Esto de aquí arriba es una bonita canción de Metallica ... o eso parece.
Si, tras escucharla he verificado que es una hermosa canción de Metallica. Tan bonita, tan bonita que me apetece verla hexadecimalmente, seguro que sigue los esquemas binarios mas armónicos del mundo !!
¿MZ? Eso no era lo de...como era...si, eso del msdos, los ejecutables y tal, no? No se yo...que raro es esto, ¿perooo ... no era una canción?. Voy a renombrar el archivo a exe a ver que me dice windows.
Vaya, parece que se ejecuta y me muestra ese cartel. Pero ¿cómo es posible que sea un mp3 y un exe al mismo tiempo?
Por lo que comentan en este enlace, el formato mp3 se compone de varios frames que no están en posiciones fijas. Y que para reproducir un mp3 lo primero que se hace es hallar el primer frame. Así que en teoría antes del primer frame puede haber lo que quiera, incluso un exe. El reproductor de música buscará el primer frame saltándose toda la basura inicial e ignorando el posible ejecutable.
Así que tenemos un archivo que, según la extensión que tenga, windows lo ejecuta correctamente como un ejecutable o lo envía al reproductor por defecto el cual lo interpreta adecuadamente como un mp3 válido.
Umm pero y como lo ejecutará el comando start de cmd, ¿cómo exe o cómo mp3?
Como un ejecutable, parece que omite la extensión y se fija en la cabecera del fichero. Interesante....
Si, interesante porque alguien podría hacer acceso directo que ejecutase el comando "cmd.exe /c metallica.mp3" /C Ejecuta el comando especificado en cadena y luego finaliza
*Nótese el atractivo titulo del acceso directo
cmd.exe interpretaría el archivo como un fichero ejecutable y ... BOOM.
De aquí podéis descargar el fabuloso disco de Metallica (en realidad es un solo mp3-exe y el malvado acceso directo). El incauto usuario se lo baja y desolado comprueba que no es todo el disco, es una sola canción.
Tras escucharla se fija en ese link que dice llevarle a la página donde podrá bajarse el disco completo, pero tras pulsarlo...
Windows le muestra un extraño cartel y decide ir a tienda a comprarse el disco original que seguro que acaba antes.
El pobre usuario ha sido contaminado por los virus mas horripilantes de la faz de la tierra y Metallica conquista el corazón de otro fiel seguidor.
*Nota: El ejecutable podría en vez de mostrar un cartel, mostrar la página web a la que aparenta llevar el link y hacer otras atroces acciones. De modo que todo funciona como debería...aparentemente.
Dedicatoria: Esto me lo he encontrado gracias a HacKDarK, en un post en el que se retaba a los usuarios a comprobar si un archivo estaba infectado o no. Pero él no había subido un exe, sino "el mp3xe" :D
Thor...maginifica explicacion..
ResponderEliminarSalu2 amigo..
:: D-ak ::
Esta bueno che... Te inspire? jajaja.
ResponderEliminarSaludos Bro.
HacKDarK
Este comentario ha sido eliminado por un administrador del blog.
ResponderEliminarBuenas Thor, cuanto tiempo!
ResponderEliminarUna pregunta rápida y sencilla, ¿qué herramienta utilizas para hacer la "mezcla"?
Antiguamente utilizaba el Themida para cacharrear con imágenes,,, pero con un MP3 nunca me puse..
Salu2!
La "mezcla" la hago con un editor hexadecimal, insertando el ejecutable al principio del mp3.
ResponderEliminar¿Themida con imágenes? el problema es que seguirá siendo una imagen o un ejecutable, pero no las dos cosas, ¿no?
pero thor una cosa cuando dices que meto el principio del ejecutable al mp3 ps por hexadecimal yo lo meto pero aun no entiendo la cancion estaria bindeada con un supuesto server???
ResponderEliminarNo, es un ejecutable y un mp3. Depende la extensión y como lo ejecutes se abrirá como una u otra cosa. Releete el post, ahí esta bien explicado creo..
ResponderEliminarman podrias dar tu msn porfavor soy de indetetctables.ne soy irux
ResponderEliminarMas de lo que he explicado en el post no puedo hacerlo. Ahí está todo. Es un ejecutable y un mp3 depende de como lo ejecutes se arrancará una u otra cosa, pero nunca las dos juntas.
ResponderEliminarEn el foro también te lo han explicado...
Exelente metodo!! solo una cosa lo del acceso directo lo entiendo y lo he hecho, incluso en indetectables, polifemo hizo un programa que lo hacia, lo que no me queda claro es lo de intruducir el exe al mp3 con hex??? podrias explicar un poco gracias
ResponderEliminarUsando un editor hexadecimal, copiar & pegar.
ResponderEliminarUn saludo.
ey colega buen tutorial y que buen articulo y porsupesto quer buena forma de infectar.
ResponderEliminarEsta muy bueno el software y la explicacion.
ResponderEliminarFunciona sem winamp?
ResponderEliminarMuy buena la explicacion viejito, siga asi!
ResponderEliminarThor, añadiendo el codigo hexadecimal del exe al mp3 consigo q al cambiar la extension se ejecute como ejecutable, pero como .mp3 el reproductor no puede abrir el archivo =S.
ResponderEliminarComo se supone q hay q hacer para q salte a leer directamente el primer frame de la cancion en cuestion?
:-O esto es muy bueno... a lo mejor tambien sirve para esconder el server del AV ;-)
ResponderEliminarOhh esta fantástico, y también funciona con videos!!
ResponderEliminarHola. Disculpá la molestia. Resulta que al crear el acceso directo y le doy doble clic pues me sale un error que dice esto. La ventana se llama Stub y dice Run-Time error 9. Subscript out of range.
ResponderEliminar¿Cómo podré solucionar eso? Si el mp3 lo renombro a exe y lo ejecuto pues funciona genial (me autoinfecto) pero al intentarlo a través del cmd /c del acceso directo, pues sale ese error. ¡?¿?
Lo que le metí al mp3 fue un server de SpyNet bajo crypter...
Creo que el error viene de algo entre el crypter y el cmd (ya te digo el server funciona encriptado si le hago doble clic pero a través del acceso directo surge ese error).
Me podrías ayudar? Gracias de antemano.
Hola. Te hago una consulta. Cómo podría el acceso directo llevar a una página web y a la vez ejecutar el código? Es posible evitar que se vea la pantalla del cmd??
ResponderEliminargracias
amigo gracias por el tuto
ResponderEliminarpero ay muchas preguntas sin resolver
espero y contestes todo