PDA

Visualizza versione completa : Software per modificare eseguibili per ottenere nuovi MD5 et similia


Lionsquid
05-11-2006, 23.23.40
per combattere quella fetenzia di gromozon e sue varianti ci si deve armare non solo di pazienza ma di armi "sconosciute" a questo mostro (i cui autori, gli auguro, di spendere tutti i soldi "guadagnati" in medicine! :mad:)

ad ogni nuova variante, la merd@ccia conosce i tools più diffusi e blocca l'esecuzione... persino l'accesso a siti e forum in cui si trattano le procedure di rimozione

salvo fatto l'uso in ambiente BartPE & co., questi tools divengono inefficaci (infatti uso con maggior fortuna dei BATCH lasciati con estensione TXT)

da lì l'idea di cambiarne l'.exe di quel tanto che basta per ottenere un nuovo MD5 o un nuovo CRC (non conosco quale dei due sistemi usi gromo)

pertanto mi servono programmini tipo reshack e simili per poter cambiare una parte ininfluente dell'eseguibile (tipo il n. di versione, l'icona contenuta, aggiungere un commento nell'about) per poter rendere irriconoscibile il tool di rimozione...


che software posso usare??

cosa fondamentale deve essere semplice (stavo per aggiungere NON pericoloso, ma sarebbe stato ridicolo... un qualsiasi prg che modifica l'exe lo è :D ) perchè potrebbe essere necessario farlo usare a degli utenti niubbi (e anche qui è un controsenso :D )

beh.. proviamoci ;)

Dav82
05-11-2006, 23.43.35
Ciao Lion, per cambiare il valore di un hash basta cambiare anche un solo bit della "roba hashata", in questo caso dell'eseguibile (una normale funzione di hash in media cambia, o dovrebbe cambiare, la metà dei bit dell'hash per ogni bit cambiato nel file sorgente), quindi l'idea ovviamente funziona...

Dici che reshack è troppo complicato? :mm:
Apri eseguibile -> cerca valore inutile (di solito "version info" o simili) -> modifica valore inutile -> salva.. mi sa che meno complicato di così non si può fare :(

Lionsquid
05-11-2006, 23.55.01
no, reshack non è affatto complicato ma non "apre" tutti gli .exe, come saprai dipende da cosa si usa per la compilazione...

quindi ..o mi cerco un fac-simile di reshack per ogni tipo di compilatore oppure cerco un programma che "digerisce" vari .exe senza rompere troppo ;)

Lionsquid
05-11-2006, 23.58.02
in pratica vorrei evitare gli editor esadecimali ;)

sai che danni in mano a gente poco esperta :eek:

Dav82
06-11-2006, 00.08.18
Sì sì (mi ci son scornato personalmente :inn: ), intendevo come livello di complicazione... sullo specifico non saprei aiutarti (sai com'è, io uso il caffé (http://java.sun.com/) :p), un editor esadecimale apre ovviamente di tutto, ma altrettanto ovviamente è molto meno semplice da usare rispetto a reshack, che ti dà direttamente la stringa, mentre così bisogna trovare da soli le eventuali stringhe "vere" e fra queste quelle modificabili. Non saprei aiutarti http://www.vocinelweb.it/faccine/tristi/52.gif



edit: ecco, mentre cercavo qua e là l'ultima faccina (non la trovavo :S), confermavi appunto che è meglio non far usare gli hex editor :p

Lionsquid
06-11-2006, 00.11.06
in questo momento sto provando proprio un'hex editor... AXE 3
modifico unicamente il messaggio di testo che spunta se si esegue il programma in sessione DOS, il famoso "This program cannot be run in DOS mode"...
lo cambio in "This program cannot be run un DOS mode"... :D
funzionano e hanno md5 parecchio diverso ;)
però vorrei evitare di mettere in mano a utenti poco esperti tale micidiale arma ... di solito fanno danno com roba meno pericolosa :D

dave4mame
06-11-2006, 00.14.20
aggiungere in coda un byte?
credo sia possibile anche con un semplice copy /b ...

Lionsquid
06-11-2006, 00.23.48
aggiungere in coda un byte?
credo sia possibile anche con un semplice copy /b ...

:mm:

andrebbe verificato che una tale modifica non comprometta il funzionamento dell'eseguibile... modificare un messaggio di testo in genere è più sicuro che non altera il funzionamento dell'.exe

prendo nota del suggerimento... lo proverò ;)

LoryOne
06-11-2006, 08.08.42
Vai tranquillo.
Aggiungi un NOP (0x90)

Lionsquid
06-11-2006, 10.06.39
Vai tranquillo.
Aggiungi un NOP (0x90)

ok, capito

spero di trovare una procedura + semplice possibile


sennò dovrò abbandonare l'idea di suggerirlo come sistema per proteggere i tools di rimozione :(

Sergio Neddi
06-11-2006, 21.45.09
Anche io ero dell'idea di aggiungere un byte in coda, per me è la cosa più semplice e sicura, ma notare che molti virus potrebbero testare delle stringhe all'interno dell'eseguibile (e vai a pescare quali) o semplicemente il nome del file oppure del processo in memoria.

