New Virus POC

[HellScream]

Concept de virus care dezinstaleaza antivirusul si porneste toate serviciile de Remote Control.

Test efectuat pe masina virtuala, Win 7 StarterN, cu BitDefender instalat.

[Nytro]

1. Doar BitDefender?

2. Proactive Defence (sau cum se cheama la Bit) era pornita?

3. Are driver? Ruleaza kernel-mode?

[Usr6]

frumos:)

log off+elimina din registry intrarile de start-up ale bit+activeaza serviciile de remote +restart ??

[Maximus]

Bun, +1, dar versiunea de pe VM nu are UAC (User Account Control)? Am inteles ca dezinstaleaza/deactiveaza dar sare si peste UAC?

[HellScream]

@ Nitro

Am ales Bit pentru ca este primul in topul vanzarilor.

ProActive pornit

Kernel mode- da

Nu actiunea conteaza foarte mult, ci conceptul. Am facut teste si pe alti antivirusi. Acelasi rezultat. Am flmat doar la BIT.

@ USR

LogOFF si/sau shutdown (depinde de setarile care i le du eu. DEZINSTALEAZA Antivirus, plus sterge registrii (antivirus ever been instaled). executa modificari in OS comform instructiunilor date de mine.

@ Spide

UAC-ul nu este o problema. Softul se bazeaza pe actiuni native ale OS-ului, deci UAC-ul nu sare. Chiar daca ar sari, tot are efect, din cauza userului care permite actiunea softului, acesta in versiunea finala fiind mascat sub o alta aplicatie dorita de user.

[me.mello]

)

Unde e iconita de pe desktop a virusului, o fi el virus dar mie numi im imi spune altceva?.

De unde stim ca nu e snapshot?

De unde stim ca nu e restore?

Bit defender nu e in primul loc al solutiei de securitate!!

Intodeauna un proof of concept se dovedeste cu un kit de forensic..

UAC, nu poti dezinstala antivirus fara uac, indiferent de ce functii native are windows iar tu ai precizat ca lai dezinstalat..., sa zicem ca ai sters fiecare fisier in parte servicii + registri. oricum ar fi fost frumos demonstrat cu un before & after mai complex nu neaparat forensic pentru un POC.

Oricum bravo tie daca e pe bune sunt nspe feluri si google e plin de rahaturi de gen toata lumea e inebunita cum sa inchizi av-ul pkill sau dezinstalat cu totul dar asta al tau e diferit;).

[yoyois]

defoult = default

Interesanta idee. Nu prea inteleg eu cand si cum face modificarile.

Oricum Bravo!

Cred ca ar merge mai bine daca virusul nu doar ar modifica setarile pentru RDP.

[Nytro]

Unhook la SSDT?

Si la Kaspersky merge?

[edutu20]

De ce nu configurezi sa adauge un nou user cu privilegii de admin, astfel incat odata executat programul sa ofere direct full access prin remote asupra serverului pe care este rulat?ceva de genul..+ un cod in plus pentru a lua ip si trimite intr-un ftp..un spread frumos si ar fi o noua metoda de obtinut rdp access pe user si pass preconfigurat de tine din cod..totusi dezactivarea totala a antivirusului...e cam vizibila..nu ar fi mai simplu de adaugat o exceptie pentru portul 3389?

[Vlachs]

Something it's not right!

Runtime actions:

- daca faci modificari in registru/fisiere fara UAC iti urla av-ul, indiferent ca e pe current user sau current machine

- acces limitat asupra directoarelor si aplicatiilor din windows(mai ales cele care ruleaza ca service si au deja uac), inclusiv registry path

Ce am scris nu are legatura cu UAC-ul ci cu pattern-ul cautat de av-uri.

Edited March 14, 2013 by Vlachs

[HellScream]

kaspersky merge, dar pe versiunea piratata.

unde este iconita virusului. Ce rost mai are, executabilul in sistem, dupa ce a intreprins actiunea? Nu e mai frumos sa dispara??

De ce nu fac aia, cealalta? De ce nu face chiloti tip gogosar, perciuni de rata in otet, etc. Voi ati pierdut toata esenta in detalii. Aplicatia (virusul) intreprinde actiuni predefinite in sistemul de operare, inclusiv dezinstalarea de AV.

Acum, ca modifica serviciile, ca sterge av-ul, ca formateaza. Totul este variabil, in functie de instructiunile date.

Este doar un concept, care momentan functioneaza PARTIAL (mai exact scapa de av, si intreprinde cateva actiuni in sistem). Nu este gata. Cand va fi....va fi. Oricum nu va fi public. Va fi pentru scop personal.

Va place ideea, bine. Nu, iar bine.

[B3st]

@Nea Strigatoru' din Iad:

De ce sa stergi antivirusu' omului cand poti sa blochezi update urile AV urilor, astfel no sa-si dea seama gigi ca i-au intrat mascatii in pc.

@citadel/carberp/etc fac asta de ani buni.

[HellScream]

ideea era alta... Vreau sa il manipulez. Targetul meu este sa isi faca update de une ii spun eu, la ce ii spun eu

Pe moment vreau sa vad ce control am. Am inceput cu stergerea.

[Maximus]

stai ca nu-i chiar asa, publici ce ai de publicat si chiar daca e pentru tine only incearca sa dai cateva detalii minore.. tu spui ca e mai bine sa dispara dupa ce isi face treaba .. eu spun ca tu ai accesat acolo un shortcut ceea ce inseamna ca virusu tau isi gaseste singur shortcut-ul prin pc ? am observat ca dupa reboot ceasul nu mai este la locu lui ? dc?

// mi-am dat seama ca ti-am dat +rep prosteste.

