Hola a todos. Queria presentar mi Worm para Abril Negro. Se llama Tribant y esta programado en Visual Basic 6. Cualquier duda, comenten.
Tribant
Nombre: Tribant
Tamaño del virus: 104Kb
Nombre Tecnico: W32-TRIBANT.VB worm
Tipo: Gusano
Propagacion: P2P y USB.
Autor: Dober-ManN
Programado en: Visual Basic 6
EFECTOS:
Al abrirce, verifica si se encuentra infectada la PC victima, si no lo esta, se copia a "%windir%\svchost.exe".
Cambia sus propiedades a: _Solo lectura.
_Oculto.
_Archivo del sistema.
Se agrega al registro en "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\svchost" para iniciarce con el sistema.
Ejecuta el archivo "%windir%\svchost.exe", luego se autocierra y comienza la propagacion.
PROPAGACION P2P:
Para la propagacion P2P, analiza todas las carpetas compartidas de los programas P2P en busca de archivos.
Extrae los nombre de estos archivos y se autocopia con estos nombres en todas la carpetas compartidas de los programas P2P.
Carpetas de los programas P2P en los que funciona este gusano: C:\Archivos de programa\Grokster\My Grokster\
C:\Archivos de programa\Morpheus\My Shared Folder\
C:\Archivos de programa\ICQ\shared files\
C:\Archivos de programa\KaZaA\My Shared Folder\
C:\Archivos de programa\KaZaA Lite\My Shared Folder\
C:\Archivos de programa\EDONKEY2000\incoming\
C:\Archivos de programa\eMule\Incoming\
C:\Archivos de programa\Filetopia3\Files\
C:\Archivos de programa\appleJuice\incoming\
C:\Archivos de programa\Gnucleus\Downloads\
C:\Archivos de programa\LimeWire\Shared\
C:\Archivos de programa\Overnet\incoming\
C:\Archivos de programa\Shareaza\Downloads\
C:\Archivos de programa\Swaptor\Download\
C:\Archivos de programa\WinMX\My Shared Folder\
C:\Archivos de programa\Tesla\Files\
C:\Archivos de programa\XoloX\Downloads\
C:\Archivos de programa\Rapigator\Share\
C:\Archivos de programa\KMD\My Shared Folder\
C:\Archivos de programa\BearShare\Shared\
C:\Archivos de programa\Direct Connect\Received Files\
PROPAGACION USB:
Para la propagacion USB, se autocopia con el nombre de "system.exe" y crea el archivo "autorun.inf" en las unidades desde la E:\ hasta la Z:\ cada 5s.
Cambia las propiedades del los archivos "autorun.inf" y "system.exe" a: _Solo lectura.
_Oculto.
_Archivo del sistema.
Este gusano no tiene rutina destructiva :silbar: (jeje, en serio, no la tiene), solo se propaga por USB y por P2P como cualquier gusano. Cualquier cosa, el codigo fuente esta completamente explicado paso por paso. Espero que les guste:
LINK DE DESCARGA: http://www.4shared.com/file/101402829/1188bee4/TRIBANT.html (http://www.4shared.com/file/101402829/1188bee4/TRIBANT.html) SALUDOS y COMENTEN ;D
¿Va con source el worm no?
sabes deberias usar apis, ademas hay cosas como los paths de las carpetas compartidas usas hardcoded paths y si se cambia la ruta adios rutina p2p la mejor opcion es buscar en el registro. descarta el wscript.shell nunca veras un buen worm usando este objeto usa apis, tienes codigo que se repite muchas veces usa bucles.
te falta una cosa importante cifrar las cadenas, ademas de que el archivo ejecutable de un proyecto tan pequeño pesa 104 kb, yo tengo gusanos con cientos de lineas de code y muchos modulos (bas y cls) y apenas pesa alrededor de los 40 kb, en parte se debe al icono que pesa nada mas que 18 kb.
