Infezione [MiniGUIDA] - Pagina 6

Viricida · 24-10-2006, 10:31

Tempo fa cercando di rendere invisibile BOINC per infettare alcuni computer avevo trovato un metodo (forse proprio su questo forum), funzionante sotto Windows NT 4, Windows 2000 e Windows XP, che richiede i file instsrv.exe e srvany.exe del Windows Resource Kit scaricabile dal sito della Microsoft, questo è un metodo non specifico per BOINC ma che può essere utilizzato anche per molti altri programmi o per progetti di BOINC diversi da seti@home, non è proprio semplicissimo ma se sono riuscito a farlo funzionare io può riuscirci qualunque utente medio di Windows.

Supponiamo di aver installato e configurato un programma e che questo si trovi in c:\Programmi\Applicazione\applicazione.exe, chiudere l’applicazione ed eventualmente eliminare l’icona del programma da Start->Programmi->Esecuzione automatica, prima di iniziare loggarsi come utente con privilegi di amministratore, copiare instsrv.exe nella directory c:\Windows\System32 (c:\Winnt\System32 per i vecchi NT 4) e copiare srvany.exe in c:\Programmi\Applicazione.

1) Aprire il prompt dei comandi, portarsi nella cartella C:\WINDOWS e scrivere "instsrv.exe applicazione c:\Programmi\Applicazione\svrany.exe", se non ci sono problemi apparirà una scritta che annuncia che il servizio è stato installato, nel caso lo si voglia rimuovere digitare "instsrv.exe applicazione remove".

2) Accedere al registro di configurazione (Start->esegui->Regedit) ed espandere la chiave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services, a questo punto viene mostrata tutta la serie di servizi presenti, individuare quello che si chiama "applicazione", cliccarci sopra con il tasto destro e selezionare Nuovo->Chiave e chiamarla Parameters, selezionare la chiave appena creata col tasto destro e creare i valori stringa Application e AppDirectory, cliccare due volte sul valore stringa Application e scrivere c:\Programmi\Applicazione\applicazione.exe, ripetere la stessa operazione su AppDirectory e scrivere c:\Programmi\Applicazione.

3) Cliccare col tasto destro su Risorse del computer, cliccare su Gestione e poi andare in Servizi e applicazioni->Servizi e applicazioni, cercare il servizio che ha il nome dell’eseguibile della nostra applicazione e cliccarci sopra due volte, sulla scheda Generale impostare il tipo di avvio su Automatico, selezionare la scheda Ripristino e impostare Riavvia il servizio in Primo tentativo e in Secondo tentativo e Riavvia il computer in Tentativi successivi, cliccare su Applica per salvare le modifiche apportate; per far partire subito il servizio selezionarlo e premere sul pulsante esegui sulla barra degli strumenti in alto oppure riavviare il computer.

4) Cliccare col tasto destro su Risorse del computer, ciccare su Proprietà e selezionare la scheda Avanzate cliccare su Impostazioni nel riquadro dell’avvio e ripristino del sistema, spuntare la casella Riavvia automaticamente.

Per controllare che il servizio funzioni andare nella scheda Processi del Task Manager e cercare il nostro servizio.

Viricida · 24-10-2006, 13:36

Nascondere un processo al Task Manager non è facile, cercando un pò in rete ho trovato qualcosina
http://www.planet-source-code.com/vb...d=764&lngWId=7
http://w-shadow.com/blog/2006/09/21/...t-taskmanager/
http://www.planet-source-code.com/vb...xtCodeId=66529

Ma7z0 · 24-10-2006, 14:23

Thx Viricida, il prossimo pc che mi capita per le mani lo infetto così

schizzobau · 24-10-2006, 14:43

Quote:

Originariamente inviato da Viricida

Nascondere un processo al Task Manager non è facile, cercando un pò in rete ho trovato qualcosina
http://www.planet-source-code.com/vb...d=764&lngWId=7
http://w-shadow.com/blog/2006/09/21/...t-taskmanager/
http://www.planet-source-code.com/vb...xtCodeId=66529

appena posso, provo a modificare il codice come indicato nei link, grazie mille

fradeve11 · 24-10-2006, 22:13

Grazie Viricida!!!! Se funziona come dici, si sta aprendo una nuova era per le infezioni!
Per Schizzo: bisognerebbe mettere questa cosa come sezione della guida ad inizio thread, dopo averla testata

Viricida · 25-10-2006, 10:09

Quote:

Originariamente inviato da fradeve11

Grazie Viricida!!!! Se funziona come dici, si sta aprendo una nuova era per le infezioni!

