 Autor
|
Tema: ¿Es esto posible? (Leído 4,421 veces)
|
|
Gambinoh
|
¿Alguien ha logrado la forma de camuflar (de forma no chapucera) un archivo con extensión exe y transformarlo a avi o mp3?
Perdonad mi ignorancia, pero yo tengo una política muy seria de no descargar de fuentes no seguras en cualquier tipo de archivo, pero siempre en especial ejecutables y "comprimidos", así que al no haberme interesado por el tema no se si existe esa posibilidad.
|
|
|
|
« Última modificación: 15 Abril 2011, 23:48 pm por Gambinoh »
|
En línea
|
|
|
|
Edu
 Desconectado
Mensajes: 1.082
Ex XXX-ZERO-XXX
|
Hace un tiempo salio un tutorial para poder cambiarle de extension .exe a .avi o .jpg lo q quieras, eso da miedo pero pocos lo saben/hacen y si tenes un .avi q tenes miedo de q sea otra cosa abris el reproductor y lo buscas al avi en el reproductor, lo mismo con los .mp3 ( asi no le das doble click y si era un .exe camuflado no se vera el video y entonces lo borras)
|
|
|
|
|
En línea
|
|
|
|
|
Gambinoh
|
[...] si tenes un .avi q tenes miedo de q sea otra cosa abris el reproductor y lo buscas al avi en el reproductor, lo mismo con los .mp3 ( asi no le das doble click y si era un .exe camuflado no se vera el video y entonces lo borras) Entendería que para consultar si el archivo está infectado por un virus conocido, se examine en: http://www.virustotal.com/, lo que no entiendo es que el reproductor de películas sea un método para comprobar algo. Ya que cuando le das doble click, este mismo reproductor de películas la intenta abrir y de esta forma también se ejecuta el malware, en cambio si se trata de listar los archivos con extensión avi por ejemplo, el archivo supuestamente infectado también aparecería. Me parece un tema importante como para que lo consideremos "secreto", ¿dónde reside la dificultad del proceso, se trata de un programa privativo que se mueve en círculos secretos? xD Ahora pregunto al resto del foro: ¿habéis leído algo al respecto?
|
|
|
|
|
En línea
|
|
|
|
zosemu
Desconectado
Mensajes: 39
|
Siempre puedes realizar una copia binaria para combinar uno o más archivos, aunque es una técnica estenográfica propiamente y lo más común es camuflar detrás de una imagen un archivo comprimido, también puede usarse para camuflar algún ejecutable. Aunque no es tan sencillo que se ejecute debido a la forma en la que funcionan los ejecutables, pero se me ocurre programar un pequeño exe que aproveche algún fallo en el visor de imágenes de windows por ejemplo para ejecutarse, extraer el malware y luego ejecutarlo. Si te interesas en el tema busca más información sobre las técnicas estenográficas actuales.
SaluDoS!!
Como ejemplo: copy /b archivo.jpg + programa.exe salida.jpg
|
|
|
|
|
En línea
|
|
|
|
Edu
Desconectado
Mensajes: 1.082
Ex XXX-ZERO-XXX
|
Ese ejemplo que dejas zosemu es viejisimo y funciona si pero no es a lo que me referia yo: http://www.i-hacker.info/auditoria-y-diseno-de-malware/'cambiar'-la-extension-de-un-exe-a-jpg-mp3-etc-o-mp3-a-jpg-(cualquiera)/Si es spam esto o no se, perdon y saquenlo. @Gambinoh yo no digo que sea un metodo para comprobar que sea malware o no que use siempre xD digo porque en virustotal podras analizar alguna vez y te dira q esta limpio cuando en realidad no lo esta! Lo que te decia de hacer cuando dudas de un .mp3 o .avi es abrir el reproductor de musica o video depende el caso y poner Abrir o como sea y cargas el .avi o .mp3 y luego a Play, si era un .exe camuflado te dira Error bla bla bla, sino se escuchara claramente. Esque el metodo que yo hablo de camuflar los .exe si ya lo miraste dice que solo aparenta ser .jpg pero es un ejecutable .exe, miralo y entenderas. Pero lo q te quiero decir con eso es q por ejemplo aunque te quede .jpg y quieras pasarlo por msn como cuando pasas una imagen con el windows live 2009 para adelante, viste que sin descargar puede ver la imagen? bueno en este caso daria un error o mostraria una imagen en blanco no lo se, no lo he probado porque funciona solo en vista y windows 7 dice y no lo tengo instalado a ninguno de esos SO |
|
|
|
|
En línea
|
|
|
|
|
Gambinoh
|