Sergio Neddi
06-11-2006, 21.46.54
Ah, dimenticavo, una volta, per evitare all'antivirus di riconoscere come presunto trojan un mio programma che nulla aveva a che fare con trojan e figli di trojan, l'ho compresso con UPX e poi ho cancellato nel file le stringhe che permettono l'identificazione dell'UPX stesso: ha funzionato.

Lionsquid
06-11-2006, 23.06.57
ho appena provato l'editor della new di oggi

http://www.wintricks.it/news2/article.php?ID=14075

aggiunto un byte in coda e sia gmer.exe che hijackthis.exe, funzionano regolarmente

a questo punto, probabilmente è più semplice aggiungere un byte in coda piuttosto che modificare la stringa "This program cannot be run in DOS mode"...

per saperlo bisognerebbe farlo fare ad un niubbo totale.... quale miglior banco di prova?:D


la tattica di comprimere con upx e poi rimuoverne le tracce è un po troppo complessa per lo scopo, però resta sempre interessante da sapere ;)

Sergio Neddi
06-11-2006, 23.38.07
Si, la tattica di comprimere con UPX è più complessa, l'ho detta più che altro perché è interessante.
per aggiungere byte in coda si può usare copy /b oppure più semplicemente da command line: echo. >> nomefile.exe e vedrai che ci aggiunge qualcosa.

Lionsquid
06-11-2006, 23.54.51
provo la tecnica di usare echo >>

Lionsquid
07-11-2006, 00.00.04
aggiunge in coda questo:

Sergio Neddi
07-11-2006, 00.08.09
Certo, e se invece di scrivere echo >> nomefile.exe scrivi (come ho postato sopra) echo. >> nomefile.exe (cioè con il punto dopo echo) aggiunge solo cr-lf (0D0A).
Comunque, un'aggiunta oppure l'altra sono ininfluenti ai fini di funzionamento dell'exe.

Lionsquid
07-11-2006, 00.13.52
azz... mi era sfuggito il "." :D

ma certo... infatti non è che cerco qualcosa di mirabolante, solo una procedura semplice e veloce che possano attuare i newbie

e quest'ultima, echo. >> nomefile.exe credo sia la più semplice e sicura per l'utente inesperto....

far usare un'hex editor, oltre a costringere a procurarsi un programma in più, pone seri rischi per l'integrità dell'.exe

quindi il suggerimento di dave4mame e il tuo sono i migliori! (Y)

Sergio Neddi
07-11-2006, 00.42.24
Tutto sta a vedere se questo stratagemma serve a qualcosa.

Lionsquid
07-11-2006, 12.45.59
proprio questo pomeriggio metterò alla prova la validità dell'idea

ho 2 pc infetti da gromozon da ripulire... mi porto dietro tutte le varianti di gmer, hijackthis e prevxfixgrom che lancerò in mod. provvisora appositamente per verificare il comportamento

se gli .exe originali vengono bloccati passo a lanciare quelli modificati ;)


stay tuned, people :D

Lionsquid
07-11-2006, 19.34.45
prova infruttuosa perchè la variante che ho trovato non inibiva l'avvio di hijackthis e gmer...

ma tanto fino a sabato ho interventi da fare :D capiterà di trovare una variante più recente ;)

Lionsquid
11-11-2006, 18.10.23
TADAAA!

oggi ha funzionato!


su pc infetto da gomo, in ben 5 varianti, (FH la più recente)... ho lanciato il gmer e non si avviava.. poi ho lanciato lo stesso gmer modificato con il comando:

echo. >> gmer.exe

e poi rinominato per comodità gm_modded.exe

si è avviato ed ha sgamato il solito services32.exe in c:\windows


missione compiuta! :)

grazie a tutti

Dav82
11-11-2006, 21.00.25
(Y) Bella Lion :)

Sergio Neddi
11-11-2006, 21.19.13
Secondo me bastava il file originale rinominato.

xmatrix83
30-11-2006, 16.32.22
io un po' di giorni fà avevo risolto usando camouflage, ho unito gmer ad un file di testo ed era partio

Lionsquid
30-11-2006, 17.10.33
al momento sembra che il gromo non usi sofisticate analisi (come avevo temuto) e si limita al controllo del nome dell'eseguibile, ... quindi, come dice Neddi, rinominare l'eseguibile è sufficiente...

ho verificato su un pc infetto proprio ieri. Il gmer.exe bloccato, rinominato 1111.exe è partito ed ha individuato il rootkit ....

la discussione ed il lavoro scaturito da questa discussione resta un'esercizio per il futuro ;)