Se ti riferisci al sistema di occultamento con instsrv.exe e srvany.exe funziona di sicuro perchè lo ho testato personalmente, se invece ti riferisci al modo di nascondere dal Task Manager un processo non lo so ma io eviterei di mettere troppo in evidenza quelle informazioni o qualcuno potrebbe pensare che stiamo cercando un modo per creare virus, trojan, worm, ecc., anzi forse è meglio spostarle in un posto accessibile solo con l'autorizzazione di un amministratore.

Siccome l'occultamento di un software non è completo fino a quando non sparisce anche dalla lista di "Installazione Applicazioni" ho cercato un modo per nasconderlo anche lì e ho trovato questo percorso per eliminare una chiave di registro HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL, questo si usa per eliminare le chiavi di quei fastidiosi programmi che continuano a essere visualizzati nella lista anche dopo che sono stati disinstallati, non ho provato a cancellare la chiave di un programma che sia ancora installato ma non penso che la cancellazione della chiave di BOINC ne provocherebbe il malfunzionamento.
Nel caso in cui qualche coraggioso desideri fare una prova, ovviamente dopo aver fatto un backup del registro, la chiave di BOINC non è scritta in chiaro ma è una di quelle che hanno un codice alfanumerico racchiuso tra due parentesi graffe per cui, per trovarla, basta cliccare sulla prima e scorrere l'elenco fino a quando nei valori delle chiavi che appaiono nella schermata a destra di regedit non si legge qualcosa che ha a che fare con BOINC

fradeve11 · 25-10-2006, 10:15

Quote:

Originariamente inviato da Viricida

Se ti riferisci al sistema di occultamento con instsrv.exe e srvany.exe funziona di sicuro perchè lo ho testato personalmente, se invece ti riferisci al modo di nascondere dal Task Manager un processo non lo so ma io eviterei di mettere troppo in evidenza quelle informazioni o qualcuno potrebbe pensare che stiamo cercando un modo per creare virus, trojan, worm, ecc.

Siccome l'occultamento di un software non è completo fino a quando non sparisce anche dalla lista di "Installazione Applicazioni" ho cercato un modo per nasconderlo anche lì e ho trovato questo percorso per eliminare una chiave di registro HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL, questo si usa per eliminare le chiavi di quei fastidiosi programmi che continuano a essere visualizzati nella lista anche dopo che sono stati disinstallati, non ho provato a cancellare la chiave di un programma che sia ancora installato ma non penso che la cancellazione della chiave di BOINC ne provocherebbe il malfunzionamento.
Nel caso in cui qualche coraggioso desideri fare una prova, ovviamente dopo aver fatto un backup del registro, la chiave di BOINC non è scritta in chiaro ma è una di quelle che hanno un codice alfanumerico racchiuso tra due parentesi graffe per cui basta cliccare sulla prima e scorrere l'elenco fino a quando nei valori delle chiavi che appaiono nella schermata a destra di regedit non si legge qualcosa che ha a che fare con BOINC

L'idea è brillante ma... io uso linux

e comunque sono sicuro che non creerebbe problemi di sorta, la modifica di quella chiave. In qualsiasi caso, chiunque abbia il buon senso di leggere in che forum è capitato, dubito che oserebbe pensare che stiamo cercando di creare chissà quale virus o trojan...
Ripeto: se funziona veramente, cominciamo ad attrezzarci per mettere la cosa sotto forma di guida ad inizio thread

GHz · 25-10-2006, 11:13

Quote:

Originariamente inviato da fradeve11

L'idea è brillante ma... io uso linux

e comunque sono sicuro che non creerebbe problemi di sorta, la modifica di quella chiave. In qualsiasi caso, chiunque abbia il buon senso di leggere in che forum è capitato, dubito che oserebbe pensare che stiamo cercando di creare chissà quale virus o trojan...
Ripeto: se funziona veramente, cominciamo ad attrezzarci per mettere la cosa sotto forma di guida ad inizio thread

BOINC funziona anche senza installazione, percui non c'è il problema del nome nella lista dei programmi, è scritto anche chiaramente nella guida al paragrafo dello scaccolo con più pc anche non connessi alla rete.

