Mensajes

Hola.

Estoy tratando de conseguir una muestra de este virus, para poder analizar en un entorno de pruebas controladas como funciona, ya que estoy interesado en aprender a  desarrollar vacunas.

Seria posible que me proporcionarais el código fuente o un archivo de muestra infectado para poder ejecutarlo?

Gracias.

¿algun hash en especial?

Aun esperando el enlace donde dice eso yoel_alejandro. Además no habia visto esto:

Código [Seleccionar] Expandir

word1 = (unsigned short) buffer[1] << 8 + buffer[0];

Como dije, es mejor la manipulacion de bits, se puede sustituir la operacion de suma con el operador OR, lo cual vendria ser exactamente
la misma operacion que escribí en mi primer 'post'.

[hacia el byte más significativo]

x64Core, es cierto lo que dices, la rotación es más rápida.

El código podría entonces quedar así, para concatenar 2 bytes en un entero de 16bits:

Código [Seleccionar] Expandir


unsigned short word1;

word1 = (unsigned short) buffer[1] << 8 + buffer[0];

Para concatenar 4 bytes bajo la forma de un entero de 32 bits, sería:

Código [Seleccionar] Expandir


unsigned long int dword1;
char buffer[4];

/* luego convertimos */
dword1 = (unsigned long )buffer[3] << 24 + (unsigned long )buffer[2] << 16 + (unsigned long )buffer[1] << 8 + buffer[0];

Pero yo no sabría garantizar de forma absoluta la infalibilidad de este código. Lei en un libro que las operaciones a nivel de bits son "altamente dependientes de máquina", por lo que pudieran tener un comportamiento indeseado dependiendo de la arquitectura.

Como dijo otro usuario, en algunos sistemas el byte bajo es el menos significativo, mientras en otros sistemas es el más significativo, por eso cuando hablamos de "desplazamiento de bits hacia la izquierda", ¿desplaza al byte más alto o al más bajo?

Pero suponemos que al hacer el cast explícito (unsigned sort), ---el cual es indispensable en cualquier caso---, el compilador entiende que la variable en cuestión ocupa dos bytes de memoria y debe hacer el desplazamiento de bits hacia el byte más significativo, sea que este ocupe la posición más baja o más alta de memoria, dependiendo de la máquina donde esté implementado el programa. Y similarmente con el caso de los enteros de 32 bits.

Pero es una suposición mía, no lo puedo asegurar al 100%. Por ello propuse la solución basada en multiplicación, que creí más segura.

Estoy interesado en qué fuente es quien dice que las operaciones a nivel de bits son altamente dependiente de maquina.
Me pregunto si se refieren a la arquitectura ( Little, Endian ) espero que no...

@yoel_alejandro:

<<,>> = *, /
& = -
| = +

Es lo mismo, al final es el compilador quien decide qué instrucción usará, pero en realidad la manipulación de bits es mucho más
rapida que usar la multiplicación, eso incluye AND y OR.

Interesante, Programador C/C++,Scripting y como no, amante de Unix/Linux. Cómo es que no me extraña que un recién
usuario creado tenga tal conocimiento ( No por que sea un usuario de pocos 'posts' ), esa manera para desenvolverse
aquí en el foro, etc. Pero es bueno mirarte por aquí...

Y sí, ya esto es gusto de cada quien, yo en lo personal, mi entorno es Windows y dependiendo del proyecto que quiero
compilar uso el IDE, sino para proyectos pequeños ( pruebas de códigos, pequeñas clases, snippets, códigos de usuarios
del foro, etc. ) llamo a un pequeño programa que programé, el cual recibe como comando la ruta de archivo(s) fuentes,
cabeceras, archivos de recursos, [Liberarías adicionales] y crea un script en cual contiene las rutas relativas de los archivos.
sí, es un tipo de make pero me facilita más el trabajo a tan solo un click. La creación de este script además me permite
modificar/agregar/elimar parámetros hacia el compilador y linker ( Tipo de generación de código, Modificar valores de la cabera
del ejecutable generado, Tipo de optimización, conjunto de instrucciones, etc ).

Y bueno, mucho de que hablar.

Payload cargado por RunPE prehistorico ( CreateProcess->NtUnMapViewOfSection->Write Sections->ResumeThread )
Luego despues de cargado que en realidad es Solar ->  www.rekurigo.com

@Darhius: No te preocupes es solo otro bot basura programado por un niño.

==============
Ah, y x64Core, no ingresé a este foro para pelear con nadie, sino para ayudar a los demás. Simplemente tengo una filosofía de que me gusta hacer las cosas a mano, en lugar de recurrir a recursos o softwares sofisticados.

Por ejemplo, uso la IDE más sencilla y sólo como editor, pues rara vez compilo usando los íconos de la barra de herramientas. Yo compilo desde la terminal y le meto yo mismo las directivas de "include" y de "lib" en la orden de compilación.

Hasta ahora me ha funcionado y he creado aplicaciones de cierta complejidad. Por supuesto me lleva más tiempo pero estoy seguro de que he construido y verificado POR MÍ MISMO cada línea de mi código, por eso confío en él.

De nuevo, no es por polemizar, simplemente es mi filosofía de trabajo. Cada quién tiene la suya y se le respeta  

Escribir los include's y lib's siempre no te parece que es simplemente una perdida de tiempo?, Yp sé que al inicio es una forma para
saber como realmente funciona el proceso de compilación, qué tipo de archivos y como son procesados por el compilador y el linker
esta bien, pero escribirlos por toda la vida, en todos tus programas simplemente lo veo una perdida de tiempo, al menos se debe crear
un script que lo haga por ti. Y lo digo para que la gente no lo haga, lo cual no es necesario, yo sé que estaría cuestionando la manera
en que cada persona lo hace pero es simplemente una recomendación y si a pesar de eso yoel_alejandro, crees que es siempre
conveniente escribir siempre los include's y lib's talvez nos puedes explicar el ¿porqué?

@Vaagish lo que estas buscando es un sniffer, en google pone HTTP sniffer, de preferencia que use un modulo de kernel
para interceptar los datos.

Para realizar un primer intento de Fud encontre el thermida y el Advance BAT .exe convertor.
Un primer .exe con una detección de AV de 30/50 pasó a 20/50 con therm y 6/50 con advanced. Esto no mejó al realizar combinaciones entre los programas.

Ahora estoy intentando armar la PC virtual para infectarla y ver si el keylogger manteine su funcionalidad.

Noobnes tsunami:
6) Alguna recomendacion de un keylogger mas moderno?
7) Es posible que algun troyano mas sencillo, no que me mantenga la conexion tipo RAT/server indirect. sino que simplemente mande a un mail datos sea mas facil de camuflar? Alguna sugerencia?
8) Como es posible que no se pueda camuflar muy facilmente estos programas en una .jpg tal que al abrirlo se ejecuta y haya que estar dando vueltas con un .exe
Supestamente un monton de virus de internet con loso abrir la imagen bastaba.
9) Vi por ahi alguna version de todo esto que mediante algun archivo "autorun" se ejecutaba solo, sin necesiadad de q lo anden cliqueando. es esto asi?

ok tsunami
6) programate uno
7) RAT por email? mejor un Bot se controla desde panel de control basado en web
8) ¿Qué virus? este asunto no es del .exe sino de explotar el programa que visualiza los .jpg para que ejecute tu .exe.
9) No es posible a menos de una vulnerabilidad. ejemplo: LNK ( stuxnet )

Revisa bien tu código, el error del linker es claro: simbolo no definido
yo no sé si tenes multiples cpp's, que sé yo.. muchas cosas a tomar en cuenta