[Dev][FUD & STEALTH] File replace

  • Jeder kennt es mal wieder auf Youtube gespreaded und schon is der tolle FUD-server von 50% der Antivirensoftware detected :ugly:


    Dem will ich jetzt abhilfe schaffen.


    Hier mal eine Auflistung der spreadingmethoden und bei welcher der Server am schnellsten detected wird.
    (Diese Liste ist nur auf relativ doofe User anzuwenden, ich denke mal der gro�teil weis wie man sich clean hält ;) )


    Fud und Stealth File replace beinhaltet einen Builder im eigentlichen server.
    Wird die datei ausgeführt wird eine bestimmte "vertrauenswürdige" Datei auf dem Pc des opfers mit einer frischgebuildeten Datei ersetzt.


    Beim Ausführen (Des ja angeblichen sicheren programms, z.b Steam o. Firefox) wird ein backup der originalen Datei gestartet. und gleichzeitig eure Malware heruntergeladen und ausgeführt.


    Das Risiko, dass das Opfer den server entdeckt oder den download "bemerkt" schrumpft meiner Erfahrung nach.
    Und binden sollte auh kein problem sein denn wärend des eigentlichen ausführens passiert nihts auffälliges ausser das eine datei gedropped und eine ersetzt wird.
    Erst beim starten des jeweiligen programms wird etwas "auffälliges" ausgeführt.


    Sollte die Firewall mal wieder irgendwas von sich geben sobald Firefox gestartet wird, klicken die meisten User auf erlauben - Sie wollen schliesslih surfen bzw zocken (Steam)



    Sollte meienr Meinung nach gut funktionieren :)


    Joar was haltet ihr von der Idee ?

  • AuÃ?erdem wirst du kein Programm ersetzen können was gerade läuft. Das heisst du müsstest dein Programm vllt in den Autostart schreiben, sodass es gleich beim startup die Datei ersetzt.

  • Also ich fin die Idee schon gut aber naja...


    @0x90
    das könnt man auch so lösen, dass man das z. B. steam fenster freezt, und dann nen fake error ausgibt, und dann replacet und steam neustartet...


    dann wäre da aber noch ein problem: die icons...
    das würde ein user merken

  • Zitat von hackerking;22869

    Also ich fin die Idee schon gut aber naja...


    @0x90
    das könnt man auch so lösen, dass man das z. B. steam fenster freezt, und dann nen fake error ausgibt, und dann replacet und steam neustartet...


    dann wäre da aber noch ein problem: die icons...
    das würde ein user merken


    .rsrc rüberkopieren ;)

  • okay das sind natürlih argumente


    Uac... naja vista mag ich ehnich :P
    Das mit den laufenden prozessen hatte ich mir auch schon überlegt schwierig das ganze irgendwie unauffällig zu gestalten


    autostart hm joar könnte man machen und das ganze erst dann ausführen wenn der autostart eintrag bereits besteht -> wenn nicht erstellen und beenden. (das glaubih werde ich so machen)


    UAC bypass sollte es doch auch irgendwo geben mussich mal schauen.
    und mit den icons ja ich denk mal n iconchanger sollte auchnoch möglich sein.


    wie gegsat mir kahm die idee auch eben erst :D die details mussman natürlich alle berücksichtigen ;)

  • UAC Bypass unter Vista kannst du vergessen. Win7 soll in der Richtung aber was Nettes zu bieten haben :D Bleibt trotzdem noch das Problem, wenn ein User komplett ohne Adminrechte arbeitet.


    Hatte mir gestern mal Gedanken über unentdeckte Autostart Methoden gemacht und auch kurz mit dem Gedanken gespielt, eine Windows Datei zu manipulieren, sodass sie letzlich mein Programm startet. Habe bisher aber keine Windows Datei gefunden, die beim Start geladen wird und trotzdem nur im Lokalen Benutzerprofil abgelegt ist =/

  • Die Idee ist sehr gut, nur ist die Frage halt eben wegen der UAC-Bypassing. Aber was soviel ich bemerkt habe, arbeiten sehr viele, fast alle, Vista-User mit der Adminrechte. Denn ohne kann man nicht so viel am PC machen/installieren etc. Und falls sie diese doch nicht besitzen, dann sind es meist Kiddies oder N00bs die am PC sind ,wobei es bei denen eh keinen Sinn macht wenn man sie infected. Die sind eh nur am PC damit sie denn ganzen Tag son Scheiss wie Habbo oder Metin zocken..^^

  • Zitat von Blacktiger;22913

    Die sind eh nur am PC damit sie denn ganzen Tag son Scheiss wie Habbo oder Metin zocken..^^


    woher weist du das ? bist du selber ein kiddy ? vor allem woher weist du das die habbo zocken ? anscheint zockst du das selber oder hast es mal selber gezockt...irgendwoher musst du es doch kennen oder ? :D


    Kiddy