Per quanto riguarda questo topic, mi sembra che sia andato ben oltre i limiti consentiti dal regolamento. Per ora lo chiudo, in attesa di accordarci con schizzobau per aprirne una versione pulita e "corretta"

Ciao,
GHz

24-10-2006, 10:31	#101
Viricida Junior Member Iscritto dal: May 2005 Messaggi: 19	Tempo fa cercando di rendere invisibile BOINC per infettare alcuni computer avevo trovato un metodo (forse proprio su questo forum), funzionante sotto Windows NT 4, Windows 2000 e Windows XP, che richiede i file instsrv.exe e srvany.exe del Windows Resource Kit scaricabile dal sito della Microsoft, questo è un metodo non specifico per BOINC ma che può essere utilizzato anche per molti altri programmi o per progetti di BOINC diversi da seti@home, non è proprio semplicissimo ma se sono riuscito a farlo funzionare io può riuscirci qualunque utente medio di Windows. Supponiamo di aver installato e configurato un programma e che questo si trovi in c:\Programmi\Applicazione\applicazione.exe, chiudere l’applicazione ed eventualmente eliminare l’icona del programma da Start->Programmi->Esecuzione automatica, prima di iniziare loggarsi come utente con privilegi di amministratore, copiare instsrv.exe nella directory c:\Windows\System32 (c:\Winnt\System32 per i vecchi NT 4) e copiare srvany.exe in c:\Programmi\Applicazione. 1) Aprire il prompt dei comandi, portarsi nella cartella C:\WINDOWS e scrivere "instsrv.exe applicazione c:\Programmi\Applicazione\svrany.exe", se non ci sono problemi apparirà una scritta che annuncia che il servizio è stato installato, nel caso lo si voglia rimuovere digitare "instsrv.exe applicazione remove". 2) Accedere al registro di configurazione (Start->esegui->Regedit) ed espandere la chiave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services, a questo punto viene mostrata tutta la serie di servizi presenti, individuare quello che si chiama "applicazione", cliccarci sopra con il tasto destro e selezionare Nuovo->Chiave e chiamarla Parameters, selezionare la chiave appena creata col tasto destro e creare i valori stringa Application e AppDirectory, cliccare due volte sul valore stringa Application e scrivere c:\Programmi\Applicazione\applicazione.exe, ripetere la stessa operazione su AppDirectory e scrivere c:\Programmi\Applicazione. 3) Cliccare col tasto destro su Risorse del computer, cliccare su Gestione e poi andare in Servizi e applicazioni->Servizi e applicazioni, cercare il servizio che ha il nome dell’eseguibile della nostra applicazione e cliccarci sopra due volte, sulla scheda Generale impostare il tipo di avvio su Automatico, selezionare la scheda Ripristino e impostare Riavvia il servizio in Primo tentativo e in Secondo tentativo e Riavvia il computer in Tentativi successivi, cliccare su Applica per salvare le modifiche apportate; per far partire subito il servizio selezionarlo e premere sul pulsante esegui sulla barra degli strumenti in alto oppure riavviare il computer. 4) Cliccare col tasto destro su Risorse del computer, ciccare su Proprietà e selezionare la scheda Avanzate cliccare su Impostazioni nel riquadro dell’avvio e ripristino del sistema, spuntare la casella Riavvia automaticamente. Per controllare che il servizio funzioni andare nella scheda Processi del Task Manager e cercare il nostro servizio. Ultima modifica di Viricida : 24-10-2006 alle 10:33.

24-10-2006, 14:23	#103
Ma7z0 Senior Member Iscritto dal: Jun 2005 Città: Pordenone Messaggi: 745	Thx Viricida, il prossimo pc che mi capita per le mani lo infetto così __________________ .C/V:[1].

24-10-2006, 22:13	#105
fradeve11 Senior Member Iscritto dal: May 2004 Messaggi: 2422	Grazie Viricida!!!! Se funziona come dici, si sta aprendo una nuova era per le infezioni! Per Schizzo: bisognerebbe mettere questa cosa come sezione della guida ad inizio thread, dopo averla testata __________________ Team Seti Guardians - Seti Warrior X° Livello - Chiedimi di BOINC.Italy Membro dell'HWUpgrade JRR Tolkien ClanMembro dell' HWUpgrade Seti@Home Project Partecipa anche tu! Aiuta la scienza senza muovere un dito! TOLKIEN Online Italia - - www.webcomunity.org - - Linux User #439364 -- Ubuntu user #8741

24-10-2006, 13:36	#102
Viricida Junior Member Iscritto dal: May 2005 Messaggi: 19	Nascondere un processo al Task Manager non è facile, cercando un pò in rete ho trovato qualcosina http://www.planet-source-code.com/vb...d=764&lngWId=7 http://w-shadow.com/blog/2006/09/21/...t-taskmanager/ http://www.planet-source-code.com/vb...xtCodeId=66529

Strumenti
Mostra una versione stampabile Invia questa pagina per email