Mi nuevo propagador, por usb!!

Iniciado por morty2, 5 Enero 2011, 18:30 PM

0 Miembros y 2 Visitantes están viendo este tema.

skapunky

Yo ya hace tiempo encontre un método por mi mismo y conseguí saltarme el UAC. Para las pruebas use 3 ordenadores  y a la que me dí cuenta sin querer estaban los 3 infectados, así que funciona.

Solo se trata de buscar métodos no es muy complicado y el método que utilizé, aunque era un poco pesado de programar las pruebas eran satisfactorias y seguro que se consigue un exito de propagación igual a la de los archivos autorun.
Killtrojan Syslog v1.44: ENTRAR

[Zero]

Cita de: skapunky en  7 Enero 2011, 21:59 PM
Yo ya hace tiempo encontre un método por mi mismo y conseguí saltarme el UAC. Para las pruebas use 3 ordenadores  y a la que me dí cuenta sin querer estaban los 3 infectados, así que funciona.

Solo se trata de buscar métodos no es muy complicado y el método que utilizé, aunque era un poco pesado de programar las pruebas eran satisfactorias y seguro que se consigue un exito de propagación igual a la de los archivos autorun.

Bah, y se lo guarda para él, será...  :xD

"El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche

skapunky

#22
Pongo el metodo pero no el codigo: Lo explicaré en dos partes, es un metodo que juega con la ingenieria social y imagino que es efectivo hasta el fin de los dias.

1 Parte:

Se recorren los archivos ejecutables de las unidades extraibles, se guarda el nombre de uno de ellos, se elimina y el gusano se copia con ese nombre, fin de la historia.

2 Parte:

Para los que quieran hacerlo con mas profesionalidad, existe un concepto llamado padding, este se utiliza en muchas cosas, por ejemplo en el protocolo tcp para rellenar los paquetes para que sean multiplos a 32. La idea es medir el archivo original, y hacer que nuestra copia pese lo mismo que el archivo suplantado.
Fin de la historia.

como ven es un metodo tonto pero eficaz, todo el mundo se lo come con patatas ya que a veces ni los propios iconos desde una unidad extraible se cargan bien, así que los usuarios ni se enteran. Los que quieran utilizarlo les tocará programarlo, yo lo hice en delphi, imagino que en vb es sencillo de hacer, almenos la primera parte.

Variante que acabo de pensar: El gusano lleva icono de imagen, se buscan imagenes en la unidad extraíble y se copia remplazando a una con doble extensión (ej: .jpeg.exe)
Killtrojan Syslog v1.44: ENTRAR

morty2

gracias a todos por vuestros comentarios y ayuda!!!
No tengo intencion alguna de pasarme al lado oscuro!!!jejeje...
Solo me interesa aprender y saber si puedo o no conseguir algo, sin necesidad de hacer el mal. Ando intentando aprender un poco de c++ pero estoy muy pero que muy verde aún. De todas maneras agradezco a todo el mundo su apoyo.

Cita de: CL1O en  6 Enero 2011, 01:59 AM
A ver,,, mmm como te explico, vos dijistes estoy empezando, y como estas empezando, que no se te haga maña hacer estas cosas sha que te vas a comer el cartel que sho no puse para ofender..
Veo que invertiste tiempo y trabajo en esto, y lo felicito esta muy bien, pero hay gente que se mete en eso y no sale mas, después lo único que hacen es hacer cosas así que quizá no se vean bien.
Que se sho mira usa eso que sabes o que quieres saber en algo constructivo, no es que nunca haya hecho algo de esto pero bueno..

SAludos y disculpa...


acepto y pido tambien disculpas si te ofendi!!

todo lo que hago es afan de aprender, el saber no ocupa lugar pero se invierte mucho tiempo.

Salu2
morty2

[L]ord [R]NA

Skapunky, en el metodo 1 no seria mas efectivo realizar una infeccion por suplantacion? Asi el usuario ejecuta su programa y ni se entera que esta siendo suplantado?


Con Respecto a que en el codigo en batch salta el UAC simplemente con cambiar HKLM por HKCU dejara de saltar.

Garfield07

A mi eso ultimo me funciono en Vista con el sys32.exe
Lo copiaba a una ruta un poco extraña que descubri a base de pruebas. Era en una ruta, meterle un alfanumérico llamado "run" y que se habria al iniciar sesion. A mi eso me bastaba xD... :P


* Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente.
* No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado.
* Si compila esta bien, si arranca es perfecto.

¡Wiki elhacker.net!
Un saludo

skapunky

Cita de: Lord R.N.A. en  8 Enero 2011, 17:28 PM
Skapunky, en el metodo 1 no seria mas efectivo realizar una infeccion por suplantacion? Asi el usuario ejecuta su programa y ni se entera que esta siendo suplantado?


Con Respecto a que en el codigo en batch salta el UAC simplemente con cambiar HKLM por HKCU dejara de saltar.

Exacto, es justamente una suplantacion a lo que me refiero. Es decir se leen los nombres, se guarda uno, se borra ese archivo y se crea una copia del gusano con el mismo nombre.

La parte 2 que he explicado es para que el archivo ocupe lo mismo que el original.

PD: Se podría también hacer una infección de ejecutables, eso siempre funcionará pero es mas tedioso.
Killtrojan Syslog v1.44: ENTRAR

Garfield07

Bueno, skapunky en bash... creo que nop :P
pero el segundo se le meten un puñado de nops al principio... pero seria dificil...  :silbar: esta noche tengo para que pensar  :laugh:


* Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente.
* No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado.
* Si compila esta bien, si arranca es perfecto.

¡Wiki elhacker.net!
Un saludo

skapunky

sagrini, yo no digo que se haga en batch, he dicho que lo he hecho en Pascal.

Sobre lo que se comenta de batch nose, pero si suplantan un exe por un batch el icono canta que no veas...
Killtrojan Syslog v1.44: ENTRAR

[L]ord [R]NA

Yo hice uno en ASM que suplantaba un ejecutable y guardaba el real en otra parte del disco, cuando dabas doble clic se ejecutaba el worm y lanzaba el programa real