duda sobre los virus y troyanos?

Iniciado por daniel7885, 5 Febrero 2015, 02:12 AM

0 Miembros y 1 Visitante están viendo este tema.

daniel7885

Los virus solo se ejecutan por archivos con extension .exe? o pueden ejecutarse dentro de un mp3 o jpg o otra extension.

Por que cuando uno camufla un keylogger dentro de una imagen por ej. la imagen tiene la extension exe y es muy facil que la victima se dee cuenta,pero si cambiamos la extension de la imagen con el virus a jpg o png  se ejecutara la imagen pero el virus lo hara o no?

engel lex

si a un programa ejecutable le pones de extension por ejemplo jpg, lo que pasa es que el sistema operativo se lo pasa como argumento a un interprete de imagenes, al interprete leerlo, verá que la "imagen" está dañada y no hará más nada...

el cambio cuando es .exe, el sistema intentará tomar el codigo binario, buscará el punto de inicio e intentará ejecutar las instrucciones...

espero que eso haya te aclarado un poco
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

patilanz

Si pero se puede explotar al lector por ejemplo de imágenes jpg para ejecutar código.

Saludos

engel lex

Cita de: patilanz en  5 Febrero 2015, 12:01 PM
Si pero se puede explotar al lector por ejemplo de imágenes jpg para ejecutar código.

Saludos

no entiendo...

no importa que le hagas... una operacion
Código (cpp) [Seleccionar]
/* fread example: read an entire file */
#include <stdio.h>
#include <stdlib.h>

int main () {
  FILE * pFile;
  long lSize;
  char * buffer;
  size_t result;

  pFile = fopen ( "myfile.bin" , "rb" );
  if (pFile==NULL) {fputs ("File error",stderr); exit (1);}

  // obtain file size:
  fseek (pFile , 0 , SEEK_END);
  lSize = ftell (pFile);
  rewind (pFile);

  // allocate memory to contain the whole file:
  buffer = (char*) malloc (sizeof(char)*lSize);
  if (buffer == NULL) {fputs ("Memory error",stderr); exit (2);}

  // copy the file into the buffer:
  result = fread (buffer,1,lSize,pFile);
  if (result != lSize) {fputs ("Reading error",stderr); exit (3);}

  /* the whole file is now loaded in the memory buffer. */

  // terminate
  fclose (pFile);
  free (buffer);
  return 0;
}

fuente: http://www.cplusplus.com/reference/cstdio/fread/

jamas ejecutará las instrucciones contenidas dentro de un ejecutable...

en tal caso tendrías que conseguirle un bug al ejecutable o algo como un bufferoverflow o algo y dudo que lo puedas explotar pasandole algo normal
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

exploiterstack

#4
Hola que tal daniel7885,

Mira si que se puede introducir código arbitrario(si te refieres a código ejecutable) dentro de un formato de archivo diferente al original.

Un ejemplo claro es la injección de una shellcode dentro de un binario(.mp3, .exe...) ya que lo que se basa es encontrar una vulnerabilidad en el binario con la finalidad de petarlo y sobreescribir la dirección de retorno de una función con una dirección donde tengamos alojado nuestro SH de ese modo que se ejecute el malware.

A la hora de ejecutarse el archivo(con malware en su interior) en cuestión muchas veces se rompe ya que el interprete no lo reconoce el archivo como tal, uno de los principales casos es que si se endosa como la manera tradicional lo que se esta perdiendo es el encabezado de reconocimiento de archivos(este sera lo primero que lee el interprete para tratar de determinar que tipo de archivo se trata).

Un ejemplo seria para los tipos de archivos .csv el cual anteponiéndole esta cabecera ya te lo reconoce como un archivo comma-separated values:

OPC_TAG_NAME,OBJECT_TYPE,INSTANCE,OBJECT_NAME

Pero ya te digo que no se trata de añadirle una sección por medio del formato PE ni temas de HOOKING...Hablo directamente de encontrar algún bug(por medio de funciones vulnerables que no establecen el limite de lo que se le pasa...y todo esto en la manera en la que compromete la pila) en el binario donde se le pueda aprovechar para algún beneficio.

Espero haberte ayudado, un saludo! ;)

daniel7885

mmm.. entendi mas o menos pero podrian explicarme mas detalladamente como podria hacerse eso, no se mucho de shell codes ni hooking.

me refiero a meter un programa dentro de una imagen o musica  , que el programa estee dentro de un .mp3 o .jpg y que se ejecute sin que el archivo sea .exe

engel lex

debes tener un conocimiento (no básico, sino bastante extenso) sobre las estructuras de los programas, saber que programa posiblemente tiene la victima para mostrar la musica o imagen, con eso, ir al el programa y buscar vulnerabilidades en el manejo de los datos, donde posiblemente pueda haber un punto donde se ejecute alguna sección o que una parte de la memoria se pueda desbordar, calculando ese desborde, ver que puedes ejecutar... tampoco es que en todos los casos puedes ejecutar lo que quieres, una exe super complejo y eso, en algunos casos son unas pocas instrucciones que darían pié a algo más... sin embargo estas vulnerabilidades no son comunes, y las existentes en los programas más usados, han sido descubiertas y parchadas

aquí tienes una idea sobre ello

http://es.wikipedia.org/wiki/Desbordamiento_de_b%C3%BAfer
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

scott_

Yo no hago eso, pero uso sfx compiler para camuflar el archivo. Buscate un tutorial y veras que lo vas a usar muy bien.
Si no intentas salvar una vida, jamás salvarás la de nadie más

engel lex

no lo camuflas XD sigue siendo un exe o un rar
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

scott_

Cita de: engel lex en  7 Febrero 2015, 06:20 AM
no lo camuflas XD sigue siendo un exe o un rar

Camuflar en que sentido?
Si no intentas salvar una vida, jamás salvarás la de nadie más