Склейка

Начнём с того, что из себя представляет склейка. Склейка - это совмещение нескольких файлов в один. При создании вирусов она часто используется. Типичный пример: у нас есть два exe. Один из них - обычный установщик word, например. А второй - вирус, который незаметно поражает систему. И есть жертва, который надо закинуть вирус. Отправлять сам вирус палевно. После того как человек запустит файл и увидит, что ничего не происходит не то, что он ожидал, он насторожится. Для таких целей и существует склейка. Она помогает создать exe, который будет вести себя как обычная программа или даже установщик, а вирус будет запущен в фоне.

Сегодня мы познакомимся со склейкой вирусов с исполняемыми файлами.

В склейке существует 2 больших типа.

Склейка с использованием сторонней программы

Joiner работает по этому типу. Суть заключается в том, что два файла программно упаковываются в один, и изначально запускается внешняя программа, которая сама потом запускает встроенные в неё файлы в соответствии с её настройками

Склейка через модификацию кода исходной программы

Такой метод считается более основательным. Он позволяет внедрить вирус прям в программу. Поскольку такая склейка делается вручную, её труднее обнаружить. Но сделать её не всегда возможно. Нужны 2 фактора: 1) программа для заражения должна поддаваться модификации. Это значит, что либо у неё должен быть открытый исходный код, либо её можно декомпилировать и модифицировать в последствии. 2) Надо понимать основы программирования. Если заражаемая программа с открытым исходным кодом, заразить её не так сложно. Иногда достаточно сделать пару вставок шаблонного кода.

Второй тип скейки более перспективный и мы рассмотрим его позже, пока сосредоточимся на более простом - первом типе. Любая склейка может выполняться через программу. Если поискать в интернете, можно найти кучу софта под эти задачи. Но у таких программ есть большой минус: после склейки они оставляют кучу детектов.

Если склеить две безобидные программы каким-нибудь joiner'ом, то программа на выходе будет активно биться антивирусами как зловред.

Причиной тому является метод, по которому производится склейка. Современные антивирусы на такие глупые, и они полагаются не только на вирусные базы. Антивирусы сейчас стараются искать паттерны, которые используют вирусы. Любой склейщик совмещает программы по какому-то алгоритму, и он неизменен. Антивирусы вычисляют признаки работы этого алгоритма и таким образом находят программы, которые были склеены подобными программами. Поэтому использование легкодоступного склкйщика лишь добавляет проблем.

Склейка через winrar

Этот метод является наиболее оптимальным среди простых методов склейки. На выходе мы получаем один исполняемый файл, который будет вести себя как исходная программа. Поскольку winrar - легитимная программа, она не добавляет новых детектов конечному файлу.

Подготовка

В системе должен быть установлен winrar. Для удобство лучше переместить файл вируса и файл, под который вирус будет маскироваться, в одну папку. В этом примере будет использоваться программа notmyfault, а в качестве вируса безобидная программа, которая просто покажет окно с текстом, что она запустилась.

Важно убедится, что программа, с которой производится склейка, не должна иметь зависимостей. Например, нельзя просто выдернуть exe из установленной программы и отправить его кому-то. Скорее всего такая программа не заработает, потому что ей будет не хватать библиотек или файлов конфигурации.

Шаг 1

Выделяем файл вируса и конечной программы

Шаг 2

Нажимаем правой копкой мыши и выбираем Добавить в архив.

Шаг 3

Установите галочки "Create SFX archive", "Create solid archive" и "Lock archive"

Шаг 4

Во вкладке "Advanced" откройте "SFX options..."

Шаг 5

Во вкладке "Setup" на первой строке напишите имя программы, под которую маскируется вирус. Писать надо полное имя с расширением. С новой строки напишите имя файла вируса.

Порядок можно поменять. Тогда вирус запустится первым. Но это можно делать лишь с теми вирусами, которые переносят исполняемый файл после перезапуска. Иначе основная программа не запустится, пока вирус не завершит работу.

Шаг 6

Во вкладке "Modules" установите галочку "Unpack to temporary folder" и в "Silent mode" выбирите "Hide all"

Шаг 7

На вкладке "Update" в "Overwrite mode" поставьте "Overwrite all files"

Результат

В результате в папке с исходными файлами будет создан ещё один. Это и есть комбинированная программа, которая ведёт себя как исходный exe, но имеет в себе функции вируса.

 Проверка

В результате запуска полученного файла в системе исполнится склеенный вирус, поэтому на надо запускать его на виртуалках не предназначенных для тестов.

После запуска exe открылась основная программа, после закрытия которой появилось это окно. Оно отобразилось потому что в качестве вируса было приложение, которое выводит, что система заражена. Настоящий вирус запускается в фоне без создания окон