elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía actualizada para evitar que un ransomware ataque tu empresa


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware
| | |-+  Abril negro (Moderadores: Man-In-the-Middle, WHK, kub0x, fary)
| | | |-+  Gusano Tribant (p2p y usb) by Dober-ManN [Abril Negro]
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 3 Ir Abajo Respuesta Imprimir
Autor Tema: Gusano Tribant (p2p y usb) by Dober-ManN [Abril Negro]  (Leído 22,026 veces)
Dober-ManN

Desconectado Desconectado

Mensajes: 50



Ver Perfil
Gusano Tribant (p2p y usb) by Dober-ManN [Abril Negro]
« en: 25 Abril 2009, 01:47 am »

Hola a todos. Queria presentar mi Worm para Abril Negro. Se llama Tribant y esta programado en Visual Basic 6. Cualquier duda, comenten.


Tribant


Nombre: Tribant
Tamaño del virus: 104Kb
Nombre Tecnico: W32-TRIBANT.VB worm
Tipo: Gusano
Propagacion: P2P y USB.
Autor: Dober-ManN
Programado en: Visual Basic 6


EFECTOS:

Al abrirce, verifica si se encuentra infectada la PC victima, si no lo esta, se copia a "%windir%\svchost.exe".
Cambia sus propiedades a: _Solo lectura.
                                           _Oculto.
                                           _Archivo del sistema.

Se agrega al registro en "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\svchost" para iniciarce con el sistema.
Ejecuta el archivo "%windir%\svchost.exe", luego se autocierra y comienza la propagacion.


PROPAGACION P2P:

Para la propagacion P2P, analiza todas las carpetas compartidas de los programas P2P en busca de archivos.

Extrae los nombre de estos archivos y se autocopia con estos nombres en todas la carpetas compartidas de los programas P2P.

Carpetas de los programas P2P en los que funciona este gusano: C:\Archivos de programa\Grokster\My Grokster\
                                                                                               C:\Archivos de programa\Morpheus\My Shared Folder\
                                                                                               C:\Archivos de programa\ICQ\shared files\
                                                                                               C:\Archivos de programa\KaZaA\My Shared Folder\
                                                                                               C:\Archivos de programa\KaZaA Lite\My Shared Folder\
                                                                                               C:\Archivos de programa\EDONKEY2000\incoming\
                                                                                               C:\Archivos de programa\eMule\Incoming\
                                                                                               C:\Archivos de programa\Filetopia3\Files\
                                                                                               C:\Archivos de programa\appleJuice\incoming\
                                                                                               C:\Archivos de programa\Gnucleus\Downloads\
                                                                                               C:\Archivos de programa\LimeWire\Shared\
                                                                                               C:\Archivos de programa\Overnet\incoming\
                                                                                               C:\Archivos de programa\Shareaza\Downloads\
                                                                                               C:\Archivos de programa\Swaptor\Download\
                                                                                               C:\Archivos de programa\WinMX\My Shared Folder\
                                                                                               C:\Archivos de programa\Tesla\Files\
                                                                                               C:\Archivos de programa\XoloX\Downloads\
                                                                                               C:\Archivos de programa\Rapigator\Share\
                                                                                               C:\Archivos de programa\KMD\My Shared Folder\
                                                                                               C:\Archivos de programa\BearShare\Shared\
                                                                                               C:\Archivos de programa\Direct Connect\Received Files\




PROPAGACION USB:

Para la propagacion USB, se autocopia con el nombre de "system.exe" y crea el archivo "autorun.inf" en las unidades desde la E:\ hasta la Z:\ cada 5s.
Cambia las propiedades del los archivos "autorun.inf" y "system.exe" a: _Solo lectura.
                                                                                                          _Oculto.
                                                                                                          _Archivo del sistema.





Este gusano no tiene rutina destructiva  :silbar: (jeje, en serio, no la tiene), solo se propaga por USB y por P2P como cualquier gusano. Cualquier cosa, el codigo fuente esta completamente explicado paso por paso. Espero que les guste:

LINK DE DESCARGA: http://www.4shared.com/file/101402829/1188bee4/TRIBANT.html

SALUDOS y COMENTEN  ;D


« Última modificación: 25 Abril 2009, 05:26 am por dober-mann » En línea

invisible_hack


Desconectado Desconectado

Mensajes: 978


Invisible_Hack™ Nick Registrado ^^


Ver Perfil WWW
Re: Gusano Tribant (p2p y usb) by Dober-ManN [Abril Negro]
« Respuesta #1 en: 25 Abril 2009, 01:48 am »

¿Va con source el worm no?


