Глава 5. Как замаскировать трояна

Можно использовать WinRar в качестве джойнера. Берем программу - троян запаковываем ее в SFX самораспаковывающийся архив, на вкладке параметры SFX ставим галочку скрыть все чтобы распаковывалось невидимо, далее либо ставим галочку поместить ярлык на программу в автозагрузку (указываем путь к трояну в строке ярлыка) либо если наша программа сама прописывается в реестр на автозагрузку при первом запуске то ставим галочку выполнить после распаковки. Получается такой архивчик - щелкнешь по нему и троян самоустановится куда надо или даже самозапустится сразу. В такой архив, кроме вашего трояна, можно поместить файл установки какой-нибудь реально-полезной программы, которая запустится параллельно с трояном, и с виду ваш SFX архив ничем не будет отличаться от ее установки.… После того как архив сделан, я открываю его в Reshackere, и меняю значок на значок реальной программы (или игры).

Троян может не действовать сразу - я например, делаю троянов, которые сначала считают некоторое количество дней, и лишь потом активизируются - тогда намного труднее обнаружить, откуда трояна занесли.

Троянов лучше использовать не для уничтожения компов (если конечно это не компьютер вашего врага) а для шпионажа паролей и других вещей приносящих вам выгоду. У хакера должны быть минимум два вида троянов – для точечных и массовых ударов. Точечные трояны применяются редко, по интернету массово не распространяются (из за этого практически не ловятся антивирусами), и затачиваются под конкретную жертву. Массовые трояны, наоборот активно распространяются среди огромного числа пользователей сети с помощью зараженных сайтов и файлообменных сетей. Они должны постоянно обновлять свой программный код, чтобы успешно бороться с антивирусной защитой.

Помните, что троян либо должен маскироваться по прогу которую используют каждый день и обладать всеми соответствующими возможностями либо быть абсолютно невидимым и на панели задач и в списке процессов и даже в папке, где он лежит (я, например, делал трояна который на время работы копирует себя в другое место, и только оттуда запускается в боевом режиме). Можно заменять легальные программы вроде Paint или Word трояном, сделав что после того как троян запустится он запустит переименованный файл легальной программы передав ей все параметры командной строки которые ей предназначались. Можно заменять не сами программы, а их ярлыки на рабочем столе. Трояны могут скачивать свои настройки с сайтов автора трояна, могут посылать хакеру украденные данные, могут даже следить за квартирой в режиме online, если на компьютере установлена WEB камера. Лучше всего закачивать на компьютер жертвы не один, а сразу несколько мелких троянов, действующих и передающих информацию по разным принципам. Тогда, если удалят один, есть шанс, что останутся остальные

Если кусочков кода вашего вируса нет в базе сигнатур антивируса, то, как правило, этот вирус не палится. Однако существуют еще злые системные администраторы, которые могут найти ваш вирус в реестре, в списке процессов, или просто обнаружив какие-то признаки действия этого вируса. В
таких случаях, вирус будет снесен вручную. Чтобы не допустить этого, нужно писать вирусы, состоящие из многих частей, каждая из которых использует для автозагрузки различные способы, различные ветви реестра, разные имена процессов и способы заражения. Каждая часть одного вируса должна уметь восстанавливать другую, каждый раз используя новое имя, и изменяя размер
.ехе путем запихивания в него текстового мусора, причем восстанавливать основную часть вируса можно не сразу, а спустя несколько дней. Также части вируса могут самоуничтожаться при открытии папки с ними, восстанавливаясь впоследствии. Какая-то из частей всегда должна быть непосредственно в памяти, чтобы можно было восстановить другие. Хотя можно полностью
выгружать вирус из памяти во время например нажатия клавиш Сtrl+Alt.. Это позволит избежать обнаружения и полного удаления вируса.
Как обычно юзер вручную чистит автозагрузку? - он видит в ней файл вируса, удаляет его, и радуется жизни. Представим троян, который, запустившись из автозагрузки, параллельно запускает программу-спутник, которая следит чтобы основную программу - троян не удалили и не убрали из автозагрузки, если же подобное происходит, по истечения некоторого времени восстанавливает основной троян из его резервной копии спрятанной в недрах системы

Как то странно работают современные антивирусы. Берем значит EXE-шник вируса, ставим ему иконку от документа Word, называем его имя.dос куча пробелов .ехе
Что имеем? Антивирус ругается на то, что файл вирус. И вычисляет он его как раз по иконке и куче пробелов в имени. Переименовываем так, чтобы было около 200 символов в имени, не пробелов. Открываем .ico иконку Word-a в графическом редакторе GIMP, ставим пару серых точек то тут, то там на каждом слое изображения. Сохраняем изменения. Внешне иконка практически не изменилась, но зато мы теперь имеем EXE-шник внешне похожий на файл Word, который, ни разу не палится антивирусом, и при этом имеет достаточно длинное имя, чтобы скрыть истинное расширение файла.

