В этой статье я расскажу, как на халяву получить инсталлы вашего трояна\бота.
Как то, не очень давно, я прочитал на сайте Касперского (просто кладезь полезной информации (я не шучу)), про вирус Parite.b (с этим вирусом у меня связанны неприятные воспоминания, но не буду об этом). Чем меня заинтересовала эта информация? Тем, что было написано, что широким распространением этот вирус обязан червям. Как так? Оказывается, что вирус заражает черви, и они переносят его по всей сети.
Появилась идея - почему бы не заразить черви не бесполезным вирусом, а полезным софтом? Сказано-сделано - берем любой джойнер, и склеиваем червь с трояном\ботом. И обламываемся smile.gif. Почему? Потому что джойнеры извлекают из запущенного файла чистый червь (без трояна) и троян. Далее червь распространяется по компам без нашей полезной нагрузки. Как же быть? И тут на помощь приходит замечательная программа inPEct! Что она делает? Она позволяет внедрить в файл-жертву(червь) полезный груз (троян).
При запуске, она не распаковывает оба файла в какую-нибудь папку, а распаковывает только полезный груз. Файл-жертва запускается сам (без кидания в Temp\Windir\Systemdir). То есть червь так и остается вместе с внедренным трояном. Естественно, когда червь копирует себя по сети, на флешку, и т.д., он копируется вместе с внедренным трояном.
Черви можно найти на зараженных сайтах. Например на сайтах из этого списка - www.malwaredomainlist.com
Итак, на хирургическом столе -
1)червь Radminer
2)троян PoisonIvy
Все очень просто - открываем inPEct, в качестве жертвы выбираем червь, в качестве трояна - PoisonIvy. Убираем галку Enable "smart" feature. Нажимаем "inPEct!". В папке Output появился файл. Далее кидаем этот файл на дедики, либо распространяем другими способами. После этого червь начнет самораспространяться, и вы увидите новых ботов в клиенте PI. Червь не очень хорош, я привел его только для примера. Самораспространяется слабо, но все же результаты есть!
Конечно же, вместо inPEct, вы можете применить любой другой инфектор (они встречаются на сайтах вирмейкеров). Но рекомендую использовать виртуалку (инфекторы часто заражены сами).
Без криптовки файлов у вас ничего не получится! Нужно закриптовать бот и червь хотя бы пабликом.
ВНИМАНИЕ! Антивирусы часто пишут то, что не соответствует действительности! Например, они пишут Email-Worm(то есть червь), а на самом деле, это спам-бот. Он не саморазмножается, а просто спамит по заданию хозяина! Не обожгитесь на этом!
Как то, не очень давно, я прочитал на сайте Касперского (просто кладезь полезной информации (я не шучу)), про вирус Parite.b (с этим вирусом у меня связанны неприятные воспоминания, но не буду об этом). Чем меня заинтересовала эта информация? Тем, что было написано, что широким распространением этот вирус обязан червям. Как так? Оказывается, что вирус заражает черви, и они переносят его по всей сети.
Появилась идея - почему бы не заразить черви не бесполезным вирусом, а полезным софтом? Сказано-сделано - берем любой джойнер, и склеиваем червь с трояном\ботом. И обламываемся smile.gif. Почему? Потому что джойнеры извлекают из запущенного файла чистый червь (без трояна) и троян. Далее червь распространяется по компам без нашей полезной нагрузки. Как же быть? И тут на помощь приходит замечательная программа inPEct! Что она делает? Она позволяет внедрить в файл-жертву(червь) полезный груз (троян).
При запуске, она не распаковывает оба файла в какую-нибудь папку, а распаковывает только полезный груз. Файл-жертва запускается сам (без кидания в Temp\Windir\Systemdir). То есть червь так и остается вместе с внедренным трояном. Естественно, когда червь копирует себя по сети, на флешку, и т.д., он копируется вместе с внедренным трояном.
Черви можно найти на зараженных сайтах. Например на сайтах из этого списка - www.malwaredomainlist.com
Итак, на хирургическом столе -
1)червь Radminer
2)троян PoisonIvy
Все очень просто - открываем inPEct, в качестве жертвы выбираем червь, в качестве трояна - PoisonIvy. Убираем галку Enable "smart" feature. Нажимаем "inPEct!". В папке Output появился файл. Далее кидаем этот файл на дедики, либо распространяем другими способами. После этого червь начнет самораспространяться, и вы увидите новых ботов в клиенте PI. Червь не очень хорош, я привел его только для примера. Самораспространяется слабо, но все же результаты есть!
Конечно же, вместо inPEct, вы можете применить любой другой инфектор (они встречаются на сайтах вирмейкеров). Но рекомендую использовать виртуалку (инфекторы часто заражены сами).
Без криптовки файлов у вас ничего не получится! Нужно закриптовать бот и червь хотя бы пабликом.
ВНИМАНИЕ! Антивирусы часто пишут то, что не соответствует действительности! Например, они пишут Email-Worm(то есть червь), а на самом деле, это спам-бот. Он не саморазмножается, а просто спамит по заданию хозяина! Не обожгитесь на этом!