[staticwater]

Sincer, eu nu te cred...Uplodeaza executabilul undeva, sa facem cateva teste si noi

[aphex]

Ma bucur sincer ca ai invatat sa folosesti functia snapshot din vmware dar nu e cazul sa ne bantui.

kaspersky merge, dar pe versiunea piratata.

Pot sa imi explici care e diferenta ?

Este doar un concept, care momentan functioneaza PARTIAL (mai exact scapa de av, si intreprinde cateva actiuni in sistem). Nu este gata. Cand va fi....va fi. Oricum nu va fi public. Va fi pentru scop personal.

Va place ideea, bine. Nu, iar bine.

De ce ne mai arati daca nu dai o explicatie ?

Ai zis ca a disparut iconita pentru ca s-a sters din sistem, ne poti spune cum ai facut asta ca sa ne facem si noi o idee astia mai profani in domeniu ?

[CristianRoflmao]

super interesant.. sper sa termini virusul si sa-l folosesti in scopuri "bune"

De ce i puneti la indoiala virusul facut de el?Credeti ca minte?Uitati-va ca mai are exploit-uri interesante .

[B3st]

Ai zis ca a disparut iconita pentru ca s-a sters din sistem, ne poti spune cum ai facut asta ca sa ne facem si noi o idee astia mai profani in domeniu ?

Optiunea aia se cheama "melt file".

Ce-i asa greu ..

LE: Omu' a facut un rootkit ring3 ca sa aive permisiuni sa stearga/opreasca anumite servicii/fisiere.

Nu cred ca era nevoie de restart pentru asta, de restart este nevoie la ring0, ca tre' sa instalezi driver ul de la rootkit.

Plus, e cam greu cu ring0, pentru ca trebuie sa ai driver ul signed.

Edited March 14, 2013 by B3st

[1337]

O curiozitate, de ce ai utilizat Windows 7 Starter?Are update-urile la zi?

Felicit?ri!

User-ul este V.I.P. deci nu cred c? ?i-ar permite s? se "joace".

//Pentru cei care nu cunosc termenul de ring:

Edited March 14, 2013 by 1337

[HellScream]

@ off

Ma stric de ras......deci chiar nu mai pot... astia inteligenti, cand "nu va iese matematica", sau va arata omul un CONCEPT si spune ca este PENTRU UZ PERSONAL, voi cereti aplicatia ca sa o vedeti si voi. In fine....se pare ca inca e plin de " priceputi" pe aici.

@ on

Cei care comentati alaturi....vedeti ca deja sunt oameni pe aici, care au prins ideea. Nu m-ar mira sa mai apara incercari pe tema asta.

Pentru cei care stiu. Lucrati in jurul ideii de "user do" . O sa va dati seama.

[aphex]

Optiunea aia se cheama "melt file".

Ce-i asa greu ..

LE: Omu' a facut un rootkit ring3 ca sa aive permisiuni sa stearga/opreasca anumite servicii/fisiere.

Nu cred ca era nevoie de restart pentru asta, de restart este nevoie la ring0, ca tre' sa instalezi driver ul de la rootkit.

Plus, e cam greu cu ring0, pentru ca trebuie sa ai driver ul signed.

A nu stiam ca poti sa compilezi cu melt file si o sa iti dispara executabilul dupa rulare ...

Ma interesa metoda care a folosito ca sa imi fac si eu o idee despre persoana lui daca macar are niste cunostinte triviale in domeniu...

ma rog nu stiu de ce pierd vremea criticand copii de 12 ani

[staticwater]

Crede-ma ne iese matematica! Poti sa pastrezi conceptul pt. tine, n-am cerut sursa doar un amarat de exe. Demonstreaza-ne ca ai dreptate si imi retrag cuvintele...

[Bebe]

Chestia aia e ussles, tu il faci sa faca ce vrei, numai ca nu ai acces dinafara. Alta, programul tau nu trece de Norton si se poate face si altfel. Se poate face asa ceva cu un program care cauta antivirusii gen programul ala a lu spide112 ii cauta dupa nume/hash etc kill si e tot aceeasi treaba. Fara AV faci ce vrei.

Edited March 14, 2013 by Bebe

[Vlachs]

Mutat cu acordul lui Nytro.

[madlex]

@Autor: fara suparare pentru urmatorul post, incerc doar sa fiu sincer.

Daca e un exploit ar fi ok sa respectam si terminologia din domeniu: sub nici o forma POC-ul de mai sus nu este un virus, ci un malware oarecare care se doreste a fi troian in viitor. Un virus este un tip de malware care se auto-propaga (pe disk, in binare sau in RAM).

Trecand peste asta, orice AV de cand lumea are conceptul de 'semnatura' statica prin care identifica un malware si il blocheaza. Dupa ce tu termini POC-ul si dai jos toate AV-urile dintr-un foc, o data iesit in 'lume' toate AV-urile vor pune semnatura pe tine o data ce esti raportat de catre clientii lor. Si pa, esti in categoria "yet another piece of trojan".

Sau poate creatorul acestui malware se bazeaza pe faptul ca utilizatorul nu va observa ca .. i-a disparut AV-ul pentru care a platit licenta.

Daca POC-ul de mai sus foloseste driver esti intr-o oarecare dificultate pe X64 unde iti trebuie semnatura digitala. Multi au trecut deja pe x64, iar probabil pentru ei vei fi inofensiv cu AV sau fara.

Sunt mai multi malware care targeteaza AV-urile si o fac intr-un mod mult mai inteligent si nedetectabil. Sa faci un driver care sterge chei de CCST nu este tocmai 'rocket science'.

Edited April 6, 2013 by madlex