Ese ejemplo que dejas zosemu es viejisimo y funciona si pero no es a lo que me referia yo: http://www.i-hacker.info/auditoria-y-diseno-de-malware/'cambiar'-la-extension-de-un-exe-a-jpg-mp3-etc-o-mp3-a-jpg-(cualquiera)/Si es spam esto o no se, perdon y saquenlo. @Gambinoh yo no digo que sea un metodo para comprobar que sea malware o no que use siempre xD digo porque en virustotal podras analizar alguna vez y te dira q esta limpio cuando en realidad no lo esta! Lo que te decia de hacer cuando dudas de un .mp3 o .avi es abrir el reproductor de musica o video depende el caso y poner Abrir o como sea y cargas el .avi o .mp3 y luego a Play, si era un .exe camuflado te dira Error bla bla bla, sino se escuchara claramente. Esque el metodo que yo hablo de camuflar los .exe si ya lo miraste dice que solo aparenta ser .jpg pero es un ejecutable .exe, miralo y entenderas. Pero lo q te quiero decir con eso es q por ejemplo aunque te quede .jpg y quieras pasarlo por msn como cuando pasas una imagen con el windows live 2009 para adelante, viste que sin descargar puede ver la imagen? bueno en este caso daria un error o mostraria una imagen en blanco no lo se, no lo he probado porque funciona solo en vista y windows 7 dice y no lo tengo instalado a ninguno de esos SO Jeje, ya veo el truco, es bueno... Muchas gracias por la respuesta XXX-ZERO-XXX, eres un crack 
|
|
|
|
|
En línea
|
|
|
|
Edu
Desconectado
Mensajes: 1.082
Ex XXX-ZERO-XXX
|
De nada, y no soy un crack ni cerca de eso, pero gracias ja
|
|
|
|
|
En línea
|
|
|
|
zosemu
Desconectado
Mensajes: 39
|
Vale no lo había comprendido porque faltaba la info exacta, ya lo he leído pero ese tipo de técnica no tiene ningún efecto ante los nuevos antivirus debido principalmente a la heurística, vale que también practico cracking y por eso te puedo decir que este tipo de error no afecta al código de manera directa, voy a tratar de explicarlo suponiendo que tienes el programa test.exe, ahora un antivirus tradicional lo que haría sería en primer instancia obtener una firma del ejecutable y de lo que hace, bueno a final de cuentas todos los ejecutables tienen que pasar a un lenguaje cercano al binario y es el más viejo según yo ensamblador:
JB SHORT PoC-20.004012E6
PUSH 65
IMUL ESI,DWORD PTR DS:[ECX+ESI],-3F
INC EAX
ADD BYTE PTR DS:[EAX],CL
ROL DWORD PTR DS:[EAX],0
ADD BYTE PTR DS:[EAX],AL
Ahora cuando buscas crackear algo examinas ese código y analizas lo que hace y por último lo modificas para que haga lo que te venga en gana, es decir que no moleste con ventanitas diciendo que ya ha vencido, modificarlo para que acepte cualquier serial, descubrir como evalúa los seriales a fin de hacer un keygen, etc.
Pero a fin de cuentas aquí es donde realmente un ejecutable se distingue del resto de los archivos, ese carácter existe y no solo eso se puede usar en los navegadores a fin por ejemplo de saltar algún filtro anti XSS o anti SQI, pues de hecho invierte todo por lo que según recuerdo también se le llama el carácter espejo, ahora ya a nivel SO lo único que hace es invertir a la hora que ejecutas la extensión del archivo a fin de saltarse el antivirus, craso error, pues como te dije ahora los antivirus evalúan el código no solo la firma de el, en los antivirus tradicionales se sacaba ,una firma y se comparaba con las de la base de datos si se encontraba algo se detectaba el virus, por eso podían tardar tanto los antivirus en detectar algunos de ellos y más aún cuando había diversas mutaciones.
Hoy gracias a la heurística lo que se evalúa es la función del archivo y si canta algo sospechoso es marcado como virus, tan es así que antes podías usar empacadores a fin no solo de comprimir tu ejecutable sino al mismo tiempo evadir los antivirus, pero hoy en día hasta los empacadores pueden resultar sospechosos para los antivirus, hay numerosas técnicas de ofuscación de código, pero invertir la extensión por medio de un carácter o intentar camuflar el ejecutable tras otro archivo con una copia binaria sin duda alguna están en desuso.
Por eso te decía yo que si realmente quieres disfrazar un ejecutable tras otro archivo tendrías que usar esteganografía, pero para engañar a los antivirus se necesita ofuscación.
SaluDoS!!
|
|
|
|
|
En línea
|
|
|
|
|
 |
