Связующие и вредоносные программы (часть 2)
- Связующие и вредоносные программы (часть 3)
Связующие и вредоносные программы
В первой части мы остановились, настроив сервер Optix Pro в качестве нашего вредоносного ПО. Именно этот троянский сервер мы привяжем к законной игровой программе Pong.exe, используя программу-связку YAB. Биндер — это программа который возьмет два исполняемых файла и объединит их вместе. Важно понимать, что под «сочетанием» я не имею в виду смешивание их двух вместе, как если бы вы смешивали ингредиенты для торта. Биндер YAB возьмет и троянский сервер, и игру Pong.exe и разместит их друг за другом. Думайте об этом как о 12-дюймовой линейке, разделенной на две шестидюймовые части, которые, тем не менее, составляют в общей сложности 12 дюймов. Это будет ясно показано чуть позже на снимке экрана, поэтому не беспокойтесь, если вы все еще чувствуете себя немного запутанным, поскольку это запутанная концепция для понимания.
Связующее ЯБ
В Интернете можно найти множество различных биндеров. Один из самых простых и полнофункциональных инструментов называется YAB. Это расшифровывается как «Еще один переплет». После того, как вы нашли и загрузили эту программу, запустите ее. Вам будет представлено диалоговое окно, показанное на скриншоте ниже.
фигура 1
Вы заметите, что другое маленькое диалоговое окно под названием «Предварительный просмотр значка» не видно на снимке экрана выше. Это связано с тем, что программа, которую я использую, не смогла захватить его, поскольку она не была активна (под активным я подразумеваю, что граница значка была выделена серым цветом). Теперь нам также нужна программа под названием Pong.exe, которая фактически будет нашим средством доставки вредоносного ПО, поскольку мы будем привязывать троянский сервер к игре Pong.exe. Пожалуйста, нажмите здесь для игры Pong.exe. Как только вы найдете его на этой странице, пожалуйста, скачайте его. Теперь, когда у нас есть эти инструменты, мы готовы приступить к процессу привязки нашего вредоносного ПО к игре Pong.exe. Первый шаг — щелкнуть меню «Команда», а затем нажать «Добавить команду», как показано на снимке экрана ниже.
фигура 2
Сейчас я прокомментирую только ту информацию, которую нам необходимо заполнить или изменить, чтобы правильно использовать YAB. То, что я не комментирую напрямую, оставьте с настройками по умолчанию. Первый шаг — нажать «Обзор» в поле «Привязать файл», показанном выше. Вам нужно будет перейти к файлу, который вы хотите связать. В этом случае мы перейдем к троянскому серверу Optix Pro, который мы настроили ранее в первой части. Обратите внимание, что на снимке экрана ниже я просмотрел папку, содержащую все части трояна Optix Pro, и выбрал сервер, который я создал в первой части.
Рисунок 3
Есть много вариантов, с которыми вы можете поэкспериментировать, и я бы рекомендовал вам тоже в YAB. Чтобы увидеть больше из них, нажмите на вкладку «Показать дополнительные», показанную на рисунке 2. После того, как вы нажмете эту опцию, вы должны увидеть снимок экрана ниже.
Рисунок 4
Вы заметите, что «Метод выполнения» по умолчанию установлен на «Выполнять асинхронно». Это означает, что после нажатия на замаскированное вредоносное ПО оно будет установлено автоматически, без каких-либо визуальных сигналов для пользователя. Между тем законный Pong.exe устанавливается с обычными диалоговыми окнами, появляющимися для пользователя. По сути, вредоносное ПО будет невидимым для ничего не подозревающих пользователей, которые думают, что они просто устанавливают игру Pong.exe, чтобы играть с ней. Сейчас я не хочу увязнуть в объяснении каждой функции YAB, поэтому, пожалуйста, поэкспериментируйте с ней, если позволяет время. С информацией, введенной, как описано до сих пор, мы готовы двигаться дальше. Нажмите вкладку «ОК», как показано на скриншоте выше. Теперь вам должен быть представлен скриншот ниже.
Рисунок 5
Теперь мы продолжим и сделаем то же самое, но на этот раз мы сделаем это для игры Pong.exe. Итак, продолжайте и нажмите в меню «Команда», а затем на запись «Добавить команду». Оттуда применяются те же шаги, описанные выше, то есть: нажмите на вкладку «Обзор» и перейдите туда, где находится ваш Pong.exe, затем нажмите на него. Сделав это, нажмите вкладку «ОК». После этого вам должна быть представлена та же информация, что и на скриншоте ниже.
Рисунок 6
Теперь у нас есть обе программы, ожидающие соединения через YAB. Нашим следующим шагом будет выбор значка для нашего связанного вредоносного ПО. Лучше всего выбрать саму иконку Pong.exe, так что давайте так и сделаем. Вам нужно будет нажать кнопку «Изменить значок» рядом со значком волшебной палочки, показанным на скриншоте выше. Если навести на него указатель мыши, должны появиться слова «Изменить значок (F8)». Пожалуйста, нажмите на это. Вы должны увидеть то же самое, что показано на скриншоте ниже.
Рисунок 7
Оттуда вам нужно будет найти, где находится ваша программа Pong.exe, с помощью вкладки «Обзор файлов значков…», показанной выше. Найдя его, вы просто нажимаете на значок, как показано ниже.
Рисунок 8
После того, как вы выбрали его, нажмите «Открыть», а затем нажмите «Применить» в диалоговом окне. Отсюда нам теперь нужно нажать на меню «Инструменты» в главном диалоговом окне YAB. В этом меню нажмите «Build:. Это, в свою очередь, откроет другое диалоговое окно, как показано ниже.
Рисунок 9
Теперь идите вперед и дайте ему имя. В нашем случае было бы лучше назвать его Pong.exe, потому что это то, что сделал бы человек со злыми намерениями, пытаясь обманом заставить пользователя выполнить программу. После того, как вы ввели имя, нажмите «Сохранить». Теперь YAB продолжит работу по привязке троянского сервера Optix Pro к игре Pong.exe. Затем вам должен быть представлен скриншот ниже.
Рисунок 10
Заворачивать
Теперь мы успешно привязали вредоносное ПО к средству доставки, то есть к нашей игре Pong.exe. Именно так люди создают свои вредоносные программы, пытаясь скомпрометировать пользователей как в корпоративных, так и в домашних условиях. Я не сомневаюсь, что вы читали в местной газете или в Интернете рассказы о том, как кто-то был потрясен, обнаружив, что их банковский счет опустел. То, что мы сделали до сих пор, в значительной степени соответствует тому, как можно это сделать. В третьей части этой серии статей мы расскажем о том, что происходит, когда замаскированное вредоносное ПО действительно выполняется. Затем мы перейдем к изучению самой вредоносной программы с помощью различных средств. До встречи в третьей части!
- Связующие и вредоносные программы (часть 3)