viernes, 27 de marzo de 2009

El mp3 ejecutable

metallica1

Esto de aquí arriba es una bonita canción de Metallica ... o eso parece.

metallica2

Si, tras escucharla he verificado que es una hermosa canción de Metallica. Tan bonita, tan bonita que me apetece verla hexadecimalmente, seguro que sigue los esquemas binarios mas armónicos del mundo !!

metallica3

¿MZ? Eso no era lo de...como era...si, eso del msdos, los ejecutables y tal, no? No se yo...que raro es esto, ¿perooo ... no era una canción?. Voy a renombrar el archivo a exe a ver que me dice windows.

metallica4

Vaya, parece que se ejecuta y me muestra ese cartel. Pero ¿cómo es posible que sea un mp3 y un exe al mismo tiempo?

Por lo que comentan en este enlace, el formato mp3 se compone de varios frames que no están en posiciones fijas. Y que para reproducir un mp3 lo primero que se hace es hallar el primer frame. Así que en teoría antes del primer frame puede haber lo que quiera, incluso un exe. El reproductor de música buscará el primer frame saltándose toda la basura inicial e ignorando el posible ejecutable.

Así que tenemos un archivo que, según la extensión que tenga, windows lo ejecuta correctamente como un ejecutable o lo envía al reproductor por defecto el cual lo interpreta adecuadamente como un mp3 válido.

Umm pero y como lo ejecutará el comando start de cmd, ¿cómo exe o cómo mp3?

metallica5

Como un ejecutable, parece que omite la extensión y se fija en la cabecera del fichero. Interesante....

Si, interesante porque alguien podría hacer acceso directo que ejecutase el comando "cmd.exe /c metallica.mp3" /C Ejecuta el comando especificado en cadena y luego finaliza

metallica6 *Nótese el atractivo titulo del acceso directo

cmd.exe interpretaría el archivo como un fichero ejecutable y ... BOOM.

De aquí podéis descargar el fabuloso disco de Metallica (en realidad es un solo mp3-exe y el malvado acceso directo). El incauto usuario se lo baja y desolado comprueba que no es todo el disco, es una sola canción.

metallica7

Tras escucharla se fija en ese link que dice llevarle a la página donde podrá bajarse el disco completo, pero tras pulsarlo...

metallica8

Windows le muestra un extraño cartel y decide ir a tienda a comprarse el disco original que seguro que acaba antes.

El pobre usuario ha sido contaminado por los virus mas horripilantes de la faz de la tierra y Metallica conquista el corazón de otro fiel seguidor.

*Nota: El ejecutable podría en vez de mostrar un cartel, mostrar la página web a la que aparenta llevar el link y hacer otras atroces acciones. De modo que todo funciona como debería...aparentemente.

Dedicatoria: Esto me lo he encontrado gracias a HacKDarK, en un post en el que se retaba a los usuarios a comprobar si un archivo estaba infectado o no. Pero él no había subido un exe, sino "el mp3xe" :D

21 comentarios:

  1. Thor...maginifica explicacion..

    Salu2 amigo..

    :: D-ak ::

    ResponderEliminar
  2. Esta bueno che... Te inspire? jajaja.
    Saludos Bro.

    HacKDarK

    ResponderEliminar
  3. Este comentario ha sido eliminado por un administrador del blog.

    ResponderEliminar
  4. Buenas Thor, cuanto tiempo!

    Una pregunta rápida y sencilla, ¿qué herramienta utilizas para hacer la "mezcla"?

    Antiguamente utilizaba el Themida para cacharrear con imágenes,,, pero con un MP3 nunca me puse..

    Salu2!

    ResponderEliminar
  5. La "mezcla" la hago con un editor hexadecimal, insertando el ejecutable al principio del mp3.

    ¿Themida con imágenes? el problema es que seguirá siendo una imagen o un ejecutable, pero no las dos cosas, ¿no?

    ResponderEliminar
  6. pero thor una cosa cuando dices que meto el principio del ejecutable al mp3 ps por hexadecimal yo lo meto pero aun no entiendo la cancion estaria bindeada con un supuesto server???

    ResponderEliminar
  7. No, es un ejecutable y un mp3. Depende la extensión y como lo ejecutes se abrirá como una u otra cosa. Releete el post, ahí esta bien explicado creo..

    ResponderEliminar
  8. man podrias dar tu msn porfavor soy de indetetctables.ne soy irux

    ResponderEliminar
  9. Mas de lo que he explicado en el post no puedo hacerlo. Ahí está todo. Es un ejecutable y un mp3 depende de como lo ejecutes se arrancará una u otra cosa, pero nunca las dos juntas.

    En el foro también te lo han explicado...

    ResponderEliminar
  10. Exelente metodo!! solo una cosa lo del acceso directo lo entiendo y lo he hecho, incluso en indetectables, polifemo hizo un programa que lo hacia, lo que no me queda claro es lo de intruducir el exe al mp3 con hex??? podrias explicar un poco gracias

    ResponderEliminar
  11. Usando un editor hexadecimal, copiar & pegar.
    Un saludo.

    ResponderEliminar
  12. ey colega buen tutorial y que buen articulo y porsupesto quer buena forma de infectar.

    ResponderEliminar
  13. Esta muy bueno el software y la explicacion.

    ResponderEliminar
  14. Muy buena la explicacion viejito, siga asi!

    ResponderEliminar
  15. Thor, añadiendo el codigo hexadecimal del exe al mp3 consigo q al cambiar la extension se ejecute como ejecutable, pero como .mp3 el reproductor no puede abrir el archivo =S.
    Como se supone q hay q hacer para q salte a leer directamente el primer frame de la cancion en cuestion?

    ResponderEliminar
  16. :-O esto es muy bueno... a lo mejor tambien sirve para esconder el server del AV ;-)

    ResponderEliminar
  17. Ohh esta fantástico, y también funciona con videos!!

    ResponderEliminar
  18. Hola. Disculpá la molestia. Resulta que al crear el acceso directo y le doy doble clic pues me sale un error que dice esto. La ventana se llama Stub y dice Run-Time error 9. Subscript out of range.
    ¿Cómo podré solucionar eso? Si el mp3 lo renombro a exe y lo ejecuto pues funciona genial (me autoinfecto) pero al intentarlo a través del cmd /c del acceso directo, pues sale ese error. ¡?¿?
    Lo que le metí al mp3 fue un server de SpyNet bajo crypter...
    Creo que el error viene de algo entre el crypter y el cmd (ya te digo el server funciona encriptado si le hago doble clic pero a través del acceso directo surge ese error).

    Me podrías ayudar? Gracias de antemano.

    ResponderEliminar
  19. Hola. Te hago una consulta. Cómo podría el acceso directo llevar a una página web y a la vez ejecutar el código? Es posible evitar que se vea la pantalla del cmd??
    gracias

    ResponderEliminar
  20. amigo gracias por el tuto
    pero ay muchas preguntas sin resolver

    espero y contestes todo

    ResponderEliminar