Кейлоггер - это невидимый троян, который шпионит. Например, кейлоггер поставился на автозагрузку в реестре, каждый раз загружается при загрузке компьютера, и все время сидит в памяти. Обычно шпионы шпионят за клавиатурой - они просто следят, какие клавиши нажимает юзер и при определенных условиях начинают записывать последовательность клавиш в файл (данные шифруются обычно каким-нибудь несложным способом, чтобы никто ничего не понял, если этот файл найдут). Практически все стандартные кейлогеры палятся антивирусами, поэтому придется писать свой - на Delphi или на Visual Basic используя нехитрую функцию GetAsyncKeyState(код клавиши). Эта функция есть как в Delphi, так и в VB - она опрашивает состояние какой либо клавиши и возвращает истину, если клавиша нажата. Если мы создадим событие таймера, который работает каждые 100 миллисекунд и впихнем в это событие опрос всех клавиш и записывание в текстовое поле нажатых - получится простейший кейлоггер, который не будет ничем палиться. Так как наши русскоязычные пользователи редко набирают в браузере что-то английскими буквами, для выуживания пароля достаточно следить только за информацией, набранной в английской раскладке, буквами, цифрами и знаками препинания (забей в гугл: Как определить текущую раскладку клавиатуры). При определенных условиях - например, когда троян видит что юзер полез в свой ящик(тогда следующими клавишами будут, скорее всего логин и пароль) - кейлоггеру достаточно проследить 30-50 последующих нажатий среди них будут и логин и пароль. Пароли на почту к тому же часто вводят в браузере, когда лезут в Мой Мир менять фотки, поэтому наш кейлоггер должен уметь получить список процессов (забей в гугл: Получение списка процессов) и записывать лог, только если в этом списке присутствует в текущий момент какой нить из общеизвестных браузеров (забей в гугл: Имя процесса Оперы). Так мы сильно сократим размер логов кейлоггера, но все равно, все это будет достаточно неудобочитаемо - потом для обнаружения пароля придется искать в бессмысленном наборе букв повторяющиеся последовательности. Для удобочитаемости можно добавлять пробел в лог если в течении десяти секунд пользователь не вводит никаких новых английских букв, не добавляя этот самый пробел если он итак последний в логе чтобы пробелов между информацией было не куча а один. Не забывайте ловить нажатия Shift и Caps Lock, чтобы понять заглавная или незаглавная буква нажаты.