En línea

"Si no visitas mi blog, Chuck te dará una patada giratoria"
XcryptOR

Desconectado Desconectado

Mensajes: 228



Ver Perfil
Re: Gusano Tribant (p2p y usb) by Dober-ManN [Abril Negro]
« Respuesta #2 en: 25 Abril 2009, 04:27 am »

sabes deberias usar apis, ademas hay cosas como los paths de las carpetas compartidas usas hardcoded paths y si se cambia la ruta adios  rutina p2p la mejor opcion es buscar en el registro. descarta el wscript.shell nunca veras un buen worm usando este objeto usa apis, tienes codigo que se repite muchas veces usa bucles.

te falta una cosa importante cifrar las cadenas, ademas de que el archivo ejecutable de un proyecto tan pequeño pesa 104 kb, yo tengo gusanos con cientos de lineas de code y muchos modulos (bas y cls) y apenas pesa alrededor de los 40 kb, en parte se debe al icono que pesa nada mas que 18 kb.

La verdad vas por buen camino depuralo un poco y veras los buenos resultados que obtienes.

saludos
« Última modificación: 25 Abril 2009, 04:32 am por XcryptOR » En línea



Dober-ManN

Desconectado Desconectado

Mensajes: 50



Ver Perfil
Re: Gusano Tribant (p2p y usb) by Dober-ManN [Abril Negro]
« Respuesta #3 en: 25 Abril 2009, 04:54 am »

Bueno, se que tiene mucho codigo basura, PERO NO OLVIDEMOS QUE AUN SOY NOVATO  :huh: . Y es lo que supe hacer, aun hay miles de cosas que no entiendo, y para mi, cuando se trata de propagacion P2P, cuanto mas pese, mejor.
Gracias por los comentarios. ;D
SUERTE
En línea

Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: Gusano Tribant (p2p y usb) by Dober-ManN [Abril Negro]
« Respuesta #4 en: 25 Abril 2009, 10:38 am »

Bueno, aun no me he mirado el code, pero mirando el post veo que has de mejorar esto:
  • 104kb :-\
  • No es buena idea poner asi las rutas, si no quieres leer del registro aunque sea hazlas asi: environ$("PROGRAMFILES") & "\path"
  • La clave del registro que usa para ejecutarse con Win es muy comun
  • Como dice XCryptor, si no encriptas Strings tu animalito esta muerto...

Venga, sigue asi que en unos meses veras ;)

Saludos ;)
En línea

Dober-ManN

Desconectado Desconectado

Mensajes: 50



Ver Perfil
Re: Gusano Tribant (p2p y usb) by Dober-ManN [Abril Negro]
« Respuesta #5 en: 25 Abril 2009, 17:38 pm »

Gracias Karcrack. Yo comenze a programar hace como dos meses (con la revista de hackxcrack) ;D. Por lo del tamaño del worm, ¿cual es el problema?
A medida que vaya aprendiendo, lo ire modificandolo, pero por ahora lo dejare como esta.
Gracias
« Última modificación: 25 Abril 2009, 17:42 pm por dober-mann » En línea

Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: Gusano Tribant (p2p y usb) by Dober-ManN [Abril Negro]
« Respuesta #6 en: 25 Abril 2009, 17:48 pm »

Pues es mucho peso para dos simples funciones de infeccion :-\

Si lo que quieres es que sea un tamaño confiable para los P2P lo que has de hacer es agregar algun fichero multimedia (un videito por ejemplo) y mostrarlo al ser ejecutado... incluso podrias comprobar antes de ejecutarlo si estas en alguna carpeta de descargas, tipo Downloads, Descargas, Incoming... etc

Saludos ;)
En línea

Dober-ManN

Desconectado Desconectado

Mensajes: 50



Ver Perfil
Re: Gusano Tribant (p2p y usb) by Dober-ManN [Abril Negro]
« Respuesta #7 en: 25 Abril 2009, 18:06 pm »

jejeje, no es mala idea. :rolleyes:
En línea

KJD


Desconectado Desconectado

Mensajes: 314



Ver Perfil
Re: Gusano Tribant (p2p y usb) by Dober-ManN [Abril Negro]
« Respuesta #8 en: 25 Abril 2009, 21:32 pm »

Aprovecho que estan dando catedra para hacer una pregunta, hay algun texto con consejos para la programacion de malware, como rutas de registro interesantes o directorios mas usados de programas??

Saludos.
En línea

"Solo hay 10 tipos personas que saben leer binario, los que si y los que no"

"Keyboard not Found, press F1 To Continue" WTF???
Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: Gusano Tribant (p2p y usb) by Dober-ManN [Abril Negro]
« Respuesta #9 en: 26 Abril 2009, 00:08 am »

Código:
http://www.wikilearning.com/curso_gratis/curso_de_programacion_de_virus-introduccion/4312-1
Un poco viejete, pero seguro que aprendes algo ;D Sino puedes hacer como yo, que me leo los analisis de Malwares nuevos :P
 :rolleyes:
En línea

Páginas: [1] 2 3 Ir Arriba Respuesta Imprimir 

Ir a:  
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines