Utilizando Compressores de Executáveis

quarta-feira, 14 de novembro de 2007

Como vimos no artigo sobre trojans, vários métodos podem ser usados para esconder um cavalo de tróia. Depende mais da imaginação do invasor. Só que ainda assim podem ser facilmente detectados. Nesse artigo vou citar o método do compressor de executáveis Windows 32 bits.

Apesar de essa técnica já vir sendo utilizada em larga escala há um tempo. Consiste em usar um programa compressor de arquivos EXE, que apenas diminua o seu tamanho retirando espaços vazios desnecessários. Um programa comum é o Petite que diminui cerca de 30% ou mais do arquivo original.

Um trojan (ou mesmo um vírus) comprimido é absolutamente indetectável por anti-vírus e scanners. Isso porquê esses programas se baseiam na estrutura do arquivo para identificá-lo. É como se tivesse fotos na memória e as comparasse. Como não encontrou nenhuma igual, não mostra nenhum tipo de aviso. Um operador de sistemas têm que conhecer muito bem seus arquivos e conferir sempre novas alterações (como datas e horas de novos arquivos) para evitar que um trojan comprimido seja instalado em seu sistema. Não dependa só de anti-vírus.

Vamos realizar passo a passo o processo de esconder um trojan de um anti-vírus.

1. Passaremos o Norton para que encontre o arquivo infectado:
   
2. Agora, abriremos o programa PETITE para comprimir o arquivo EXE do servidor do Netbus.
   
3. Com o arquivo já comprimido, novamente testamos o anti-vírus:
   

Fica evidente que nada foi detectado. Use essa técnica com cautela. ;-)