[hacking tricks] AVs bypass

Не все помнят знают, что командная строка Windows воспринимает любой файл с произвольным расширением, как исполняемую PE-программу. Это  в свою очередь может с успехом использоваться для обхода превентивных механизмов защиты. В качестве примера возьмем известный по virustotal Passwords Stealer UFR [тынц] и не безызвестный антивирус McAfee, который уже знает про эту стягивалку паролей [PWS-FAPK!31754313CD59]. Создадим новый билд UFR Stealer и сразу же переименуем его, например так: C:\Temp> move test.exe test.db


Теперь любым волшебным способом доставим исполняемый файл test.db на целевой компьютер, на котором уже крутится антивирус McAfee и...


Аналогичным образом обходятся и другие аверы в т.ч. антивирус Касперского, а вот родной для винды Windows Defender такие особенности командной строки блюдет(( радует лишь то, что дефендер не перегружен знаниями о самой малвари))