Infeccion de dispositivos USBs mediante archivos LNK

Iniciado por Jaixon Jax, 26 Octubre 2010, 16:59 PM

0 Miembros y 1 Visitante están viendo este tema.

Jaixon Jax

  Bueno la era Autorun.inf creo que esta llegando a su fin  :-( en mi proyecto genero un autorun con ofuscacion aleatoria que solo era detectado por 3 AV entre ellos AVAST me parecia bien hasta que probe los 3 AV en otro pc de prueba con mi autorun los otros dos lo unico que hacen es borrar el autorun pero AVAST .... por heuristica  busca la ruta del exe en el autorun y lo detecta como Troyan Horse  :¬¬ no solo eso sino que borra todas las copias del exe en el pendrive  :) y al final aparece una ventanita diciendo si el usuario aceptaria enviar las muestras a AVAST para su analisis  :o si fuera una copia de PI o Biefrost no importara pero mi proyecto es 100% fud y eso no me gustaria para nada ......... Y es por mera heuristica ya que si copio el server en el Pen drive sin el autorun Avast no lo detecta  :P ........

  Me puse a investigar y lei un articulo sobre Stuxnet especificamente sobre la infeccion de dispositivos USB con LNKs y me parecio muy interesante  :rolleyes: basicamente consiste en subir el server a algun webhosting y generar un acceso directo a esa url, ese acceso directo  se podria bindear con el server y cada vez que detecte un Dispositivo copiaria el acceso directo al pendrive con algun nombre llamativo o con algun nombre relacionado con los directorios u archivos del pendrive  :) de alguna manera stuxnet hace que el acceso directo se active cuando se accede al pendrive pero basicamente funciona ...  ;D

   No se si alguien sabra algo mas para compartir? ...

  Saludos ....

[L]ord [R]NA

http://www.h-online.com/security/news/item/Exploit-demonstrates-critical-Windows-lnk-vulnerability-1040285.html

XcryptOR

#2
Es de la forma en que lo ahce el stuxnet, aprovechandose de la vulnerabilidad MS10-046 en los LNK.



Elemental Code

un virus que encontre en una pc de la escuela estaba fantastico

tomaba el icono de una carpeta de las librerias de windows y se replicaba en el pendrive bajo el nombre de las carpetas originales y ocultaba las carpetas "reales"

Entonces, cuando vos le dabas doble click a lo que vos creias era una carpeta, el virus con forma de carpeta abria la carpeta en cuestion y se propagaba :D

estuve pensando en hacer algo asi, pero si renombran el virus, pensando que es la carpeta, la carpeta original no cambiaria de nombre y se complicaria un poco, no?

Saludos
PD: si tengo la chance capaz que consigo un especimen vivo de eso para ver si le hacen ingenieria inversa.

I CODE FOR $$$
Programo por $$$
Hago tareas, trabajos para la facultad, lo que sea en VB6.0

Mis programas

Stelio Kontos

Hace tiempo se desubrió una vulnerabilidad que explotaba una falla en la estructura de los archivos de acceso directo (*.lnk), hay muchas referencias, incluso una de que habla a cerca de cómo explotarla con Metasploit.