Creacion de Virus de Computadora
Desinfeccion de Archivos Ejecutables
Una ves que ya conseguimos la infeccion del EXE, no nos sirve de nada si todo termina ahi, tenemos que continuar con el ciclo biotecnologico del virus, el cual es la propagacion.
, digo reproduccion.
¿Como logramos esto?
Los virus biologicos alteran el codigo de la victima para poder colocar sus propios genes (bits), y es con esos genes que pasan de huesped a huesped, como se reproducen, pues haremos lo mismo. Con la infeccion del EXE (Infeccion de Archivos Ejecutables), logramos colocar nuestro ADN (bits) en el huesped, y si ejecutamos el EXE de la victima, se ejecuta el codigo del virus y no el codigo original, esto es mucho mas que sospechoso y hace que nuestro virus sea al instante detectado.
Para remediar esto, lo que haremos sera seguir una pequeño guia.
Creo que se entiende, claro que no es el codigo completo de un virus, y es mas, existen otras formas de realizar este mismo procedimiento, pero por el momento nos sirve.
Explicacion:
Cuando ejecutamos un EXE infectado con nuestro virus, este revisa si el exe esta en verdad infectado, ¿y como hace esto?, pues revisa si este EXE, tiene la firma de virus (La firma se refiere a unos bytes que se colocan en los virus, encriptados o no, eso depende de cada programador, esta firma se transmite al resto de los EXEs infectados), es asi como se evita entre otras cosas, la RE-infeccion (sip, eso tambien es posible, ¿no les a pasado? tener en una pc el virus Sallity infectando ejecutables, y al mismo tiempo ahh, digamos al virus BOOM haciendo lo mismo, es por eso que las pcs se vuelven lentas, ciclos y ciclos interminables de busqueda, escaneo e infeccion...), pero lo mismo sucede con nuestro virus, una ves en ejecucion busca EXE y lo que hace es verificar si la firma esta presente, si es asi, pasa de largo y no lo vuelve a infectar.
Aqui la funcion INFECTAR, con las modificaciones en rojo. Declaramos 2 constantes, sizevirus, es el tamaño de nuestro virus final, este tamaño variara con el tiempo, hasta terminar por completo con el codigo del virus, mucho ojo con eso. Aparte tenemos la constante firma, esta firma bien puede estar encriptada para evitar que los antivirus detecten a nuestro virus, claro que esta es solo una parte del trabajo del antivirus, este aparte busca cadenas de codigos ya conocidas, que se repiten una y otra vez en cada nueva variante de virus. Lo que hace que se busquen maneras de encriptar todo nuestro codigo malicioso como tambien hacer uso de archivos externos como BAT o VBS, etc.
La firma, la colocaremos al final de todo el codigo, como se ve en la imagen, asi tendremos Virus-EXE-Firma.
Aqui la nueva funcion de Desinfeccion.
Explicacion:
Lo que hace basicamente nuestra funcion es; recibe como parametro un EXE infectado, copia este EXE para trabajar con el, Se lo abre, y se extraen bytes menos los bytes del virus. Con estos bytes extraidos, creamos EXE_temp, copia exacta + la firma, del EXE infectado, el cual procedemos a a ejecutar.
¿Y funciona?
Claro que si, como se ve en la imagen, nuestro campo de pruebas consiste en:
Prueba_Funciones.exe : hace lo que su nombre indica, solo nos sirve para probar en forma segura nuestro codigo.
Victima.exe: Es un exe cualquiera, solo despliega en pantalla una ventana con una imagen, mostrando ademas informacion de los bytes.
Virus.exe: igual, es un simple exe, que solo nos muestra inforacion en pantalla.
Fijate bien en el tamaño de los bytes de la Victima.exe
Ahora ejecutamos nuestro prueba_funciones.exe, y hacemos clic en INFECTAR, se realiza la infeccion y vemos como nuestro EXE Victima.exe a crecido de 53248 bytes a 94220, lo cual es igual a 53248 + 40960 + 2 + 10.
Ahora probaremos si nuestra funcion Desinfectar funciona. Hacemos clic en el boton DESINFECTAR Y EJECUTAR. Lo que obtenemos es lo siguiente, en la captura de abajo, se puede apreciar que se crean los Temp.exe (Copia original + firma) y EXE_temp.exe (copia de Victima que sera eliminada).
Nos muestra un mensaje de "Archivo desinfectado", al hacer clic en Aceptar, veras como se ejecuta correctamente el programa Victima.exe (Temp.exe). OJO, fijate que ahora pesa 53261 bytes y no 53248, esto se debe a que este EXE contiene la firma, lo que hara que no se vuelva a infectar.
Aun no me crees, ¡Hombre de poca fe!, pues aqui te dejo la prueba con el Media Player Classic, Tamaño Original: 5303808 bytes, tamaño infectado de 5344780 bytes.
Archivos para descargar, clic
AQUI.
Eso es todo por hoy, continuara...
IMPORTANTE: Tenga en cuenta que en el pais donde se encuentre, esto es considerado un delito informatico, jc-mouse no se responsabiliza del uso o mal uso que pueda hacer con esta informacion, este articulo es solo con fines educativos
2 comentarios:
sobre el tema desinfectaccion de archivos ejecutables parte 3
me puede mandar a mi correo: cm.programador@gmail.com
la aplicacion (infeccion de ficheros EXE) ojala me ayudes.
el link que dejastes al final de este tema en el blog no funciono.
lo resubire en cuanto pueda, gracias pòr el aviso :)
Publicar un comentario