Como funciona lo de infectar .exes y .dll ?

$Edu$ · 6 Abril 2012, 18:32 PM

Solamente se de 2 formas lograr algo asi, una es uniendo como un binder o joiner el .exe con mi virus.exe, y la otra forma la busque recien y encontre de modificar el registro para que cada vez que se ejecute un .exe se ejecute tu virus, estan en otro lado instalado el virus.exe igual.

La segunda opcion no se si sirve aun y si es verdad, no se que me dicen..

Pero.. existen virus que "introducen parte de codigo malicioso a un exe", entonces aumenta el tamaño del exe y asi me di cuenta yo por ejemplo ayer que tenia un virus que me estaba infectando de esta forma los exe's. Como hacen eso? de que forma podes meter codigo a un exe?

Y para infectar dlls? para que cuando el .exe llame a esa dll se ejecute el codigo o tiene algun beneficio mas? Por ejemplo.. si tengo un compilador de un lenguaje de programacion con sus dlls infectadas, puede que me modifique algo en la generacion del exe?

Algunos ya se han acostumbrado que soy pregunton, pero para los que no, lo siento por tantas preguntas xD

Gracias!

Arkangel_0x7C5 · 7 Abril 2012, 02:12 AM

lo que se hace es agregar secciones al exe o agrandar una ya existente, luego rediriges el punto de entrada y ya lo tienes infectado, para hacerlo con dll seria como con el exe, solo que en este caso podrías enganchar las funciones exportadas de manera permanente. Lo del compilador seria posible, aunque no la he visto todavía. Pero de hacerse e infectar una compañía de desarrollo de software podría tener una gran difusión

Saludos

$Edu$ · 7 Abril 2012, 03:26 AM

Gracias, pero me puedes decir con palabras mas especificas, por ejemplo como se le dice a agregar secciones al exe? y lo de redirigir el punto de entrada, etc. Hablando como para yo saber que buscar para aprender mas. No importa si tu no sabes, pero lo digo por si alguien si sabe. Gracias!

[Zero] · 7 Abril 2012, 03:56 AM

Puedes buscar sobre el formato PE. En este mismo foro Ferchu publicó por Abril Negro hace unos años un taller sobre el formato PE, en una de las secciones añade código a un ejecutable de forma manual.

Saludos

PD: Y Arkangel si sabe

.

$Edu$ · 7 Abril 2012, 04:19 AM

Cierto, algo de esto ya habia leido alguna vez, gracias como siempre [Zero] y si, veo que Arkangel si sabe del tema..

Una cosa mas.. que me dicen de la segunda opcion que comente en el primer post?

Elemental Code · 7 Abril 2012, 05:31 AM

lo del registro?

Busca reparar asosciacion archivos .exe

o asi, podes infectar la "asosciacion de archivos" para que el programa pedeterminado para abrir un .txt no sea notepad, sino tu virus.

O podes hacer que el programa predeterminado para abrir un programa.exe sea en lugar de Shell32 tu exe.

y INFECCION

EDIT: un dato curioso para agregar.

Una ves escuche de un "mito" (digo mito porque nunca lo vi) de un virus el "VIRUT"
lo que hacia era escribir codigo malicioso en TODOS (literalmente) TODOS los archivos de tu pc (Doc, pdf, jpg, exe,txt todas las extensiones, todos los archivos) aunque no fueran ejecutables.
Funcionaba haciendo que el antivirus detectara esas modificaciones y los considerara virus y los hiciera *****.
Siendo el propio antivirus el que se encargaba de limpiarte el disco

No se si existira, o si sera asi. ese es el rumor que me llego una vez

[Zero] · 7 Abril 2012, 16:00 PM

Hay algunas claves que seguro se pueden utilizar par lo que dices, aunque no es muy efectivo, casi la totalidad de los antivirus monitorizan en tiempo real los cambios en el registro, y te harán muy difícil usar una de esas claves. Algo más efectivo es infectar alguna DLL que sepas que se va a cargar, o simplemente infectar todo archivo ejecutable (tanto exes como dll's) que te encuentres. También se que es posible hacer que se ejecute tu código cada vez que se alguien cargue la USER32.DLL (osea, el 99% de las veces que alguien ejecute un ejecutable), pero no recuerdo como hacerlo, el que me lo había comentado creo que era Arkangel

.

Saludos

Arkangel_0x7C5 · 7 Abril 2012, 18:40 PM

Cita de: [Zero] en 7 Abril 2012, 16:00 PM
Hay algunas claves que seguro se pueden utilizar par lo que dices, aunque no es muy efectivo, casi la totalidad de los antivirus monitorizan en tiempo real los cambios en el registro, y te harán muy difícil usar una de esas claves. Algo más efectivo es infectar alguna DLL que sepas que se va a cargar, o simplemente infectar todo archivo ejecutable (tanto exes como dll's) que te encuentres. También se que es posible hacer que se ejecute tu código cada vez que se alguien cargue la USER32.DLL (osea, el 99% de las veces que alguien ejecute un ejecutable), pero no recuerdo como hacerlo, el que me lo había comentado creo que era Arkangel .

Saludos

esta es la clave:

Código [Seleccionar]


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="tuDLL.dll"
"LoadAppInit_DLLs"=dword:00000001

$Edu$ · 7 Abril 2012, 18:47 PM

Dale, gracias Elemental Code, y gracias [Zero] ni te molestes que solo quiero saber por arriba, ya que pienso meterle a todos los temas firme cuando ya vaya 2 o 3 años en la carrera de ingenieria en computacion, sino por estudiar aca me ira mal xD aunque todavia no he ni empezado.

Yo sabia lo de las extensiones, pero no de esta forma.. solo sabia como modificar las extensiones para que por ejemplo si se ejecuta un .jpg en realidad sea un .exe y asi ni cuenta, ya que despues volvia a dejar todo como estaba.

Lo que dices EC puede ser porque no? lo unico que borrara todo el antivirus si esta programado para hacerlo, y no creo que tengas tu antivirus para borrar sin que te pregunte.

Me lei mas o menos el taller que me dijiste [Zero] y ahora mas o menos por arriba comprendo como funcionaria lo de "curar" o "desinfectar" en los avs que siempre me causo risa y ahora entiendo que algunas veces si se puede "curar".

Gracias!

edit: Akangel, pero ya es algo viejo hacer eso entonces? cualquier antivirus lo detectaria segun [Zero] o se puede hacer algo para modificar eso sin que el antivirus sospeche?

Germaniac · 7 Abril 2012, 19:45 PM

Lo que comenta Elemental Code sobre Virut, lo conozco porque me llegue a infectar con el y fue una tremenda molestia, Virut infecta tanto a ejecutables como a archivos html ademas de ser polimórfico, es interesante ver las técnicas que utiliza para infectar a los ejecutables y pasar inadvertido ante los antivirus. Los chicos de Kaspersky han hecho un análisis muy bueno sobre este virus: http://www.viruslist.com/sp/analysis?discuss=207271079&return=1

Saludos.