|
Trojan Indetectável:
Apesar de existir muita gente por aí falando que trojan
é coisa de lammer, de otário, etc, eles ainda são muito usados e são
a maneira mais simples de se obter acesso à um determinado computador.
Trojans já foram e são usados inclusive em ataques profissionais, até
mesmo pelo famoso Kevin Mitnick quando era principiante.
O que ocorre, geralmente, é que as pessoas usam os trojans de maneira
básica e não raro, utilizam apenas as funções básicas e idiotas, como
open/close cd-rom,flipscreen (inverte a tela da vítima), Mensagens,
deletar arquivos, etc, quando na verdade, muitos trojans possuem ótimos
recursos. O Back Orifice 2000, por exemplo, permite que você ative um
servidor http no pc da vítima, podendo qualquer um que possua um navegador
(ou seja, todo mundo)visualizar o conteúdo do HD da vítima, copiar e
enviar arquivos. O Wincrash 1.03 ativa um servidor FTP, e por aí vai.
Não vou perder tempo aqui explicando as possibilidades que você tem
ao usar um trojan, pois você já deve saber ou ao menos imaginar. A questão
é que a maioria do pessoal pega o Server do trojan que pretende usar
e simplesmente envia para a pessoa que quer infectar, sem mais nem menos,
sem camuflar, disfarçar, ou coisa do gênero. Envia do jeito que está.
E aí o que acontece? Se a vítima tiver antivírus...PAH !!! O antivírus
detecta e exclui, põe de quarentena, etc (apesar que em alguns casos
a pessoa não sabe nem operar o antivírus)...
E como hoje em dia existe muita gente com antivírus devido ao simples
fato de que, quem compra pc leva pra algum técnico ou alguém que já
instala tudo, fica difícil a invasão se for feita desta forma. Então,
é impossível invadir quem tem antivírus com trojan? Não. Ele pode facilmente
ser tornado indetectável, e é isso que você irá aprender aqui.
Vamos
ao procedimento :
O Antivírus é “burro”. Na verdade, embora exista gente que acha que
por ter um antivírus famoso instalado e atualizado toda semana, seu
computador é uma fortaleza, na verdade o que o antivírus faz é procurar
padrões conhecidos em arquivos suspeitos. No banco de dados do antivírus,
é como se ele possuísse uma cópia, uma foto do programa maléfico. Quando
ele achar um programa exatamente igual, ele reconhece e dá o alarme.
O que acontece é que se nós mudarmos a estrutura do arquivo, o antivírus
fabuloso não irá reconhecê-lo, e portanto ele será indetectável.
O primeiro passo é obter o programa Resource
Hacker.Você pode baixar
o Resource Hacker através da nosso seção Hacking.
O Resource Hacker é um explorador de recursos; ele permite à você abrir
aplicativos win32 e visualizar a estrutura do arquivo, com todos os
ícones, diálogos, imagens, e até mesmo o código binário. Existem outros
programas similares ao Resource Hacker, como o PE Explorer, porém recomendo
o Resource hacker porque é gratuito.
Resource Hacker
Pois bem, o primeiro passo é obter o resource hacker. Depois o restante
do processo é rápido. O que eu irei demonstrar aqui foi feito com o
Server do NetBus 1.7, e é o que eu recomendo, pois em outros trojans
o Server é comprimido, não podendo ser modificado. Esse procedimento
também funciona corretamente com o Invisibly FTP Server.
O primeiro passo é abrir o Server com o Resource Hacker, através do
menu File / Open...
Uma vez aberto o arquivo, você poderá visualizar o conteúdo do arquivo
em menus árvore do lado direito do programa.
Todo aplicativo, todo programa, possui dentro dele cursores, bitmaps
e imagens, muitos dos quais nunca são exibidos pelo aplicativo. Portanto,
deletá-los, além de diminuir o tamanho do arquivo, irá contribuir para
que o antivírus não o reconheça. Então, mãos a obra!!! Delete todos
os Bitmaps e cursores que estão dentro do NetBus !
Acima está marcado aquilo que você deverá deletar, que são os cursores
e bitmaps. No NetBUS 1.7, infelizmente, será necessário abrir mão da
função keylogger, caso contrário o antivírus irá detectá-lo. Essa função
permite à você ver as teclas digitadas pela pessoa em tempo real. Infelizmente,
ela terá que ser deletada, senão o antivírus irá detectar. Ela está
marcada em azul acima, é a função KEYDLL. Para deletar, basta clicar
com o botão direito do mouse e selecionar delete resource. Delete os
cursores e todos os bitmaps, exceto o bitmap BBOK, mostrado abaixo:
Se o bitmap BBOK for deletado, ocorrerá um erro e o Server do netbus
não irá rodar. Você pode deletar todos os bitmaps, menos esse.
Vá em ICON e delete o ícone também.
Vá no menu file e escolha a opção SAVE:
Ao salvar, será criada uma cópia do Server original (antes de ser modificado)na
pasta em que ele está, chamada nomedoarquivo_original.exe. O outro arquivo
é o que você modificou e vai estar com o mesmo nome que tinha antes.
Note que haverá uma redução no tamanho do arquivo. O Server original
tinha 483 KB, e após modificado, 408 KB.
Agora vem a segunda parte. Você deverá pegar um EXE compressor, que
pode ser o EXE Smasher. Esse programa irá comprimir o executável, ou
seja, irá realocar o arquivo tornando-o menor e contribuindo para que
não seja detectado.
Você pode obter o EXE Smasher aqui http://www.megasecurity.org/Packers/Stoner_compress.zip
EXESmasher 1.0
Pois agora é simples; clique nas reticências (3 pontinhos...), selecione
o arquivo, no caso o Server,e clique em Compress. Escolha o nome do
arquivo comprimido, clique salvar, e aguarde até que apareça a mensagem
“Compressed suscessfully”, como abaixo:
Note que agora o Server tem apenas 281 KB. Pronto, você acaba de criar
um Server indetectável para qualquer antivírus. E funciona perfeitamente,
exceto a função keydll que nós deletamos. O resto funciona normalmente.
Você pode complementar esse trabalho usando um joiner (programa que
junta dois arquivos em um), como o Juntador Beta (pegue aqui http://www.megasecurity.org/Binders/Files/Juntador_beta.zip
), que permite a você juntá-lo com outro arquivo em um só e ainda escolher
o ícone, notificar a execução por icq, e outras configurações.
O exemplo ensinado aqui foi testado com o Norton Antivirus® 2003 atualizado,
passando desapercebido por um dos melhores antivírus do mercado.
Resumindo:
1- Os antivírus não são perfeitos, nem livres de falhas, e nem transformam
seu pc numa fortaleza;
2- Os trojans não são ferramentas ultrapassadas, são apenas mal-usadas;
3- Como em tudo, não adianta pegar nada pronto; é necessário ter criatividade,
inteligência e descobrir novas alternativas;
"Por favor não deixe de votar no site preciso realmente
dos votos, eu sei que gastara 1 minuto a + do seu precioso tempo, mas
eu realmente preciso muito!!!".
|