Посылать нашпионенную информацию можно через параметры get запроса на ваш сайт, через обращение к нему через стандартный системный браузер. Например, при старте браузера вместо домашней страницы ваша программа переадресует браузер на ваш сайт, передает в get запросе порцию украденной текстовой информации, а после переадресовывает браузер на реальную домашнюю страницу юзера. При достаточной скорости интернета, пользователь просто не замечает эти действия нашего трояна
В Win7 под правами обычного юзера возникает проблема, куда писать лог, если везде выскакивает предупреждение типа Разрешить приложению внести изменения в файловую систему? Но эта проблема решается, если лог писать в папку Общие документы (туда редко кто заглядывает). Точно так же решается проблема с автозагрузкой - достаточно скопировать кейлоггер в стандартную папку автозагрузки, предназначенную для все пользователей (забей в гугл: Автозагрузка в Windows 7). Желательно делить троян на две или три части - одна закидывает две остальные в автозагрузку, другая пишет лог, третья лог отправляет хакеру. Об отправлении логов поговорим подробнее. Почти все кусочки кода, отправляющие письма на e-mail (забей в гугл: Отправить письмо с вложением Visual Basic) палятся антивирусами как программы, совершающие подозрительные действия. Касперский вообще обзывает так все программы, которые пытаются отправить GET запрос или послать письмо. Однако обзываясь, что поведение похоже на что то там эдакое, Каспер пропускает через себя это самое письмо, просто предупреждая юзера что вот, мол, вирус типа что-то сделал а может это и не вирус вовсе но мое дело предупредить. Письмо с логами при этом в большинстве случаев доходит до хакера без проблем. Однако из за паники Каспера после предупреждения троян может быть удален умным пользователем. Поэтому часть трояна посылающая нам лог от жертвы должна активизироваться не очень часто - например, не раньше чем через десять дней после заражения - чтобы лог успел наполниться паролями. Кроме этого можно реализовать чтобы вирус скрытно записывал лог в какие либо файлы пользователя (картинки, или в MP3 теги песенок, комментарии html файлов и.т.д.) и потом можно просто попросить наивного юзера прислать вам какой-нибудь его файл – например - фотку. Пользователь вряд ли когда нить догадается, что во все его фото на винчестере цветными точками зашифрован лог с кейлоггера гг. Хотя в большинстве случаев достаточно просто отправки трояном письма. Можно сделать, чтобы троян состоящий из трех частей сперва копировался не в автозагрузку, а в какую либо папку откуда впоследствии мог бы быть восстановлен, если его удалят. Пользователь может вычистить всю автозагрузку, но достаточно подменить какой-нибудь AIMP на файл установщика трояна который параллельно запускает настоящий AIMP и, хоть сколько ты потом чисти автозагрузку - при первом же запуске AIMP-a пользователем троян восстановит свои удаленные части. Причем он может сделать это не сразу, а через пару дней, когда бдительность пользователя поутихнет - и ему покажется, что чистка автозагрузки увенчалась успехом.
Можно переименовать 1.exe троян в 1.jpg и создать для него ярлык с параметрами
Объект: %windir%\system32\cmd.exe /c 1.jpg
Рабочая папка: %currentdir%
Окно: Свернутое в значок
Таким образом, мы можем запустить exe-шник вне зависимости от его расширения.

Особенно интересна такая схема – создается html учебник на интересующую жертву тему. Предполагается что хакер уже знаком с жертвой через подставной ник (они сетевые друзья). Под любым предлогом впариваем этот документ жертве. Можно просто болтать с ней в Сети, перевести разговор на тему увлечений жертвы и прислать этот файл типа – о, а знаешь, у меня на эту тему есть книжка классная. Щас пришлю.. Учебник кроме html страниц содержит exe-шник переименованный в html и ярлык с именем index.htm и командами запускающими троян. Причем троян установившись делает три вещи – во первых, он запускает настоящий html файл учебника чтобы у юзера не возникало подозрений, во вторых он копирует себя в автозагрузку и крадет пароли, постоянно следя за нажатиями клавиш. В третьих он мониторит расположение html учебника на винчестере и если он там есть записывает в комментарии html страничек украденные пароли. Так как комментарии html кода при открытии .html в браузере не видно, внешне ничего не изменяется, разве что документ изменяет вес на несколько килобайт. Впоследствии хакер напишет юзеру жалобное письмо что сгорел винчестер и копий того замечательного учебника (ну помнишь я тебе присылал) не осталось. Юзер говорит – Без проблем – и посылает назад хакеру копию учебника – но троян уже записал в комментарии файлов учебника пароли юзера. Эта схема пробивает любую антивирусы и файерволы поскольку украденная трояном информация, по сути, добровольно отсылается хакеру пользователем

Можно ловить нужное время для включения записи информации с клавиатуры в файл по имени текущего окна в котором клавиши жмутся или по имени сайта, на котором сейчас пользователь – например, номера и пин-коды пластиковых карт типа виза когда ими юзер оплачивает что-нибудь по интернету. Internet Explorer, вплоть до последних версий, позволял получать сторонним программам html код загруженных в него страниц. Также эти страницы можно вытащить из кэша браузера. Когда пользователь регистрируется на каком то сайте частенько ему приходит письмо о завершении регистрации с логином и паролем. Если мониторить все страницы загружаемые браузером то при чтении письма содержащим слова password или пароль троян сможет сохранить их копии и передать их хакеру. Если отслеживать короткие фрагменты английского текста которые появляются в буфере обмена то вполне вероятно поймать скопированный откуда-то пароль на тот сайт, который в текущий момент открыт в браузере. Трояны также могут делать снимки экрана, то есть сохранять текущую картинку на экране в файл, красть файлы, в которых программы хранят пароли (хэши), куки, ну и многое другое

