А именно, мы порассуждаем о цифровых подписях. Ведь приятно видеть свойства своего зловреда такими:


Создаем bat-файл с следующим содержимым:
И ложим рядом с ним наш зловред, bot.exe, и сами программы, которые необходимы для создания сертификата и подписи им бота (Cert2Spc.exe, makecert.exe, PVKIMPRT.exe, signtool.exe)
Запускаем bat-файл..


Вводим любой пароль (в данном случае он ВСЮДУ будет одинаковым - 1111) и нажимаем ОК. Следующие два шага так само:


Далее у нас появляется окошко, где ставим точку напротив "Да, экспортировать закрытый ключ", и жмем "Далее", "Далее", вводим ПАРОЛЬ (1111), и в корне сохраняем файл с именем "sertifikat.pfx", в конце жмем "Готово", и вуаля:


Наш бот подписан

Далее вкратце теория: все сертификаты, хранятся в реестре (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertif icates\) по группам (Личные; Другие пользователи; Промежуточные центры сертификации; Доверенные корневые центры сертификации; Доверенные издатели; Издатели, не имеющие доверия)


И каждый сертификат является неким бинарным значением


Цель: нам нужно установить СВОЙ сертификат (будем ставить в AuthRoot) и экспортировать установленные значение бинарного вида в *.reg файл. Для этого будем использовать утилиту certmgr.exe.

Создаем bat-файл:
И ложим рядом с sertifikat.cer и программой certmgr.exe
Может у меня и глупый метод, но под руками не было никакого монитора реестра, а виртуалка была, вот и решил выкрутится..: удалить ВСЕ ветки В SystemCertificates. Удалили? Ок, теперь запускаем вышесозданный батник, и обновляем реестр, опа, добавился наш сертификат.

Далее мы его экспортируем в *.reg файл.


Итак, что мы имеем: подписанный нашим сертификатом вирус, и непосредственно reg-файл с записью, которую нужно обязательно установить на ПК жертвы (если мы ее не установим, будет писать, что цифровая подпись недействительна, т.к. она не совпадает с существующими там записями).