La verdad vas por buen camino depuralo un poco y veras los buenos resultados que obtienes.
saludos
Bueno, se que tiene mucho codigo basura, PERO NO OLVIDEMOS QUE AUN SOY NOVATO :huh: . Y es lo que supe hacer, aun hay miles de cosas que no entiendo, y para mi, cuando se trata de propagacion P2P, cuanto mas pese, mejor.
Gracias por los comentarios. ;D
SUERTE
Bueno, aun no me he mirado el code, pero mirando el post veo que has de mejorar esto:
- 104kb :-\
- No es buena idea poner asi las rutas, si no quieres leer del registro aunque sea hazlas asi: environ$("PROGRAMFILES") & "\path"
- La clave del registro que usa para ejecutarse con Win es muy comun
- Como dice XCryptor, si no encriptas Strings tu animalito esta muerto...
Venga, sigue asi que en unos meses veras ;)
Saludos ;)
Gracias Karcrack. Yo comenze a programar hace como dos meses (con la revista de hackxcrack) ;D. Por lo del tamaño del worm, ¿cual es el problema?
A medida que vaya aprendiendo, lo ire modificandolo, pero por ahora lo dejare como esta.
Gracias
Pues es mucho peso para dos simples funciones de infeccion :-\
Si lo que quieres es que sea un tamaño confiable para los P2P lo que has de hacer es agregar algun fichero multimedia (un videito por ejemplo) y mostrarlo al ser ejecutado... incluso podrias comprobar antes de ejecutarlo si estas en alguna carpeta de descargas, tipo Downloads, Descargas, Incoming... etc
Saludos ;)
jejeje, no es mala idea. :rolleyes:
Aprovecho que estan dando catedra para hacer una pregunta, hay algun texto con consejos para la programacion de malware, como rutas de registro interesantes o directorios mas usados de programas??
Saludos.
http://www.wikilearning.com/curso_gratis/curso_de_programacion_de_virus-introduccion/4312-1
Un poco viejete, pero seguro que aprendes algo ;D Sino puedes hacer como yo, que me leo los analisis de Malwares nuevos :P
:rolleyes:
Cita de: Karcrack en 26 Abril 2009, 00:08 AM
;D Sino puedes hacer como yo, que me leo los analisis de Malwares nuevos :P
:rolleyes:
jaja, eso mismo hago yo, sabes, una buena pagina para aprender tecnicas para tus virus es la de symantec, te muestra las entradas que modifican ciertos virus y te explican que efectos causan esta info es de doble filo jejeje, ademas hay otras intreresantes como la de perantivirus que tambien explica bien los malwares.
saludos
Aqui hay un tuto muy bueno: http://es.geocities.com/cusacoxa/Creacion_de_Worms_VB_by_Hendrix.zip (http://es.geocities.com/cusacoxa/Creacion_de_Worms_VB_by_Hendrix.zip)
Cita de: Karcrack en 26 Abril 2009, 00:08 AM
Sino puedes hacer como yo, que me leo los analisis de Malwares nuevos :P
:rolleyes:
Eso es exactamente lo que queria, saber que es lo que hacen, que modifican, como lo modifican, mas que nada para saber puntos debiles o formas de propagacion mas efectivas, ya que a los bichitos que tengoles falta propagarce ;D
Gracias por la info, maniana me toca leer. ;-)
No lo eh visto ( ahora me lo bajo ) , pero mi mayor crtica es el peso , piensa que mi ultimo gusano que hice ( propagación p2p , lan , usb ) pesaba 8 kb , bueno ahora me lo bajo y hare mas criticas .
PD: Recuerda que todas mis criticas son con la intención de que mejores el worm y no con malas intenciones.
Hola, primero que nada que ocurre si el tipo no tiene esas carpetas? o si lo tiene instalado en otro lado ?...bueno ahi veo On Error Resume Next por lo que va a seguir ejecutandose el codigo si encuentra error...se puede optimizar muchisimo el codigo fuente creando funciones, y te aseguro que te queda menos de la mitad de ese codigo...
saludos.
fijate en el codigo fuente de mi gusano, te vas a dar cuenta que no esta como lo escribi en el post.
