Делаем бота саморазмножающимся.
В этой статье я расскажу, как на халяву получить инсталлы вашего трояна\бота.
Как то, не очень давно, я прочитал на сайте Касперского (просто кладезь полезной информации (я не шучу)), про вирус Parite.b (с этим вирусом у меня связанны неприятные воспоминания, но не буду об этом). Чем меня заинтересовала эта информация? Тем, что было написано, что широким распространением этот вирус обязан червям. Как так? Оказывается, что вирус заражает черви, и они переносят его по всей сети.
Появилась идея - почему бы не заразить черви не бесполезным вирусом, а полезным софтом? Сказано-сделано - берем любой джойнер, и склеиваем червь с трояном\ботом. И обламываемся . Почему? Потому что джойнеры извлекают из запущенного файла чистый червь (без трояна) и троян. Далее червь распространяется по компам без нашей полезной нагрузки. Как же быть? И тут на помощь приходит замечательная программа inPEct! Что она делает? Она позволяет внедрить в файл-жертву(червь) полезный груз (троян). При запуске, она не распаковывает оба файла в какую-нибудь папку, а распаковывает только полезный груз. Файл-жертва запускается сам (без кидания в Temp\Windir\Systemdir). То есть червь так и остается вместе с внедренным трояном. Естественно, когда червь копирует себя по сети, на флешку, и т.д., он копируется вместе с внедренным трояном.
Черви можно найти на зараженных сайтах. Например на сайтах из этого списка - malwaredomainlist.com
Итак, на хирургическом столе:
1)червь Radminer
2)троян PoisonIvy
Все очень просто - открываем inPEct, в качестве жертвы выбираем червь, в качестве трояна - PoisonIvy. Убираем галку Enable "smart" feature. Нажимаем "inPEct!". В папке Output появился файл. Далее кидаем этот файл на дедики, либо распространяем другими способами. После этого червь начнет самораспространяться, и вы увидите новых ботов в клиенте PI. Червь не очень хорош, я привел его только для примера. Самораспространяется слабо, но все же результаты есть!
Конечно же, вместо inPEct, вы можете применить любой другой инфектор (они встречаются на сайтах вирмейкеров). Но рекомендую использовать виртуалку (инфекторы часто заражены сами).
Файлы к статье - Radminer и inPEct -
sendspace.com/file/a2eqf8
Пасс - exploit.in
© haxdef для exploit.in
