Hack x Crack - Comunidad de Seguridad informática

Seguridad Informatica => Investigación de Malware => Mensaje iniciado por: keVlar en Enero 31, 2012, 03:10:03 pm

Título: Método Papelera (indetectabilización)
Publicado por: keVlar en Enero 31, 2012, 03:10:03 pm
Antes de nada, aclaro que este tuto es de 4n0nym0us (el de enelpc.com) o por lo menos la primera vez que lo vi lo había escrito él. Como no lo he visto por la comu por eso lo he puesto aqui (el metodo funciona bastante bien  ;)). Tutorial:
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Hace un tiempo que redacté por internet un documento similar, pero el método sigue estando a la orden del día para los desarrolladores de malware, pues el uso llega viniendo desde las versiones más antiguas de Windows hasta el actual Windows 7, sin más rodeos os la dejo aquí para deleite de aquellos que no les llegó aunque un poco más actualizado. Windows utiliza su papelera para ocultar dos archivos, uno de ellos y el más esencial para nuestro trabajo llamado Desktop.ini. Este archivo sin un contenido no serviría de nada, así que para llevar a cabo su funcionamiento deberemos de escribir un parámetro que se facilitará a continuación. Seguidamente solo nos quedaría aplicar a la carpeta que lo contiene, los atributos de sistema y oculto. De esta manera conseguiremos hacer invisible cualquier archivo alojado en ella, pudiendo ser llamado desde línea de comando a cualquier ejecutable que esta contenga.
Primero crearemos una carpeta donde queramos esconder nuestro ejecutable, para mi ejemplo la
llamaré Prueba. Creamos un archivo dentro de esa carpeta llamado desktop.ini, con el siguiente texto y guardaremos dentro de la carpeta la calculadora calc.exe para ser unos buenazos.

Código: [Seleccionar]
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}

(http://1.bp.blogspot.com/_JRgYBjWKrE4/TSNzmXtTuUI/AAAAAAAAAHw/FdK4i-eu8fU/s1600/1.png)

Le agregamos atributos desde la Shell por hacerlo más rápido y bonito.

Código: [Seleccionar]
attrib +s +h "Prueba\*.*"
attrib +s +h "Prueba"

(http://3.bp.blogspot.com/_JRgYBjWKrE4/TSN0LtkX1oI/AAAAAAAAAH0/MBkT0Mu8mbA/s1600/3.png)

Si hacemos un DIR en la carpeta como muestra la anterior imagen, nos la mostrará vacía, ya que habremos creado una papelera de reciclaje real en cualquier parte de nuestro disco y ni vaciando la papelera, su contenido desaparecerá. Ya tenemos nuestra bomba preparada para ser explotada.

(http://2.bp.blogspot.com/_JRgYBjWKrE4/TSN0u7GIgRI/AAAAAAAAAH4/jENcQ_hlQZk/s1600/2.png)

Con START haremos la llamada a calc.exe.

Código: [Seleccionar]
start prueba/calc.exe
(http://1.bp.blogspot.com/_JRgYBjWKrE4/TSN1bXZPGII/AAAAAAAAAH8/Z3onxT9b3eY/s1600/4.png)

Sobra decir que la papelera nos ayuda a crear el Rootkit de aplicación ante los ojos del Explorer y cmd, más facilón de la historia, pero obviamente a los ojos de un antivirus no pasará por alto si el ejecutable contiene firmas.
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Fuente : http://www.enelpc.com/2011/01/el-malware-la-basura-metodo-papelera.html (http://www.enelpc.com/2011/01/el-malware-la-basura-metodo-papelera.html)

También hice una versión pdf. Si alguien lo quiere : http://www.mediafire.com/?1qc673v7w2p7cac (http://www.mediafire.com/?1qc673v7w2p7cac)

Saludos  ;D
Título: Re:Método Papelera (indetectabilización)
Publicado por: Jen en Enero 31, 2012, 04:16:15 pm
Que original el sistema, grax por compartir!
Título: Re:Método Papelera (indetectabilización)
Publicado por: Infectedbug en Febrero 01, 2012, 03:56:57 am
Muy bueno , gracias
Título: Re:Método Papelera (indetectabilización)
Publicado por: AntiVirus en Febrero 01, 2012, 04:13:55 am
Gracias!! Broo salu2
Título: Re:Método Papelera (indetectabilización)
Publicado por: 996matias en Febrero 01, 2012, 04:18:46 am
muy bueno, serviria para indetectabilizar un troyano?
Título: Re:Método Papelera (indetectabilización)
Publicado por: Kr34t0r en Febrero 01, 2012, 04:55:49 am
Citar
serviria para indetectabilizar un troyano?

996matias, es un metodo de ocultamiento, por lo que el ejecutable debes hacerlo indetectable mediante los metodos ya
conocidos.
Título: Re:Método Papelera (indetectabilización)
Publicado por: 996matias en Febrero 01, 2012, 06:09:29 pm
aah ok entendi, gracias  ;)
Título: Re:Método Papelera (indetectabilización)
Publicado por: kid_goth en Febrero 01, 2012, 06:50:03 pm
jejejjjejejejejjejeje una pregunta.... el AV los detecta alli?...

[Edito]
mmm no habia leido la respuesta de krea... xD asi que no respondan saludos...
Título: Re:Método Papelera (indetectabilización)
Publicado por: Hades en Febrero 02, 2012, 04:57:35 am
Muy bueno hermano
Título: Re:Método Papelera (indetectabilización)
Publicado por: LeoN en Febrero 02, 2012, 05:38:22 am
Muy buen método, saludos.!