[Duda C/C++] Copiarse al registro, inutilizarlo, desactivar el firewall...

Dryken · 17 Junio 2012, 03:10 AM

Hace poco me infectó un virus. En primer lugar lo que hizo fue...

1-Desactivar Firewall.
2-Copiarse al registro.
3-No deja acceder al usuario al registro (dice que el admin lo ha desabilitado).
4-Desactivar el Restaurar Sistema

El problema con este virus ya lo he solucionado parcialmente, me persiste la acción 3 y 4. Ahora como soy curioso me gustaría saber como ha podido hacer estas cosas en C.

Por ejemplo, la acción de copiarse al registro me parece que es esta:

CitarHKEY registro;
RegOpenKeyEx(HKEY_LOCAL_MACHINE,"Software\\Microsoft\\Windows\\CurrentVersion\\Run",0,KEY_SET_VALUE,&registro );
RegSetValueEx(registro, "Windows Update",0,REG_SZ,(const unsigned char*)system,40);
RegCloseKey(registro);

Pero sigo sin saber que código ha utilizado para llevar a cabo las otras acciones. Espero que vosotros sepáis como hacerlo.

The Swash · 17 Junio 2012, 06:02 AM

Hola,

Todo lo anterior que mencionaste se hace por medio de entradas en el registro. No tengo ahora mismo las claves que manejan cada acción, apenas las consiga edito.

Un saludo,
Iván Portilla.

Dryken · 17 Junio 2012, 16:46 PM

The Swash, no se si por las entradas en el registro se podrían llevar a cabo en C por la API de WIn para llevar a cabo las acciones. espero que puedas encontrarlas

He estado buscando y por lo visto he encontrado que mediante estas funciones se podrían hacer.

CitarRegOpenKeyEx()
RegSetValueEx()
RegCloseKey()

Aunque sigo sin saber como, por mi parte seguiré buscando, si lo encuentro lo comparto. Ojalá alguno de vosotros lo sepáis. Saludos

noele1995 · 17 Junio 2012, 19:02 PM

Bueno no te dire como hacerlo pero si te dare las llaves del registro para hacerlo.
Bueno ya busque la del registro no buscare mas ya que veo que no buscaste nada, puse deshabilitar registro en google y salio. Lo que tienes que hacer es buscar en google las llaves y los valores y apare buscar ejemplos de edicion del registro qu debe haber miles...
-Deshabilitar/habilitar el registro

Código [Seleccionar]

Llave: HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/system


Valor en la llave : "DisableRegistryTools"
Tipo de valor: DWORD
Valor que toma para deshabilitar = 1
Valor que toma para habilitar    = 0    - Tambien se habilita al eliminar el valor

Dryken · 17 Junio 2012, 21:01 PM

Gracias compañero por compartir las llaves, me las apañaré con la colocación.

Por cierto, dices que no busque nada, buscar si que busqué, lo que no encontré fue más información sobre el tema por eso hice este post. Sobre la Api de Win tengo algo de conocimientos pero no se sobre registros por eso lo pregunté.

Volveré a buscar en google con tus consejos a ver que encuentro.

Por ahora probaré con la habilitación del registro, gracias por el código

Иōҳ · 22 Junio 2012, 05:00 AM

Búscalos en la MSDN tiene un apartado específico para conjunto de keys por así decirlo...

Saludos,
Nox.

Test Foro de elhacker.net SMF 2.1

[Duda C/C++] Copiarse al registro, inutilizarlo, desactivar el firewall...

Dryken

The Swash

Dryken

noele1995

Dryken

Иōҳ