duda sobre los virus y troyanos?

daniel7885 · 5 Febrero 2015, 02:12 AM

Los virus solo se ejecutan por archivos con extension .exe? o pueden ejecutarse dentro de un mp3 o jpg o otra extension.

Por que cuando uno camufla un keylogger dentro de una imagen por ej. la imagen tiene la extension exe y es muy facil que la victima se dee cuenta,pero si cambiamos la extension de la imagen con el virus a jpg o png se ejecutara la imagen pero el virus lo hara o no?

engel lex · 5 Febrero 2015, 02:16 AM

si a un programa ejecutable le pones de extension por ejemplo jpg, lo que pasa es que el sistema operativo se lo pasa como argumento a un interprete de imagenes, al interprete leerlo, verá que la "imagen" está dañada y no hará más nada...

el cambio cuando es .exe, el sistema intentará tomar el codigo binario, buscará el punto de inicio e intentará ejecutar las instrucciones...

espero que eso haya te aclarado un poco

patilanz · 5 Febrero 2015, 12:01 PM

Si pero se puede explotar al lector por ejemplo de imágenes jpg para ejecutar código.

Saludos

engel lex · 5 Febrero 2015, 17:56 PM

Cita de: patilanz en 5 Febrero 2015, 12:01 PM
Si pero se puede explotar al lector por ejemplo de imágenes jpg para ejecutar código.

Saludos

no entiendo...

no importa que le hagas... una operacion

Código (cpp) [Seleccionar]

/* fread example: read an entire file */
#include <stdio.h>
#include <stdlib.h>

int main () {
  FILE * pFile;
  long lSize;
  char * buffer;
  size_t result;

  pFile = fopen ( "myfile.bin" , "rb" );
  if (pFile==NULL) {fputs ("File error",stderr); exit (1);}

  // obtain file size:
  fseek (pFile , 0 , SEEK_END);
  lSize = ftell (pFile);
  rewind (pFile);

  // allocate memory to contain the whole file:
  buffer = (char*) malloc (sizeof(char)*lSize);
  if (buffer == NULL) {fputs ("Memory error",stderr); exit (2);}

  // copy the file into the buffer:
  result = fread (buffer,1,lSize,pFile);
  if (result != lSize) {fputs ("Reading error",stderr); exit (3);}

  /* the whole file is now loaded in the memory buffer. */

  // terminate
  fclose (pFile);
  free (buffer);
  return 0;
}

fuente: http://www.cplusplus.com/reference/cstdio/fread/

jamas ejecutará las instrucciones contenidas dentro de un ejecutable...

en tal caso tendrías que conseguirle un bug al ejecutable o algo como un bufferoverflow o algo y dudo que lo puedas explotar pasandole algo normal

exploiterstack · 6 Febrero 2015, 11:55 AM

Hola que tal daniel7885,

Mira si que se puede introducir código arbitrario(si te refieres a código ejecutable) dentro de un formato de archivo diferente al original.

Un ejemplo claro es la injección de una shellcode dentro de un binario(.mp3, .exe...) ya que lo que se basa es encontrar una vulnerabilidad en el binario con la finalidad de petarlo y sobreescribir la dirección de retorno de una función con una dirección donde tengamos alojado nuestro SH de ese modo que se ejecute el malware.

A la hora de ejecutarse el archivo(con malware en su interior) en cuestión muchas veces se rompe ya que el interprete no lo reconoce el archivo como tal, uno de los principales casos es que si se endosa como la manera tradicional lo que se esta perdiendo es el encabezado de reconocimiento de archivos(este sera lo primero que lee el interprete para tratar de determinar que tipo de archivo se trata).

Un ejemplo seria para los tipos de archivos .csv el cual anteponiéndole esta cabecera ya te lo reconoce como un archivo comma-separated values:

OPC_TAG_NAME,OBJECT_TYPE,INSTANCE,OBJECT_NAME

Pero ya te digo que no se trata de añadirle una sección por medio del formato PE ni temas de HOOKING...Hablo directamente de encontrar algún bug(por medio de funciones vulnerables que no establecen el limite de lo que se le pasa...y todo esto en la manera en la que compromete la pila) en el binario donde se le pueda aprovechar para algún beneficio.

Espero haberte ayudado, un saludo!

daniel7885 · 6 Febrero 2015, 18:21 PM

mmm.. entendi mas o menos pero podrian explicarme mas detalladamente como podria hacerse eso, no se mucho de shell codes ni hooking.

me refiero a meter un programa dentro de una imagen o musica , que el programa estee dentro de un .mp3 o .jpg y que se ejecute sin que el archivo sea .exe

engel lex · 6 Febrero 2015, 21:46 PM

debes tener un conocimiento (no básico, sino bastante extenso) sobre las estructuras de los programas, saber que programa posiblemente tiene la victima para mostrar la musica o imagen, con eso, ir al el programa y buscar vulnerabilidades en el manejo de los datos, donde posiblemente pueda haber un punto donde se ejecute alguna sección o que una parte de la memoria se pueda desbordar, calculando ese desborde, ver que puedes ejecutar... tampoco es que en todos los casos puedes ejecutar lo que quieres, una exe super complejo y eso, en algunos casos son unas pocas instrucciones que darían pié a algo más... sin embargo estas vulnerabilidades no son comunes, y las existentes en los programas más usados, han sido descubiertas y parchadas

aquí tienes una idea sobre ello

http://es.wikipedia.org/wiki/Desbordamiento_de_b%C3%BAfer

scott_ · 7 Febrero 2015, 06:16 AM

Yo no hago eso, pero uso sfx compiler para camuflar el archivo. Buscate un tutorial y veras que lo vas a usar muy bien.

engel lex · 7 Febrero 2015, 06:20 AM

no lo camuflas XD sigue siendo un exe o un rar

scott_ · 10 Febrero 2015, 05:31 AM

Cita de: engel lex en 7 Febrero 2015, 06:20 AM
no lo camuflas XD sigue siendo un exe o un rar

Camuflar en que sentido?