Zip File, мамкины хацкеры. Помните, как в одном из последних видео, я рассказывал вам о том, как злоумышленники распространяют вирусы посредством интеграции в варезный софт и установщики популярных игры? Если не видели, обязательно посмотрите. Темка очень даже живая и актуальная. Так вот. В комментариях, один из наших камрадов задал весьма любопытный вопрос. А возможна ли подобная маскировка вредоносных EXE-файлов, скажем в картинки?
Ну конечно возможна. Правда тут тоже есть свои нюансы, но если включить голову, проявить смекалку и немножечко понадеяться на лоха, то можно заразить пикчу даже коронавирусом.
И я сейчас не шучу. В сети уже вовсю гуляет юное дарование. Эдакий потомок легендарного вируса Пети – Covid-19. Правда в отличие от знаменитого деда или отца, корончик не шифрует системные файлы, а лишь мочит MBR’ку.
Восстановить загрузочную область после такой заразы сможет даже не слишком опытный сисадмин, если воспользуется стандартной процедурой восстановления Windows.
Однако человеку бесконечно далёкому от мира IT, подобный вирус может доставить немало хлопот. Говоря прямо, он попросту выведет из строя несчастный комп и заставит серьёзно понервничать в ожидании приезда соответствующего специалиста.
Что ж, нынче я покажу вам, как злоумышленники могут в два счёта зашить подобную вирусню в обычную фотку и затем передать её жертве. Причём для этого мне даже не понадобится Kali Linux.
Все действия будут выполняться исключительно под виндой. Но я сразу предупреждаю. Ни в коем случае не повторяйте это самостоятельно, если не чувствуете себя достаточно компетентным.
А если уж взялись затестить нечто подобное на свой страх и риск, то используйте для этого отдельную изолированную виртуальную машину. Я предпочитаю VMware. Хотя VirtualBox тоже сгодится.
И естественно я снимаю данное видео исключительно в обучающих целях с благим мотивом повысить ваш уровень знаний в области информационной безопасности и бла бла бла. Короче, погнали уже кошмарить.
Шаг 1. С большим трудом мне удалось достать секретные фотки с закрытой вписки самых опасных мамкиных хакеров. Этот же источник и слил мне тот самый вирус с громким названием «COVID-19.EXE». Далее мы попробуем зашить данный вирь в одну из картинок.
Шаг 2. Берём первую фоточку на которой Дарлин в маске Гая Фокса вершит правосудие и закидываем её на сервис Icoconvert.
Шаг 3. После загрузки задаём будущей иконке все размеры. От 16x16 до 256. После того, как всё проставлено, кликаем на Convert, и затем скачиваем скомпилированный вариант на компьютер.
Шаг 4. Оставим иконку временно в покое и закинем в папку с фотографиями наш вирус. Отлично. Теперь выделяем всю эту историю. Если хотите можете выделить только одну фотку и вирус в целях экономии места. Добавляем это дело в новый архив.
Шаг 5. И на вкладке общие ставим галочку «Создать самораспаковывающий архив». В англоязычной версии он называется SFX.
Шаг 6. Далее переходим на вкладочку «Дополнительно» и выбираем «Параметры SFX…». В открывшемся окне на вкладке обновления ставим галки напротив пунктов «Извлечь и обновить файлы» и «Перезаписывать все файлы без запроса».
Шаг 7. Окей. На вкладке «Установка» сообщаем какие файлы должны открыться в момент запуска EXE’шника. Первой пусть откроется оригинальная фотография, а затем уже наш вирус COVID-19.EXE.
Шаг 8. Следующий шаг – это подмена иконки архива на ту самую пикчу, что мы скомпилили в самом начале урока. Переходим на вкладыч «Текст и графика» и указываем путь к соответствующему значку.
Шаг 9. Почти всё. Осталось поколдовать с режимами. Отмечаем «Распаковать во временную папку» и скрываем любую информацию от пользователя в момент распаковки. Жмём ОК.
Шаг 10. У нас получился файлик «Фотки со вписки.exe». Явное палево. Нужно как, то доработать заразу. Правой кнопкой – «Переименовать».
Шаг 11. И пишем между впиской и точкой «gpj». Это джепег наоборот. Сейчас поймёте зачем я так извращаюсь. Ставим курсор перед мертворождённым перевёртышем и нажав ПКМ выбираем «Вставить управляющий символ Юникода» - «RLO».
