Foro de elhacker.net

Solamente se de 2 formas lograr algo asi, una es uniendo como un binder o joiner el .exe con mi virus.exe, y la otra forma la busque recien y encontre de modificar el registro para que cada vez que se ejecute un .exe se ejecute tu virus, estan en otro lado instalado el virus.exe igual.

La segunda opcion no se si sirve aun y si es verdad, no se que me dicen..

Pero.. existen virus que "introducen parte de codigo malicioso a un exe", entonces aumenta el tamaño del exe y asi me di cuenta yo por ejemplo ayer que tenia un virus que me estaba infectando de esta forma los exe's. Como hacen eso? de que forma podes meter codigo a un exe?

Y para infectar dlls? para que cuando el .exe llame a esa dll se ejecute el codigo o tiene algun beneficio mas? Por ejemplo.. si tengo un compilador de un lenguaje de programacion con sus dlls infectadas, puede que me modifique algo en la generacion del exe?


Algunos ya se han acostumbrado que soy pregunton, pero para los que no, lo siento por tantas preguntas xD

Gracias!

lo que se hace es agregar secciones al exe o agrandar una ya existente, luego rediriges el punto de entrada y ya lo tienes infectado, para hacerlo con dll seria como con el exe, solo que en este caso podrías enganchar las funciones exportadas de manera permanente. Lo del compilador seria posible, aunque no la he visto todavía. Pero de hacerse e infectar una compañía de desarrollo de software podría tener una gran difusión

Saludos

Gracias, pero me puedes decir con palabras mas especificas, por ejemplo como se le dice a agregar secciones al exe? y lo de redirigir el punto de entrada, etc. Hablando como para yo saber que buscar para aprender mas. No importa si tu no sabes, pero lo digo por si alguien si sabe. Gracias!

Puedes buscar sobre el formato PE. En este mismo foro Ferchu publicó por Abril Negro hace unos años un taller sobre el formato PE, en una de las secciones añade código a un ejecutable de forma manual.

Saludos

PD: Y Arkangel si sabe  :P .

Cierto, algo de esto ya habia leido alguna vez, gracias como siempre [Zero] y si, veo que Arkangel si sabe del tema..

Una cosa mas.. que me dicen de la segunda opcion que comente en el primer post?

lo del registro?

Busca reparar asosciacion archivos .exe

o asi, podes infectar la "asosciacion de archivos" para que el programa pedeterminado para abrir un .txt no sea notepad, sino tu virus.

O podes hacer que el programa predeterminado para abrir un programa.exe sea en lugar de Shell32 tu exe.

y INFECCION :D


EDIT: un dato curioso para agregar.

Una ves escuche de un "mito" (digo mito porque nunca lo vi) de un virus el "VIRUT"
lo que hacia era escribir codigo malicioso en TODOS (literalmente) TODOS los archivos de tu pc (Doc, pdf, jpg, exe,txt todas las extensiones, todos los archivos) aunque no fueran ejecutables.
Funcionaba haciendo que el antivirus detectara esas modificaciones y los considerara virus y los hiciera *****.
Siendo el propio antivirus el que se encargaba de limpiarte el disco :P

No se si existira, o si sera asi. ese es el rumor que me llego una vez

Hay algunas claves que seguro se pueden utilizar par lo que dices, aunque no es muy efectivo, casi la totalidad de los antivirus monitorizan en tiempo real los cambios en el registro, y te harán muy difícil usar una de esas claves. Algo más efectivo es infectar alguna DLL que sepas que se va a cargar, o simplemente infectar todo archivo ejecutable (tanto exes como dll's) que te encuentres. También se que es posible hacer que se ejecute tu código cada vez que se alguien cargue la USER32.DLL (osea, el 99% de las veces que alguien ejecute un ejecutable), pero no recuerdo como hacerlo, el que me lo había comentado creo que era Arkangel :P .

