Связующие и вредоносные программы (часть 2)

Опубликовано: 10 Апреля, 2023


  • Связующие и вредоносные программы (часть 3)

Связующие и вредоносные программы

В первой части мы остановились, настроив сервер Optix Pro в качестве нашего вредоносного ПО. Именно этот троянский сервер мы привяжем к законной игровой программе Pong.exe, используя программу-связку YAB. Биндер — это программа который возьмет два исполняемых файла и объединит их вместе. Важно понимать, что под «сочетанием» я не имею в виду смешивание их двух вместе, как если бы вы смешивали ингредиенты для торта. Биндер YAB возьмет и троянский сервер, и игру Pong.exe и разместит их друг за другом. Думайте об этом как о 12-дюймовой линейке, разделенной на две шестидюймовые части, которые, тем не менее, составляют в общей сложности 12 дюймов. Это будет ясно показано чуть позже на снимке экрана, поэтому не беспокойтесь, если вы все еще чувствуете себя немного запутанным, поскольку это запутанная концепция для понимания.

Связующее ЯБ

В Интернете можно найти множество различных биндеров. Один из самых простых и полнофункциональных инструментов называется YAB. Это расшифровывается как «Еще один переплет». После того, как вы нашли и загрузили эту программу, запустите ее. Вам будет представлено диалоговое окно, показанное на скриншоте ниже.

Изображение 24903
фигура 1

Вы заметите, что другое маленькое диалоговое окно под названием «Предварительный просмотр значка» не видно на снимке экрана выше. Это связано с тем, что программа, которую я использую, не смогла захватить его, поскольку она не была активна (под активным я подразумеваю, что граница значка была выделена серым цветом). Теперь нам также нужна программа под названием Pong.exe, которая фактически будет нашим средством доставки вредоносного ПО, поскольку мы будем привязывать троянский сервер к игре Pong.exe. Пожалуйста, нажмите здесь для игры Pong.exe. Как только вы найдете его на этой странице, пожалуйста, скачайте его. Теперь, когда у нас есть эти инструменты, мы готовы приступить к процессу привязки нашего вредоносного ПО к игре Pong.exe. Первый шаг — щелкнуть меню «Команда», а затем нажать «Добавить команду», как показано на снимке экрана ниже.

Изображение 24904
фигура 2

Сейчас я прокомментирую только ту информацию, которую нам необходимо заполнить или изменить, чтобы правильно использовать YAB. То, что я не комментирую напрямую, оставьте с настройками по умолчанию. Первый шаг — нажать «Обзор» в поле «Привязать файл», показанном выше. Вам нужно будет перейти к файлу, который вы хотите связать. В этом случае мы перейдем к троянскому серверу Optix Pro, который мы настроили ранее в первой части. Обратите внимание, что на снимке экрана ниже я просмотрел папку, содержащую все части трояна Optix Pro, и выбрал сервер, который я создал в первой части.

Изображение 24905
Рисунок 3

Есть много вариантов, с которыми вы можете поэкспериментировать, и я бы рекомендовал вам тоже в YAB. Чтобы увидеть больше из них, нажмите на вкладку «Показать дополнительные», показанную на рисунке 2. После того, как вы нажмете эту опцию, вы должны увидеть снимок экрана ниже.

Изображение 24906
Рисунок 4

Вы заметите, что «Метод выполнения» по умолчанию установлен на «Выполнять асинхронно». Это означает, что после нажатия на замаскированное вредоносное ПО оно будет установлено автоматически, без каких-либо визуальных сигналов для пользователя. Между тем законный Pong.exe устанавливается с обычными диалоговыми окнами, появляющимися для пользователя. По сути, вредоносное ПО будет невидимым для ничего не подозревающих пользователей, которые думают, что они просто устанавливают игру Pong.exe, чтобы играть с ней. Сейчас я не хочу увязнуть в объяснении каждой функции YAB, поэтому, пожалуйста, поэкспериментируйте с ней, если позволяет время. С информацией, введенной, как описано до сих пор, мы готовы двигаться дальше. Нажмите вкладку «ОК», как показано на скриншоте выше. Теперь вам должен быть представлен скриншот ниже.

Изображение 24907
Рисунок 5

Теперь мы продолжим и сделаем то же самое, но на этот раз мы сделаем это для игры Pong.exe. Итак, продолжайте и нажмите в меню «Команда», а затем на запись «Добавить команду». Оттуда применяются те же шаги, описанные выше, то есть: нажмите на вкладку «Обзор» и перейдите туда, где находится ваш Pong.exe, затем нажмите на него. Сделав это, нажмите вкладку «ОК». После этого вам должна быть представлена та же информация, что и на скриншоте ниже.

Изображение 24908
Рисунок 6

Теперь у нас есть обе программы, ожидающие соединения через YAB. Нашим следующим шагом будет выбор значка для нашего связанного вредоносного ПО. Лучше всего выбрать саму иконку Pong.exe, так что давайте так и сделаем. Вам нужно будет нажать кнопку «Изменить значок» рядом со значком волшебной палочки, показанным на скриншоте выше. Если навести на него указатель мыши, должны появиться слова «Изменить значок (F8)». Пожалуйста, нажмите на это. Вы должны увидеть то же самое, что показано на скриншоте ниже.

Изображение 24909
Рисунок 7

Оттуда вам нужно будет найти, где находится ваша программа Pong.exe, с помощью вкладки «Обзор файлов значков…», показанной выше. Найдя его, вы просто нажимаете на значок, как показано ниже.

Изображение 24910
Рисунок 8

После того, как вы выбрали его, нажмите «Открыть», а затем нажмите «Применить» в диалоговом окне. Отсюда нам теперь нужно нажать на меню «Инструменты» в главном диалоговом окне YAB. В этом меню нажмите «Build:. Это, в свою очередь, откроет другое диалоговое окно, как показано ниже.

Изображение 24911
Рисунок 9

Теперь идите вперед и дайте ему имя. В нашем случае было бы лучше назвать его Pong.exe, потому что это то, что сделал бы человек со злыми намерениями, пытаясь обманом заставить пользователя выполнить программу. После того, как вы ввели имя, нажмите «Сохранить». Теперь YAB продолжит работу по привязке троянского сервера Optix Pro к игре Pong.exe. Затем вам должен быть представлен скриншот ниже.

Изображение 24912
Рисунок 10

Заворачивать

Теперь мы успешно привязали вредоносное ПО к средству доставки, то есть к нашей игре Pong.exe. Именно так люди создают свои вредоносные программы, пытаясь скомпрометировать пользователей как в корпоративных, так и в домашних условиях. Я не сомневаюсь, что вы читали в местной газете или в Интернете рассказы о том, как кто-то был потрясен, обнаружив, что их банковский счет опустел. То, что мы сделали до сих пор, в значительной степени соответствует тому, как можно это сделать. В третьей части этой серии статей мы расскажем о том, что происходит, когда замаскированное вредоносное ПО действительно выполняется. Затем мы перейдем к изучению самой вредоносной программы с помощью различных средств. До встречи в третьей части!

  • Связующие и вредоносные программы (часть 3)