Шаг 12. Отлично. Теперь палево не столь очевидно, но всё же на такое клацнет только последний кретин. Самое время проявить смекалку. Нам нужно, чтобы название картинки начиналось в буквы А, дабы при алфавитной сортировке она была первой в списке и оканчивалось на ЕХЕ. «А повезло же Лехе». М? Как вам? По-моему, вполне себе. В точно таком же быдляцком стиле неймим остальные пикчи из папки, а затем удаляем оригинальную фотку и оригинальный экзэшник COVID’а.
Шаг 13. Бомба готова. Прежде чем её запустить, сделаю текущий снимок состояния виртуальной машины, чтобы потом не пришлось тратить время и восстанавливать её вручную.
Шаг 14. Всё. Погнали.Ой ё ёй, что началось то.
Шаг 15. После ребута появляется окно с короной, в котором доступна только кнопка «Help». Лады. Жмём на неё. Вирус предупреждает нас о том, чтобы мы даже и не думали лезть в диспетчер задач, ибо он более недоступен. Проверим. Хм. Действительно. Раз это дерьмо закрыть не получится, давайте снова попробуем животворящий ребут. Как грится, семь без, один ресет.
Шаг 16. Иии, собственно, всё. Приехали. Вирус сожрал MBR’ку.
Вот как-то так, вашу систему может нагнуть простенький вирус, зашитый в обычную фотку со вписки. По аналогии злоумышленники маскируют стиллеры, кейлоггеры и прочую нечисть.
Передать такой зловред можно, как по облаку, тупо закинув папку в архив, так и на флешке под видом фотоальбома. Поэтому, прежде чем давать свою флешку какому-нибудь знакомому IT’шнику всегда предварительно форматируйте на ней всё что есть.
А то внезапно появится в папке «Майские праздники 2020» какой-нибудь Лёха. И заразит ваш компьютер так, что проблемы мировой пандемии покажутся пшиком на фоне последствий от его действий.
Правда напоминаю, что для удачного исхода, злоумышленнику понадобится включить смекалку. Ну и, как минимум, обладать маломальскими навыками социальной инженерии.
А с этим, у нас в последнее время туговастенько. Образование молодёжи, особенно в сфере IT, совсем ни к чёрту. Поэтому друзья, если не хотите оставаться Алёшами, обязательно учитесь чему-то полезному.
Для тех, кому интересна тема развёртывания таких виртуальных полигонов для тестирования различных вирусов и полезных программ, настоятельно рекомендую к ознакомлению мой обучающий курс «Администрирование Windows Server».
В нём я подробно рассматриваю вопрос установки и настройки виртуальных машин под управлением операционных систем семейства Windows. Рассказываю нюансы сетевого взаимодействия и делюсь прикладной практической информацией по всему, что будет полезно начинающим и опытным системным администраторам, работающим с виндой.
Ссылочку на данный курс ищите в описании к ролику. Ну а мы будем постепенно подводить итоги. Чтобы обезопасить себя от подобных угроз, достаточно использовать на своём компьютере нормальный платный антивирус.
Либо заиметь привычку предварительно проверять свойства файлов, прежде чем бездумно их открывать. Ведь даже рассмотренный сегодня случай – всего лишь визуальный обман и баг виндового интерфейса.
Ну а вообще, если хотите стабильности и безопасной работы, то присмотритесь к Unix-подобным системам. Linux, MacOS. Они, как минимум, защищены от EXE’шных зловредов.
Что ж, на этой ноте я с вами прощаюсь. Если впервые попали к нам на канал, то не тупите, бейте в колокол и в вашей ленте будут регулярно появляться годнейшие ролики на тему вирусологии, взломов и пентестингу.
Олдам по традиции удачи, успехов и безопасной работы. Не будьте Алёшками, не видитесь на подобный развод. Берегите себя и своих родных от короновируса. И компьютерного, и реального. Ещё не известно, что страшнее.
Не забудьте поделиться роликом с друзьями, дабы они ненароком не подхватили такую заразу. Ну а я в свою очередь буду стараться вас просвещать, как можно активнее. С вами был Денис Курец. Увидимся в следующем выпуске. Всем пока.
