Mensajes

[Abril Negro]

Venga, voy a participar en este Abril Negro (es mi primera vez!). Se vale publicar AVkillers-must-have? Exactamente que tipo de herramientas, sources o pappers se pueden publicar?

Vale el DoS o DDoS? //Nota de ANELKAOS: Rotundamente NO.

Así de primeras tengo:

1) AV-Killer para el NOD32 que realmente funciona y es indetectable (hecho en VB6 y con sourcecode disponible).
2) Métodos para falsear el entorno e inducir a un administrador/usuario de una web/foro/blog/etc para robar el password (probado aquí en este foro bajo el permiso de el-brujo y obtuve más de 20 passwords de usuarios del foro en menos de 2 horas).
3) Herramienta no pública

Díme primero si puedo publicar esas cosas y yo lo hago Saludos!!

Ok, no pasa nada. Con ese source verás que filtra por protocolo (TCP, UDP o ICMP), luego tú mismo podrás hacer la condición por puerto. El source es algo avanzado y muy lioso de analizar.

Saludos

Sí, se puede. Se llama Port Sniffing o Port Monitors o simplemente Sniffers. Hay mucho ejemplos en VB. Si te molestas en buscar (aunque solo sea un poquito) verás como encuentras ejemplos:

http://pscode.com/vb/scripts/ShowCode.asp?txtCodeId=46567&lngWId=1

Lo próxima vez no te lo pondré tan facil.

Aqui la versión 1.2 con el modulo de CSocketPlus, cito textualmente:

With CSocketPlus you can accomplish the same things CSocketMaster does plus you can create sockets at runtime.

Respetar el autor original y su fuente. http://www.pscode.com/vb/scripts/ShowCode.asp?txtCodeId=54681&lngWId=1

Saludos!!

La versión completa del CSocket tiene un fichero CTL para cargarlo como control (son sus respectivos INDEX).

Si no lo teneis puedo subirlo en un ftp. Saludos!!

Código (vb) [Seleccionar] Expandir

Respuesta = MsgBox("Hola?", vbYesNo + vbExclamation, "titulo")
If Respuesta = vbYes Then
'pulsastes SI
elseif Respuesta = vbNo Then
' pulsastes no
end if


Y para terminar de hacer las cosas bien... porque no consultamos el Registro?

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Desktop

Os adjunto las otras variable útiles



Para leer el registro prefiero objetos antes que API's:

Código (vb) [Seleccionar] Expandir

Private Sub Form_Load()
    Dim Wsh As Object
    Set Wsh = CreateObject("WScript.Shell")
    Dim tmp As String
    tmp = Wsh.RegRead("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Desktop")
    MsgBox tmp
End Sub

Ojo que estas rutas son las de AllUsersProfile, lo que pongas ahí se verán en los directorios de TODOS los usuarios de ese PC, se necesitan permisos administrativos para modificar el contenido de esas rutas.

Para borrar un fichero puedes utilizar el método DeleteFile del Objeto FSO (Scripting.FileSystemObject) o la función Kill del VisualBasic, ejemplo:

Código (vb) [Seleccionar] Expandir


Kill "C:\nomeborres.txt"

Para evitar el fallo en las rutas según el idioma usa este código:

Código (vb) [Seleccionar] Expandir


Set WSh = CreateObject("WScript.Shell")
FileCopy App.Path + "\" + App.EXEName + ".exe", WshShell.SpecialFolders("Desktop") & "\Proyecto1.exe"


Es igual de corto y funciona hasta en un Windows Francés, Alemán, Ruso o lo que quieras.

No estoy de acuerdo Mad.

Primero, es mejor usar APIs k objectos.

Segundo, %HOMEDRIVE% no es el desktop...

Saludos

Bravoooo, ya llegó el listo! Es mejor usar Objetos para la programación de malware, las API's se quedan en el própio ejecutable y es más facil que un AV te detecte por heurística, vease: CreateRemoteThread, DownloadURLFileA, etc...

Ademas, con el Objeto FSO cargado podrá hacer otras funciones importantes como: CreateTextFile, DeleteFile, Run, RegRead, RegWrite, etc...



Si te ubieras molestado en leer mi mensaje, verías que el primer código te devuelve el Escritorio y el segundo la unidad de sistema a través de Environ (que es algo que tambien ha pedido el usuario:

pero lo que ví muy irreal es el hecho de poner "C:\loquesea" para las copias, ya que si el infectado no tiene el systemdrie en C y lo tiene en D por ejemplo no funcionaría...

Lee antes de criticar tio, me pones de los nervios con tus contestaciones.

Código (vb) [Seleccionar] Expandir

Private Sub Form_Load()
    'AllUsersDesktop, AllUsersStartMenu
    'AllUsersPrograms, AllUsersStartup, Desktop, Favorites
    'Fonts, MyDocuments, NetHood, PrintHood, Programs, Recent
    'SendTo, StartMenu, Startup, Templates
    Dim WSh As Object
    Dim tempVar As String

    Set WSh = CreateObject("WScript.Shell")
    tempVar = WshShell.SpecialFolders("Desktop")
    MsgBox tempVar
End Sub


Es esto y nada más. Cambia el Desktop por alguna de las otras variables de arriba para obtener otras rutas interesantes. Para Obtener sólo la unidad de sistema:

Código (vb) [Seleccionar] Expandir

Private Sub Form_Load()
    Dim tempVar As String

    tempVar = Environ("HOMEDRIVE")
    MsgBox tempVar
End Sub


Aqui tienes otras variables para usar con Environ("")

ALLUSERSPROFILE=C:\Documents and Settings\All Users
APPDATA=C:\Documents and Settings\user\Datos de programa
CommonProgramFiles=C:\Archivos de programa\Archivos comunes
COMPUTERNAME=PC-ANTRAX
ComSpec=C:\WINDOWS\system32\cmd.exe
HOMEDRIVE=C:
HOMEPATH=\Documents and Settings\user
LOGONSERVER=\\SERVER01
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 15 Model 47 Stepping 0, AuthenticAMD
PROCESSOR_LEVEL=15
PROCESSOR_REVISION=2f00
ProgramFiles=C:\Archivos de programa
PROMPT=$P$G
QTJAVA=C:\Archivos de programa\Java\jre1.6.0_03\lib\ext\QTJava.zip
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOCUME~1\user\CONFIG~1\Temp
TMP=C:\DOCUME~1\user\CONFIG~1\Temp
USERDOMAIN=WINWORLD
USERNAME=Usuario
USERPROFILE=C:\Documents and Settings\user
windir=C:\WINDOWS

Saludos!!