Como esconder definitivamente um trojan de um anti-vírus

29/02/2008 20:35 2 comentários

Hoje as pessoas confiam demais em programas para sua segurança. Seja um firewall, um sistema de IDS ou mesmo um anti-vírus. Só que muitas vezes apenas os programas não são suficientes, pois eles também são falhos. Vamos fazer um teste com um famoso anti-vírus do mercado, o Norton 2003. Isso não vai fazer diferença pois todo anti-vírus é vulnerável a esse problema. Usarei o servidor de um cavalo de tróia(trojan) que abre e recebe conexões na porta 666 do seu computador. Poderia ser qualquer outro. O nome do arquivo servidor é server.exe . Vou passar o Norton nele para ver o que acontece.

O Anti-Vírus encontrou o trojan. Reclamou de “infecção encontrada” e o apagou. Sorte que fiz uma cópia dele. Vamos dar uma olhada na estrutura do Server.exe . Para isso usarei o excelente PE Explorer ou Resource Explorer, ambos podem ser conseguidos em http://www.heaventools.com . Esses softwares permitem que eu “enxergue” o que existe dentro do arquivo binário e consiga até manipular alguns dados.

Usando o PE Explorer então, vou apagar todas as imagens existentes dentro do Server (bitmaps e cursores), todas as janelas de diálogo que ele possa ter, modificarei algumas strings e um pouco do código em Pascal (como o nome dos componentes e seu caption). Poxa consigo fazer tudo isso com esse programa? Sim, consegue. Mesmo após retirarmos todo esse “lixo”, o programa ainda roda. Está na hora do segundo tratamento dado ao Server, comprimir o seu tamanho usando o programa Petite (http://www.un4seen.com/petite/ ).

Bom, mandei comprimir o programa e ele ficou com cerca de 30 a 50% maior do que seu tamanho original. Não, essa não é uma compressão do tipo ZIP ou coisa do gênero. O Petite praticamente realoca o arquivo, tornando-o totalmente diferente do que era antes… mas ainda funcional. Salvamos o novo arquivo comprimido como servercompress.exe . Vamos repassar o Norton 2003 para vermos agora :

Prontinho. O anti-vírus não encontrou nenhuma infecção. Isso porquê o AV procura padrões conhecidos de vírus e trojans nos arquivos. É como se ele olhasse uma foto e procurasse por ela dentro de arquivos. Como nós modificamos muito a nossa “foto” original, o programa não detectou nada. Os cavalos de tróia de hoje conseguem até barrar firewalls como Zone Alarm. Como ? Eles possui um pequeno banco de dados com o nome de processos de programas comumente usados como Zone Alarm, Norton Internet Security, Tiny Firewall, etc. Antes do trojan tentar abrir a porta e o firewall detectar, ele procura entre os processos que estão sendo executados no computador aqueles que estão na sua lista. Se encontrar algum deles, o trojan os fecha (claro que o trojan precisa ter permissão para isso, mas na maioria dos usuários comuns isso vai acontecer) e pode até substituir o ícone da barra de tarefas por um falso, exatamente igual ao do firewall que ele acabou de fechar.

Citarei outras técnicas em outras matérias futuramente. A nossa próxima matéria agora será como identificar e retirar trojans do computador sem precisar de anti-vírus e firewalls.

VN:F [1.9.8_1114]
Rating: 9.1/10 (20 votes cast)
VN:F [1.9.8_1114]
Rating: +7 (from 11 votes)
Como esconder definitivamente um trojan de um anti-vírus, 9.1 out of 10 based on 20 ratings
  • R470

    Muito show! Melhor ainda do que aprender, é compartilhar conhecimento.
    E  isso é o que site invasão tem feito de melhor =D.
    Agradecimento eterno aos menbros do site que tornam isto possível.

    VA:F [1.9.8_1114]
    Rating: 1.0/5 (1 vote cast)
    VA:F [1.9.8_1114]
    Rating: +1 (from 3 votes)
  • bol

    ok compreendi, mas outros arquivos, alem de seu trojan, tbm deveria fazer o mesmo apagando todo o “lixo” q esta no código do arquivo.
    Motivo: esconder arquivos de cheats para o programa anticheat de jogos online nao dectar

    VA:F [1.9.8_1114]
    Rating: 0.0/5 (0 votes cast)
    VA:F [1.9.8_1114]
    Rating: +1 (from 1 vote)