Cómo crear un troyano "libre de inspección" para tu ordenador en Windows

IExpress es una herramienta que se utiliza para modificar el archivo cab en el paquete de instalación msi y tiene la mejor compatibilidad. Utilice otras herramientas cab para empaquetar el archivo en un cab y luego reemplazarlo con el archivo cab en el. msi. A menudo ocurren errores. No existe tal problema.

Descarga recomendada: Nombre del software: IExpress (herramienta de creación de paquetes autoextraíbles de Microsoft) 2.0 Versión verde china Tamaño del software: 485 KB Hora de actualización: 2016-09-21

Origen: Microsoft

Función: Una herramienta dedicada a crear varios paquetes autoextraíbles y de compresión CAB.

Debido a que es un programa que viene con Windows, el paquete de instalación producido tiene buena compatibilidad. Puede ayudar a los propagadores de troyanos a crear paquetes autoextraíbles que no pueden ser detectados por el software antivirus y, en general, también puede disfrazarse de parche para cierto software del sistema (como la revisión de IE) para confundir a la gente.

¿Dónde puedo encontrar métodos o herramientas de agrupación que nunca serán detectados? Lejos y al mismo tiempo tan cerca. Pero no te olvides de Windows, que permanece contigo día y noche. La herramienta incluida que se presentará esta vez es un pequeño software IExpress que viene con Windows (aplicable a los sistemas 2000 y XP).

Principio

IExpress utiliza una variedad de diferentes tecnologías de archivos autoextraíbles para empaquetar archivos de actualización de software. Estos paquetes autoextraíbles pueden ejecutar automáticamente el programa EXE contenido en el paquete. La tecnología IExpress es una tecnología utilizada por Microsoft para crear paquetes de actualización de software para algunas versiones de Microsoft Internet Explorer, algunas versiones de Windows y varios otros productos.

¿Cómo determinar si un paquete de actualización de software utiliza IExpress? El método es el siguiente:

1. Haga clic derecho en el paquete y haga clic en Propiedades.

2. En la pestaña General, vea Descripción. Los paquetes de actualización de software que utilizan tecnología IExpress contendrán las palabras "Win32 Cabinet Self-Extractor".

Operación práctica

En esta parte, el autor explicará en detalle todo el proceso de agrupación de troyanos en forma de ejemplos.

El primer paso

Ingrese IExpress en el cuadro de diálogo "Ejecutar" para iniciar el programa (Figura 1).

Habrá dos opciones para elegir al principio, una es crear un nuevo archivo autoextraíble (Crear nuevo archivo de directiva de autoextracción) y la otra es abrir el archivo autoextraíble guardado. plantilla de extracción del archivo ".sed" (abra el archivo de directiva de autoextracción existente). Debemos seleccionar el primer elemento y hacer clic en el botón "Siguiente".

Segundo paso

A continuación, elija tres métodos de empaquetado para crear paquetes troyanos autoextraíbles (Figura 2). Son para crear paquetes comprimidos autoextraíbles e instalarlos automáticamente (Extraer archivos y). ejecutar un comando de instalación), crear un paquete comprimido autoextraíble (solo extraer archivos) y crear un paquete comprimido CAB (solo crear archivos comprimidos).

Debido a que lo que queremos hacer es un paquete de descompresión troyano, debemos elegir la primera opción. Después de ingresar el título del paquete comprimido, haga clic en el botón "Siguiente".

El tercer paso

En el "Mensaje de confirmación", el software preguntará si desea solicitar confirmación al usuario antes de descomprimir el programa troyano. Ya que estamos realizando, por supuesto, la descompresión. El paquete del programa troyano debe estar lo más oculto posible. Seleccione la primera opción "Sin aviso". El propósito de esto es que la víctima no esté preparada.

Haga clic en el botón "Siguiente", agregue un acuerdo de usuario disfrazado en el siguiente "Acuerdo de licencia" para confundir a la víctima, seleccione "Mostrar una licencia" y haga clic en "Examinar". Seleccione un documento TXT editado. Este documento se puede editar en el nombre. de Microsoft Corporation. Una vez completada la configuración, haga clic en "Siguiente". El objetivo de este paso es confundir al adversario y ocultar el proceso de instalación del troyano.

