Видео Вирус в корзине Windows

[akenov]

Нашел технику заражения системы через корзину на гх и доработал. Суть в том, что когда человек когда кликает на значок корзины, запускается n команда/файл. Мб кого-то заинтересует? - в лс

Результат моих доработок:
FUD скантайм/рантайм. Да, без протекторов и крипторов. Прямо из msvs.
MessageBox с фейк-ошибкой после завершения работы. вот это достижение!

В будущем, возможно, добавлю само-удаление.

скантайм - https://antiscan.me/scan/new/result?id=0k1DrNCjNd8s
рантайм - https://kleenscan.com/runtime/scan_...3bb5259447a85997fc96d5cf695f247ab6f6400fd8d2f
демо-видео -

Кто не верит - сверяйте хеши.

 

[DanteXDark]

umm so sry dont know russian but the recyclebin shortcut file will open the govno.exe right?
and as you said the exe is default straight out of the msfv. am i correct ?

sry again but ill learn russian asap )

Spasibo

 

[qGodless]

Your selling what I published here == Persistence via Recycle Bin for free

 

[akenov]

umm so sry dont know russian but the recyclebin shortcut file will open the govno.exe right?
and as you said the exe is default straight out of the msfv. am i correct ?

sry again but ill learn russian asap )

Spasibo

i moved rbyn shortcut to folder to not reveal my desktop. well if victim opens recycle bin, file/command will be executed. in my case it opens calc.exe because i said so

 

[akenov]

Your selling what I published here == Persistence via Recycle Bin for free

я говорил, что нашел и доработал. зачем ты себе внушил, что я продаю? кому реально нужно, тот напишет в лс и получит.

 

[Quake3]

Это продажник или что? Если вы продаете, то создайте тему в соответствующем разделе, укажите цены, и главное - укажите, чем ваше решение отличается от паблика.

 

[akenov]

Это продажник или что? Если вы продаете, то создайте тему в соответствующем разделе, укажите цены, и главное - укажите, чем ваше решение отличается от паблика.

скантайм/рантайм fud. нет, не продажник.

 

[xrahitel]

Вы бы сразу источник ложи ли к темам тыц)

 

[akenov]

Вы сразу источник ложи ли к темам тыц)

эту статью не видел. в первом предложении смотри

 

[Quake3]

нет, не продажник.

Тогда где билд / сорцы? Или о чем тема, какая ее цель?

 

[akenov]

Тогда где билд / сорцы? Или о чем тема, какая ее да,цель?

если кому-то нужно будет, тот напишет в лс. бесплатно, но лично.

 

[xrahitel]

эту статью не видел. в первом предложении смотри

Но это не важно с какой ты статьи латался инфой, это источник, по части темы не понял, что ты там доработал, если честно тупо подменил реестре значение что-ли, правильна понимаю, нужны права админа это раз, закинуть жертве твоего зверька два, чтобы он в итоге бля подменил заначек корзины верно

Чисто моё мнение, ты как часто сам то корзину открываешь? например у меня даже скрыты значки от нее, теперь как закреп на жертве ну такое себе, прикинь жертва кликает на заначек корзины и не хуя, не происходит, если уж допиливать данный способ то, надо сделать чтобы корзина открывалась нормально и отрабатывала твоя нагрузка.

Вот чисто для примера с блокнотом он работает как и работал.

 

[IPMASHEEN]

Если кому нужно, берите. Способ реально прикольный и заслуживает внимания.

С уважением к ТСу поставлю символический хайд.

При открытии корзины, выполняется указанная команда.

Кто то знает как доработать способ на очистку корзины а не на открытие?

 

[IPMASHEEN]

ты как часто сам то корзину открываешь? например у меня даже скрыты значки от нее, теперь как закреп на жертве ну такое себе

если использовать способ единично то да, смысла мало имеет. но если комбинировать способ с тем же открытием блокнота, вызовом командной строки и прочих событий винды, то это полноценный бесфайловый трой который живет через модификатор реестра. к тому же если авер спалит такое когда нибудь то зачистит 2-3 ветки, а если модифицировано 10 веток то удалить из системы его будет крайне сложно автоматически.

 

[akenov]

если использовать способ единично то да, смысла мало имеет. но если комбинировать способ с тем же открытием блокнота, вызовом командной строки и прочих событий винды, то это полноценный бесфайловый трой который живет через модификатор реестра. к тому же если авер спалит такое когда нибудь то зачистит 2-3 ветки, а если модифицировано 10 веток то удалить из системы его будет крайне сложно автоматически.

попробую

 

[akenov]

Но это не важно с какой ты статьи латался инфой, это источник, по части темы не понял, что ты там доработал, если честно тупо подменил реестре значение что-ли, правильна понимаю, нужны права админа это раз, закинуть жертве твоего зверька два, чтобы он в итоге бля подменил заначек корзины верно Посмотреть вложение 43756

Чисто моё мнение, ты как часто сам то корзину открываешь? например у меня даже скрыты значки от нее, теперь как закреп на жертве ну такое себе, прикинь жертва кликает на заначек корзины и не хуя, не происходит, если уж допиливать данный способ то, надо сделать чтобы корзина открывалась нормально и отрабатывала твоя нагрузка.

Вот чисто для примера с блокнотом он работает как и работал.

Я обошел ав скантайм/рантайм с помощью силы поиска на гх, а так же затруднил статический анализ с помощью этой же либы. И это не это:

GitHub - adamyaxley/Obfuscate: Guaranteed compile-time string literal obfuscation header-only library for C++14

Guaranteed compile-time string literal obfuscation header-only library for C++14 - adamyaxley/Obfuscate

github.com

 

[IPMASHEEN]

попробую

не знаешь как доработать способ на очистку корзины а не на открытие?)

 

[arsarsov]

не знаешь как доработать способ на очистку корзины а не на открытие?)

ты же выше скрин прислал, там есть раздел empty, что прям очень наталкивает на мысли, что это команда либо выполняющаяся когда очищают корзину, либо команда которая запускается когда корзина уже очищена (что наступит сразу после очистки)

 

[akenov]

не знаешь как доработать способ на очистку корзины а не на открытие?)

я нашел лучше. один из вариантов: при открытии .csv-файла откроется и excel, и калькулятор

 

[Veil]

я нашел лучше. один из вариантов: при открытии .csv-файла откроется и excel, и калькулятор

Мне кажется , что это вообще не вариант. Все сразу палит.