taskmgr.exe, notepad.exe Y el sistema operativo será MUY dificil de reparar

2) Infectamos procesos como: guard.exe, avp.exe, avp.com, esetgui.exe, ekrnl.exe, norton.exe, panda.exe, mcafee.exe [...] Y el sistema se quedará sin Antivirus

3) Infectamos procesos como: svchost.exe, services.exe, lsass.exe, rundll32.exe, winlogon.exe Y el sistema se volverá inestable

Esto son solo unos ejemplos, aquí tenéis otro más:

En lugar de generar C:\dummy.exe, podéis probar de poner en su lugar el server de un troyano, keylogger, etc... C:\server.exe e infectar procesos comunes: calc.exe, msgrmsn.exe, firefox.exe... y vuestro servidor será ejecutado en lugar de esos procesos.

Limitaciones del Bug

Requiere modificación del registro en la clave HKLM por lo que se necesitan privilegios de Administrador, para modificar los ejecutables no se necesitan privilegios sobre ellos.

Para Desinfectar vuestra máquina

Pulsamos el botón Eliminar DummyFile y luego escribimos abajo el nombre de los procesos que hemos 'infectado' y pulsamos Desinfectar.

---

Para más información

Descarga dle programa: iFEO.exe
Código fuente del iFEO.exe en el foro de Programación VB (aquí)

Dependel del entorno por el que te muevas... Díme como harías tú para que cada vez que el usuario ejecute el cmd.exe (ficheor protegido por Windows) se ejecutara el server de un troyano (por ejemplo) sin desactivar el WFP.

Además, con este método puedes 'deshabiliar' todos los setup.exe del sistema, evitando que el usuario pueda instalar nuevas herramientas de desinfección o antivirus nuevos. Hay muchas formas de explotar esto, yo lo veo muy sencillo de utilizar y con amplias opciones.

Pero bueno, para gustos... colores, no? Si quieres puedes usar Binders, pero no se como modificarás un ejecutable al que no tengas permisos NTFS de escritura por ejemplo... ejem! xD

Un tutorial de infarto, y muy currada esa tool, pero lo único que le veo de pequeño inconveniente a esto es que para poder llevar a cabo la "infección" hay que tener acceso fisico a la máquina ¿verdad?

Lo ideal seria que le dijeramos al programa el proceso que queremos infectar, y al generar el ejecutable ya se jodiese el proceso indicado cuando lo ejecute la victima, no sé si me entiendes...para que con que la victima ejecute el .exe ya esté todo hecho...

Saludos ^^

Tal y como dice EON, modifica el source y lo pones como quieras... eso que comentas se puede hacer sin problema, esta tool está compilada para demostrar el método, explotarlo a tu manera es cosa tuya


Sí, lo del registro es una *****, pero bueno por suerte el 95% de los equipos domesticos trabajan con usuarios administradores xD A que te refieres con "una vez más el KAV se lo carga"? En mi PC con Kaspersky Internet Security 2009 le puedo hacer el killAV si infecto los procesos: avp.exe y avp.com

Buuuuua!

Me esperaba algo mejor ... no es por despreciar tu trabajo Mad... pero hace tanto que uso eso....

Y hace tanto tiempo que se usa en MalWare:

Ademas... eso de [('"Infeccion"')]... yo mas bien lo llamara 'corrupción'....

De todas formas es un buen trabajo

Saludos

Eso es cierto... era (como a mi me gusta decir ) un secreto a VOCES

Tienes toda la razon... habra gente que estara flipando... otros no tanto

Venga, no te desanimes y sigue currando!

Saludos

Si bien es un método viejo es muy poco conocido, si realmente fuera conocido muchos más virus harían uso de él 

Hace poco me tope con un worm vbs que hacía justamente esto, el Sasan.N

En este caso es un poco menos discreto que en tu método, ya que abre una cantidad de las herramientas de sistema con el notepad, ej: cmd.exe, msconfig.exe, regedit.exe, taskmgr.exe, etc 

Saludos

Con modificar una cadena de registro alcanza, sin API's ni nada, solo que Mad le ha dado un poco más de orden y la opción de crear el dummy file 

Saludos