Paso 4

Ahora, hemos ingresado a la ventana de lista de archivos (Archivos empaquetados). Haga clic en el botón "Agregar" en esta ventana para agregar el troyano y los programas legítimos que se incluirán con el troyano. Agregue programas legales basados ​​en el contenido del archivo de protocolo que acaba de editar. Por ejemplo, si el protocolo que crea está relacionado con el paquete de parches de IE, entonces puede agregar el troyano y un paquete de parches de IE normal.

Luego ingrese a la ventana de selección del programa de instalación y especifique el archivo que comenzará a ejecutarse después de descomprimir el paquete (Instalar programa) y el programa que se ejecutará después de que se complete la instalación (comando posterior a la instalación). Por ejemplo, si configura el paquete de parche normal de IE para que se ejecute primero en el programa de instalación, pero el troyano no se está ejecutando en este momento, a los ojos de la víctima, de hecho es un paquete de parche de IE. Configure el programa troyano en el comando posterior a la instalación, de modo que cuando se instale el paquete de parche de IE, el programa troyano se ejecute en segundo plano y se logre nuestro propósito.

Paso 5

A continuación, seleccione el modo de visualización (Mostrar ventana) del software durante el proceso de instalación. Dado que nuestro troyano viene incluido con un programa legítimo, simplemente seleccione "Predeterminado". A continuación, configure la visualización del mensaje de aviso (Mensaje finalizado). Dado que estamos ejecutando un programa de instalación incluido con un troyano, por supuesto debemos seleccionar "Sin mensaje".

Paso 6

Una vez completadas las configuraciones anteriores, configure la ubicación para guardar y el nombre del programa autoextraíble. Aquí debe seleccionar "Ocultar animación de progreso de extracción de archivos al usuario" para ocultar el proceso de descompresión y ayudar a ocultar el cuadro de símbolo del sistema que aparece cuando se inician algunos programas troyanos. Finalmente, configure si desea reiniciar después de completar la instalación del software (Configurar reinicio), que se puede seleccionar según las necesidades reales. Si el troyano que está utilizando es "plug and play", seleccione "No reiniciar" si el troyano que está utilizando se utiliza para iniciar Terminal Services, entonces puede seleccionar "Reiniciar siempre" y también seleccionar "No solicitar el usuario antes de reiniciar." "(No avisar al usuario antes de reiniciar).

Después de guardar la configuración que acaba de realizar, haga clic en el botón "Siguiente" para comenzar a crear el programa troyano autoextraíble.

Todo el proceso de producción se lleva a cabo en DOS. Una vez que la finalización alcance el 100%, aparecerá una ventana emergente. Haga clic en "Finalizar" y se completará el paquete del programa troyano y el programa legal (. El formato es EXE), haga doble clic para ejecutar. Utilice un software antivirus para comprobarlo nuevamente. ¿Qué tal? No hay absolutamente ninguna posibilidad de que lo descubran.

¿A qué esperas ahora? Date prisa y utiliza la tecnología de propagación de troyanos web o la tecnología de libros electrónicos de troyanos introducida por "Trojan Horse Massacre" para publicar tu troyano. Por supuesto, también puedes enviarlo a otras personas como un parche importante para IE.

¿No sería bueno dejar que “Windows” nos sirva y empaquete troyanos sin la necesidad de herramientas de terceros o demasiados empaquetadores y disfraces?

Medidas preventivas

Primero puede comprobar si el paquete de programa sospechoso utiliza tecnología IExpress (ya presentada en la sección "Principios"). Si se utiliza la tecnología IExpress, debe prestar atención. En este momento, puede ingresar al símbolo del sistema y usar el comando "IExpress /c" para descomprimir el archivo (sin instalación) para verificar si hay un troyano en el paquete. Y también puede agregar El parámetro anterior "/t:path" especifica la ruta de descompresión.

Editor:

Los usuarios comunes deberían estar más atentos. Muchos creadores de troyanos comprenden el miedo de los usuarios a las vulnerabilidades y aprovechan su entusiasmo por aplicar los últimos parches. Es muy posible que un programa troyano esté oculto en un parche aparentemente legítimo. Por lo tanto, me gustaría recordarles a todos que no descarguen paquetes de parches de sitios no oficiales para sistemas operativos y software, porque es probable que estos paquetes sean paquetes falsos incluidos con programas maliciosos.