Gusano Tribant (p2p y usb) by Dober-ManN [Abril Negro]

Dober-ManN · 25 Abril 2009, 01:47 AM

Hola a todos. Queria presentar mi Worm para Abril Negro. Se llama Tribant y esta programado en Visual Basic 6. Cualquier duda, comenten.

Tribant

Nombre: Tribant
Tamaño del virus: 104Kb
Nombre Tecnico: W32-TRIBANT.VB worm
Tipo: Gusano
Propagacion: P2P y USB.
Autor: Dober-ManN
Programado en: Visual Basic 6

EFECTOS:

Al abrirce, verifica si se encuentra infectada la PC victima, si no lo esta, se copia a "%windir%\svchost.exe".
Cambia sus propiedades a: _Solo lectura.
_Oculto.
_Archivo del sistema.

Se agrega al registro en "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\svchost" para iniciarce con el sistema.
Ejecuta el archivo "%windir%\svchost.exe", luego se autocierra y comienza la propagacion.

PROPAGACION P2P:

Para la propagacion P2P, analiza todas las carpetas compartidas de los programas P2P en busca de archivos.

Extrae los nombre de estos archivos y se autocopia con estos nombres en todas la carpetas compartidas de los programas P2P.

Carpetas de los programas P2P en los que funciona este gusano: C:\Archivos de programa\Grokster\My Grokster\
     C:\Archivos de programa\Morpheus\My Shared Folder\
     C:\Archivos de programa\ICQ\shared files\
     C:\Archivos de programa\KaZaA\My Shared Folder\
     C:\Archivos de programa\KaZaA Lite\My Shared Folder\
     C:\Archivos de programa\EDONKEY2000\incoming\
     C:\Archivos de programa\eMule\Incoming\
     C:\Archivos de programa\Filetopia3\Files\
     C:\Archivos de programa\appleJuice\incoming\
     C:\Archivos de programa\Gnucleus\Downloads\
     C:\Archivos de programa\LimeWire\Shared\
      C:\Archivos de programa\Overnet\incoming\
      C:\Archivos de programa\Shareaza\Downloads\
      C:\Archivos de programa\Swaptor\Download\
     C:\Archivos de programa\WinMX\My Shared Folder\
     C:\Archivos de programa\Tesla\Files\
     C:\Archivos de programa\XoloX\Downloads\
      C:\Archivos de programa\Rapigator\Share\
      C:\Archivos de programa\KMD\My Shared Folder\
     C:\Archivos de programa\BearShare\Shared\
     C:\Archivos de programa\Direct Connect\Received Files\

PROPAGACION USB:

Para la propagacion USB, se autocopia con el nombre de "system.exe" y crea el archivo "autorun.inf" en las unidades desde la E:\ hasta la Z:\ cada 5s.
Cambia las propiedades del los archivos "autorun.inf" y "system.exe" a: _Solo lectura.
_Oculto.
_Archivo del sistema.

Este gusano no tiene rutina destructiva

(jeje, en serio, no la tiene), solo se propaga por USB y por P2P como cualquier gusano. Cualquier cosa, el codigo fuente esta completamente explicado paso por paso. Espero que les guste:

LINK DE DESCARGA: http://www.4shared.com/file/101402829/1188bee4/TRIBANT.html

SALUDOS y COMENTEN

invisible_hack · 25 Abril 2009, 01:48 AM

¿Va con source el worm no?

XcryptOR · 25 Abril 2009, 04:27 AM

sabes deberias usar apis, ademas hay cosas como los paths de las carpetas compartidas usas hardcoded paths y si se cambia la ruta adios rutina p2p la mejor opcion es buscar en el registro. descarta el wscript.shell nunca veras un buen worm usando este objeto usa apis, tienes codigo que se repite muchas veces usa bucles.

te falta una cosa importante cifrar las cadenas, ademas de que el archivo ejecutable de un proyecto tan pequeño pesa 104 kb, yo tengo gusanos con cientos de lineas de code y muchos modulos (bas y cls) y apenas pesa alrededor de los 40 kb, en parte se debe al icono que pesa nada mas que 18 kb.

La verdad vas por buen camino depuralo un poco y veras los buenos resultados que obtienes.

saludos

Dober-ManN · 25 Abril 2009, 04:54 AM

Bueno, se que tiene mucho codigo basura, PERO NO OLVIDEMOS QUE AUN SOY NOVATO

. Y es lo que supe hacer, aun hay miles de cosas que no entiendo, y para mi, cuando se trata de propagacion P2P, cuanto mas pese, mejor.
Gracias por los comentarios.

SUERTE

Karcrack · 25 Abril 2009, 10:38 AM

Bueno, aun no me he mirado el code, pero mirando el post veo que has de mejorar esto:

104kb $:-\$
No es buena idea poner asi las rutas, si no quieres leer del registro aunque sea hazlas asi: environ$("PROGRAMFILES") & "\path"
La clave del registro que usa para ejecutarse con Win es muy comun
Como dice XCryptor, si no encriptas Strings tu animalito esta muerto...

Venga, sigue asi que en unos meses veras

Saludos

Dober-ManN · 25 Abril 2009, 17:38 PM

Gracias Karcrack. Yo comenze a programar hace como dos meses (con la revista de hackxcrack)

. Por lo del tamaño del worm, ¿cual es el problema?
A medida que vaya aprendiendo, lo ire modificandolo, pero por ahora lo dejare como esta.
Gracias

Karcrack · 25 Abril 2009, 17:48 PM

Pues es mucho peso para dos simples funciones de infeccion $:-\$

Si lo que quieres es que sea un tamaño confiable para los P2P lo que has de hacer es agregar algun fichero multimedia (un videito por ejemplo) y mostrarlo al ser ejecutado... incluso podrias comprobar antes de ejecutarlo si estas en alguna carpeta de descargas, tipo Downloads, Descargas, Incoming... etc

Saludos

Dober-ManN · 25 Abril 2009, 18:06 PM

jejeje, no es mala idea.

KJD · 25 Abril 2009, 21:32 PM

Aprovecho que estan dando catedra para hacer una pregunta, hay algun texto con consejos para la programacion de malware, como rutas de registro interesantes o directorios mas usados de programas??

Saludos.

Karcrack · 26 Abril 2009, 00:08 AM

Código [Seleccionar]

http://www.wikilearning.com/curso_gratis/curso_de_programacion_de_virus-introduccion/4312-1
Un poco viejete, pero seguro que aprendes algo

Sino puedes hacer como yo, que me leo los analisis de Malwares nuevos