Склейка вирусов через winrar

Статья создана исключительно в целях ознакомления и не призывает к действиям!


Начнём с того, что из себя представляет склейка.
Склейка - это совмещение нескольких файлов в один. При создании вирусов она часто используется.
Типичный пример: у нас есть два exe. Один из них - обычный установщик word, а второй - вирус, который незаметно поражает систему. И есть жертва, которой надо закинуть вирус. Отправлять сам вирус палевно. После того, как человек запустит файл и увидит, что происходит не то, что он ожидал, он насторожится. Для таких целей и существует склейка. Она помогает создать exe, который будет вести себя как обычная программа или даже установщик, а вирус будет запущен в фоне.
Сегодня мы познакомимся с одним из способов склейки вирусов с исполняемыми файлами.


Склейка через winrar
Этот метод является наиболее оптимальным среди простых методов склейки. На выходе мы получаем один исполняемый файл, который будет вести себя как исходная программа. Поскольку winrar - легитимная программа, она не добавляет новых детектов конечному файлу.


Подготовка
В системе должен быть установлен winrar. Для удобство лучше переместить файл вируса и файл, под который вирус будет маскироваться, в одну папку. В этом примере будет использоваться программа notmyfault, а в качестве вируса безобидная программа, которая просто покажет окно с текстом, что она запустилась.
Важно убедиться, что программа, с которой производится склейка, не должна иметь зависимостей. Например, нельзя просто выдернуть exe из установленной программы и отправить его кому-то. Скорее всего такая программа не заработает, потому что ей будет не хватать библиотек или файлов конфигурации.


Шаг 1
Выделяем файл вируса и конечной программы

Шаг 2
Нажимаем правой копкой мыши и выбираем Добавить в архив.

Шаг 3
Установите галочки "Create SFX archive", "Create solid archive" и "Lock archive"

Шаг 4
Во вкладке "Advanced" откройте "SFX options..."

Шаг 5
Во вкладке "Setup" на первой строке напишите имя программы, под которую маскируется вирус. Писать надо полное имя с расширением. С новой строки напишите имя файла вируса.

Порядок можно поменять. Тогда вирус запустится первым. Но это можно делать лишь с теми вирусами, которые переносят исполняемый файл после перезапуска. Иначе основная программа не запустится, пока вирус не завершит работу.
Шаг 6
Во вкладке "Modules" установите галочку "Unpack to temporary folder" и в "Silent mode" выбирите "Hide all"

Шаг 7
На вкладке "Update" в "Overwrite mode" поставьте "Overwrite all files"

Результат
В результате в папке с исходными файлами будет создан ещё один. Это и есть комбинированная программа, которая ведёт себя как исходный exe, но имеет в себе функции вируса.

Проверка
В результате запуска полученного файла в системе исполнится склеенный вирус, поэтому не надо запускать его на виртуалках не предназначенных для тестов.

После запуска exe открылась основная программа, после закрытия которой появилось это окно. Оно отобразилось потому что в качестве вируса было приложение, которое выводит, что система заражена. Настоящий вирус запускается в фоне без создания окон.