Пишем Trojan.Downloader

mrflex

mrflex

死の商人
Заблокированные
Статус
offline
Регистрация
23.11.2015
Сообщения
368
Репутация
238
Обратите внимание, если Вы хотите провести сделку с данным пользователем, на то, что он заблокирован.
Код: 
WARNING! ЭТО КОПИПАСТА !WARNING
Вы когда-нибудь задумывались о том, что любая программа может оказаться трояном-загрузчиком?
Наврятли. Именно этот фактор мы и будем эксплуатировать во время разработки нашего Trojan.Downloader.

Немного теории
Я не так давно заметил, что на самые наглые действия (загрузка файлов в отдельном потоке, добавление записей в реестр) со стороны программы, написанной на C#, антивирусы НИКАКне реагируют.

Поэтому наш загрузчик мы будем писать на C#.

Впоследствии, если боитесь запалить код, можете воспользоваться любым обфускатором.

Непосредственно разработка
Создаем консольный проект (я буду маскировать свой загрузчик под чит для CS:GO) в Visual Studio
1_2.PNG
Приступаем к коду.
Напишем проверку привилегий приложения (запущен ли наш троян от имени админа или нет), не забываем об импортах.
MtN9hexDXPM.jpg
Создадим логгер для более симпатичного вывода данных в консоль:
rwmCT0Xmx9A.jpg
Пишем непосредственно загрузчик(Managers/DownloadManager.cs):
iyuqklJSme4.jpg
Код загружает с удаленного сервера .exe файл, сохраняет его в AppData и записывает в автозагрузку.

Создадим саму функцию добавления файла в автозагрузку:
CqatLI0cLRM.jpg
Профит — опасная часть утилиты готова. Осталось сделать красивую обёртку.
Создаем CheatManager
0XjXdEoWzBQ.jpg
Компилируем, смотрим
4_1.PNG
Результат сканирования
Никаких подозрений к нам нет(единственный ложный детект из-за специфичного пространства имён внутри приложения)
tr-downl-fox.png
Итог
Мы написали собственный незаметный антивирусам троян-загрузчик на C#
Советую изменить пространство имен на какое-либо другое, не созвучное с Trojan или Downloader​
 
xtr1al

xtr1al

Заблокированные
Статус
offline
Регистрация
19.07.2016
Сообщения
94
Репутация
44
Обратите внимание, если Вы хотите провести сделку с данным пользователем, на то, что он заблокирован.
Было бы не плохо, тоже самое на C++ выложить)
Кстати есть неплохой способ скрывать ратку:Boredom
 
DΔRTΫ

DΔRTΫ

Heathen
Резидент
Статус
offline
Регистрация
18.05.2016
Сообщения
214
Репутация
187
Амиго запихивать
 
Inquisitor

Inquisitor

Участник
Статус
offline
Регистрация
24.01.2016
Сообщения
122
Репутация
25
mrflex написал(а):
Немного теории
Я не так давно заметил, что на самые наглые действия (загрузка файлов в отдельном потоке, добавление записей в реестр) со стороны программы, написанной на C#, антивирусы НИКАК не реагируют.
Нажмите для раскрытия...
Только на C# ? На плюсах такое не прокатит что ли?
Не кто не хочет по плюсы перегнать код:Blush а то мне лень :Beach
 
conguerorKK

conguerorKK

Заблокированные
Статус
offline
Регистрация
29.06.2016
Сообщения
171
Репутация
95
Обратите внимание, если Вы хотите провести сделку с данным пользователем, на то, что он заблокирован.
Косячные антивиры. И вот теперь кому доверять :С
 
Войдите или зарегистрируйтесь для ответа.