Наиболее продвинутые трояны качают команды для дальнейших действий с сайта своего автора, как уже говорилось ранее. Прежде чем отправлять троян жертве протестируйте, чтобы он не ловился ни одним свежим антивирусом. Если у вас конкретная жертва, не включайте в троян механизм размножения, вполне хватит одной его копии, установленной на компьютере жертвы. Кейлоггеры надо писать самому , потому что чужие кейлоггеры которые распространят по Интернету обычно настроены так что посылают украденную информацию не только вам на ящик, но и на ящик того кто их создал изначально.
Для построения ботнетов (сеть троянов для DDOS атак), и распространения вирусов часто используются детские и женские сайты с мини-играми. Дети и женщины – наиболее уязвимы, по причине недостаточной технической грамотности.. Вероятность того, что четырёхлетний ребенок нажмёт на большую зеленую кнопку с надписью «Скачать», гораздо выше, потому что он не задумывается над тем, что преступники могут получить доступ к банковским реквизитам его папы..
Можно искать e-mail-ы владельцев сайтов на этих сайтах и засылать им на почту кейлоггеры, которые дождутся момента, когда хозяин сайта будет обновлять свой сайт через FTP и украдут для вас пароль. Можно выкладывать на популярные среди веб-дизайнеров сайты собственноручно написанный вполне нормально работающий FTP менеджер, параллельно крадущий пароли от сайтов. Можно маскировать ваш фальшивый менеджер под популярные, а можно создать свой..

Популярный FTP клиент FileZilla после подключения к новому серверу сохраняет все данные о нем, включая IP, порт, логин и пароль в файле, для доступа к которому не требуются даже права администратора! Сам виновник торжества хранится в директории \AppData\Roaming\FileZilla\recentservers.xml.

Пользователю предлагается заманчивая программа, устанавливая которую он параллельно ставит вирус. Вирус провоцирует сбой mail агента. При первом старте переустановленного пользователем агента он перехватывает нажатия клавиш логина и пароля. Далее вирус ищет на диске все картинки формата .jpg и по очереди вшивает в каждый файл каждой картинки украденный логин и пароль. Вирус составляет список уже обработанных картинок, чтобы не повторяться. Через некоторое время хакер обращается с просьбой к жертве прислать свое фото. Таким образом, хакер получает пароль, зашитый в картинку фото.

Юзер заходит на какой либо сайт и у него в браузере выскакивает jаvа окошко с предупреждением о вирусной опасности и необходимости скачать и установить критические обновления на антивирус.. Вместо обновлений естественно устанавливается троян
Иногда бывает что какой либо антивирус, установленный у будущей жертвы вам сильно мешает - однако если жертва недостаточно умна то это легко обойти - достаточно закинуть человеку на компьютер безобидную программу, которая постоянно выводит на экран окошко с надписями типа - У вашего антивируса истекла лицензия, ваш компьютер больше не защищен и.т.д. Дальше - два варианта либо вы советуете челу поставить другой антивирус, либо впариваете фальшивый
Для автозапуска вирусов без использования автозагрузочных записей могут применяться следующие технологии –
1) подмена ярлыков часто запускаемых программ на рабочем столе и в меню Пуск..
2) подмена программ ассоциированных с открытием файлов определенного формата. Тогда при открытии файла этого формата произойдет запуск вируса. При этом можно параллельно с выполнением кода вируса передавать все параметры командной строки старой программе, которая раньше открывала этот тип файла, чтобы внешне все оставалось как раньше
А теперь, немножко пофантазируем на тему умных троянов. Представим себе скрипт на некоем сервере. Скрипт бродит по страницам анкет какой-нибудь социальной сети (та же mail.ru), и ищет в анкетах уникальные интересы людей. Например, нашелся человек - фанат группы Nightwish (как я)). Наш умный скрипт вводит в поисковые системы запрос Nightwish, ищет RSS новости по этой теме, бродит по найденным поисковиками сайтам и вытаскивает из них статьи про Nightwish, потом приводит эти статьи к единому дизайну путем исключения лишних html-тегов и ляпает из найденной информации небольшой сайт, фаршируя его эксплойтами, а также, вирусами и троянами в загрузках сайт. Далее ссылка на этот сайт посылается человеку на все контакты указанные им в его анкете. Получается, что троян автоматически создает направленную атаку учитывающие интересы жертвы, и использующую методы социальной инженерии. Конечно, реализовать подобное довольно сложно, но как мы знаем, для хакеров ничего невозможного не существует


Практические задания:
1) Найдите в поисковиках
- Что такое крипторы
- Чем сжать программу
- Обфускация
- Обход firewall
- Обход антивируса