Saludos

esta es la clave:

Dale, gracias Elemental Code, y gracias [Zero] ni te molestes que solo quiero saber por arriba, ya que pienso meterle a todos los temas firme cuando ya vaya 2 o 3 años en la carrera de ingenieria en computacion, sino por estudiar aca me ira mal xD aunque todavia no he ni empezado.

Yo sabia lo de las extensiones, pero no de esta forma.. solo sabia como modificar las extensiones para que por ejemplo si se ejecuta un .jpg en realidad sea un .exe y asi ni cuenta, ya que despues volvia a dejar todo como estaba.

Lo que dices EC puede ser porque no? lo unico que borrara todo el antivirus si esta programado para hacerlo, y no creo que tengas tu antivirus para borrar sin que te pregunte.

Me lei mas o menos el taller que me dijiste [Zero] y ahora mas o menos por arriba comprendo como funcionaria lo de "curar" o "desinfectar" en los avs que siempre me causo risa y ahora entiendo que algunas veces si se puede "curar".

Gracias!

edit: Akangel, pero ya es algo viejo hacer eso entonces? cualquier antivirus lo detectaria segun [Zero] o se puede hacer algo para modificar eso sin que el antivirus sospeche?

Lo que comenta Elemental Code sobre Virut, lo conozco porque me llegue a infectar con el y fue una tremenda molestia, Virut infecta tanto a ejecutables como a archivos html ademas de ser polimórfico, es interesante ver las técnicas que utiliza para infectar a los ejecutables y pasar inadvertido ante los antivirus. Los chicos de Kaspersky han hecho un análisis muy bueno sobre este virus: http://www.viruslist.com/sp/analysis?discuss=207271079&return=1

Saludos.

@ElementalCode, el virut solo infectar archivos .EXE y .SRC, es polimorfico y es tan real como cualquiera de nosotros. @Zero y @Arkangel son los amos en el tema del malware, no creo coherente decir que no saben. Métodos de infección? Muchos, pero generalmente debes trabajar con shells a inyectar y como mínimo conocer el formato PE.

Un saludo.

Espero no ser inpertinente, pero hablan tan bien de metodos de infeccion que se nota que saben muchisimo, en fin. . . a lo que queria ir es que una ves lei que un malware se puede 'alojar' en la BIOS, de ser asi como puedo desaserme de este ?
Tengo entendido que con formatear el equipo no es suficiente ya que no influye directamente a la BIOS, pero si se actualiza la BIOS ?

(Esto se me ha ocurrido resien y tálves sea una estupides lo que diga)
Se podria 'alojar' malware en la memoria ROM ?. Se que esta momeria es de solo lectura, pero tengo entendido que en sus ultimas versiones tambien se puede escribir.

Si no me equivoco, si la bios está firmada no se puede =/

Igual te dejo esto:
http://vimeo.com/16837908

http://ekoparty.org/archive/2009/Slides-Deactivate-the-rootkit-Sacco-Aortega-Ekoparty.pdf


Bonus:
http://www.youtube.com/watch?v=pSAKPZ8KIPs

Gracias @Иōҳ, son hartos minutos de info :D
haora que me acuerdo la BIOS tambien tiene la opcion de password, que opinan es esto ? (mode paranoico ON).

HOLA!!!


Yo padeci ese martirio si existe y no se llama "VIRUT" los av lo definen asi, es un rootkit que se auto copia a todos los exe de la maquina y genera continuamente copias fantasmas de si mismo ademas te corrompe todos los documentos.
Ademas tiene poliformismo muy bueno, el unico archivo que no detectara tu av es el virus en si.

GRACIAS POR LEER!!!

Tienes la muestra?

Nox.

mmmm lo que entendi es que quieres unir un ejemplo: server.exe con otro programa para ocultar el server
puedes utilizar droppergen

HOLA!!!


Busca en h-sec esta ahi la muestra

GRACIAS POR LEER!!!