Come nascondere un virus in un software

Dopo aver visto in un articolo precedente cos’è un Trojan e come funziona vediamo com’è possibile che questo venga reso invisibile agli antivirus e soprattutto come sia possibile fare in modo che sia più facile distribuirlo senza “dare nell’occhio”.

Per nascondere il nostro trojan e renderlo più facilmente distribuibile utilizzeremo Shellter.

Shellter è un nuovo software sperimentale che “inietta” un file eseguibile contenete un virus all’interno di un altro in modo dinamico.

In modo dinamico vuol dire che all’interno del software “genuino” viene inserito il virus in una posizione casuale. In questo modo gli antivirus non sapranno dove cercare.

Il fatto di poter inserire il virus in un qualsiasi programma vuol dire che avremo la possibilità di nascondere il nostro virus e contemporaneamente renderlo totalmente FUD (Fully UnDetectable, completamente invisibile agli antivirus).

Shellter

 

Cominciamo col generare il trojan. Per farlo utilizzeremo metasploit.

Creazione file Trojan

Con quei parametri è stato generato un trojan che si collegherà alla nostra macchina con una reverse connection, in formato raw in modo da essere compatibile con shellter ed è stato codificato con l’algoritmo x86/shikata_ga_nai in modo da essere ancora più difficilmente rilevato dagli antivirus.

Proviamo a far analizzare il file appena creato in modo da poter confrontare il risultato con quello che otterremo dopo l’utilizzo di shellter.

Analisi file trojan

 

 

 

 

 

23 antivirus su 34 hanno rilevato una minaccia nel file.

Adesso iniettiamo questo trojan all’interno di un qualsiasi software per renderlo invisibile con shellter.

> Questa tecnica per nascondere virus all’interno di programmi già esistenti è spesso utilizzata da chi crea e distribuisce versioni pirata, craccate, di software a pagamento come ad esempio i giochi per pc.

In questo articolo uniremo il nostro trojan col CCleaner, un noto tool per windows che ripulisce il sistema da file inutili.

Icona CCleaner

 

 

 

 

Eseguiamo Shellter

Avvio di Shellter

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Scegliamo CCleaner come software da infettare

Selezione file da infettare

 

 

 

Scegliamo il trojan precedentemente creato come virus da “iniettare”

Selezione virus da iniettare

 

 

Processo completato

Inezione Trojan completata

 

 

Proviamo ad analizzare il nuovo software che contiene il virus

Controllo dell'eseguibile CCLeaner

 

 

 

 

Su 34 antivirus nessuno è ingrado di rilevare una minaccia all’interno del software!

Proviamo adesso ad eseguire il nuovo software infettato per vedere se effettivamente si collega alla nostra macchina e riusciamo a prendere il controllo della macchina della “vittima”.

Prepariamo metasploit ad accettare nuove connessioni

Metasploit pronto ad accettare nuove connessioni

 

 

 

 

 

 

 

 

 

 

 

 

Eseguiamo la versione infettata di CCleaner

Immediatamente dopo il doppio click sul programma ci è stato garantito il totale accesso al computer

Metasploit attivato

 

 

 

Per assicurarci che stia funzionando proviamo a vedere dalla macchina “attaccante” i files contenuti nella cartella Documenti della macchina “vittima”

Directory dell'utente sulla macchina infettata

 

 

 

 

 

 

 

 

 

Windows Explorer eseguito sulla macchina infettata

 

 

 

 

 

 

 

 

 

 

 

 

Durante il nostro accesso alla macchina il software originale funziona perfettamente senza destare alcun sospetto.

Finestra CCleaner

 

 

 

 

 

 

 

 

 

 

 

 

Conclusione

Non sempre avere un antivirus installato sul pc è sufficiente come protezione dai virus.
Il mio consiglio è quello di non scaricare ed eseguire mai del software preveniente da fonti incerte, per ogni software è sempre presente il sito del produttore da cui scaricarlo in maniera sicura.

 

Andrea Carriero | BTBH
https://btbh.net
https://codethinker.net
andrea@btbh.net

 

Commenti

commenti