No tengo problemas con las criticas; pero algo bueno me pueden decir? :-( :( como el sistema de propagacion p2p que invente (con el FileListBox) :huh:, y con eso del tamaño del worm, ALGUIEN PUEDE DECIRME QUE TIENE DE MALO? se que no lo hice a propocito, pero no pierdo nada con ese peso.
Gracias
El tamaño es muy elevado, podrias quitarle la interfas grafica y te disminuira un poquito el peso .
En este caso el peso no tiene nada de malo pero es elevado por una programación poco eficiente, el tamaño elevado viene a ser reflejo de eso, nada más. Sigue así nadie hace las cosas perfectas a la primera.
Saludos.
No puedo sacar la interface grafica, la propagacion p2p no funcionaria. ¿acaso nadie vio el codigo fuente?
Cita de: dober-mann en 26 Abril 2009, 17:55 PM
No puedo sacar la interface grafica, la propagacion p2p no funcionaria. ¿acaso nadie vio el codigo fuente?
Yo si lo vi , pero ¿para que usas la interfas grafica ? , podrias hacer todo perfectamente sin interfas solo tendrias que modificar el codigo.
me refiero a los 21 FileListBox, ¿como queres que lo haga sin ellos? :huh:
Usando el API de windows. Prueba con FindFirstFile y FindNextFile ;)
Cita de: dober-mann en 26 Abril 2009, 22:00 PM
me refiero a los 21 FileListBox, ¿como queres que lo haga sin ellos? :huh:
Si no quiere usar API de W$... puede hacerlo con la funcion
Dir() del VB.
He estado mirando el code, y has optimizar esto:
- Agreaga siempre Option Explicit
- Usa bucles! Lo de la propagacion USB es una burrada... con un For/Next lo haces todo...
PD: El NOD32 lo detecta con New_Heur... imagino que por tanto FileCopy/Registro y las cadenas sin cifrar...
Saludos ;)
Cita de: dober-mann en 26 Abril 2009, 22:00 PM
me refiero a los 21 FileListBox, ¿como queres que lo haga sin ellos? :huh:
Que los elimines y uses api's ;)
También tienen aquí otra página donde analzan los virus que van saliendo.
http://alerta-antivirus.inteco.es
Si dan al botón "Buscar" y luego selecciónan "VIRUS" verán una larga lista de virus con su correspondiente análisis, es más incluso puedes buscar virus concretos, la verdad que está muy bien.
mi pregunta es no tengo tiempo para descargar nada asi que a grandes rasgos qeu daños produce?
CitarDescarga Killtrojan USB Antivirus : aquí
lo detecta??
Cita de: YST en 26 Abril 2009, 23:59 PM
Cita de: dober-mann en 26 Abril 2009, 22:00 PM
me refiero a los 21 FileListBox, ¿como queres que lo haga sin ellos? :huh:
Que los elimines y uses api's ;)
Junto con el codigo fuente deje un archivo llamado "info.txt". Alli con la explicacion de porque puse los 21 FileListBox. Lo pondre aqui para que todos lo lean:
Citaracerca de porque use 21 FileListBox en vez de uno:
Mi objetivo era que, por ejemplo, si existía un archivo llamado "juegos.exe" en la carpeta incoming del eMule,
yo quería que se copiara mi virus con ese nombre no solo en esa carpeta, sino que también lo haga en las de los
otros programas P2P, y el problema era que despues de copiarme, cuando buscaba los archivos en las otras carpetas
aparecían de nuevo las copias del gusano. En cambio, con este sistema, primero les asigno la ruta y el FileListBox
se queda con la lista de archivos de cuando le asigne la ruta, por lo que si se agrega un archivo nuevo, este no
se de cuenta y así me podré copiar sin problemas.
Saludos