Hola a todos. Queria presentar mi Worm para Abril Negro. Se llama Tribant y esta programado en Visual Basic 6. Cualquier duda, comenten.


Tribant


Nombre: Tribant
Tamaño del virus: 104Kb
Nombre Tecnico: W32-TRIBANT.VB worm
Tipo: Gusano
Propagacion: P2P y USB.
Autor: Dober-ManN
Programado en: Visual Basic 6


EFECTOS:

Al abrirce, verifica si se encuentra infectada la PC victima, si no lo esta, se copia a "%windir%\svchost.exe".
Cambia sus propiedades a: _Solo lectura.
                                           _Oculto.
                                           _Archivo del sistema.

Se agrega al registro en "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\svchost" para iniciarce con el sistema.
Ejecuta el archivo "%windir%\svchost.exe", luego se autocierra y comienza la propagacion.


PROPAGACION P2P:

Para la propagacion P2P, analiza todas las carpetas compartidas de los programas P2P en busca de archivos.

Extrae los nombre de estos archivos y se autocopia con estos nombres en todas la carpetas compartidas de los programas P2P.

Carpetas de los programas P2P en los que funciona este gusano: C:\Archivos de programa\Grokster\My Grokster\
                                                                                               C:\Archivos de programa\Morpheus\My Shared Folder\
                                                                                               C:\Archivos de programa\ICQ\shared files\
                                                                                               C:\Archivos de programa\KaZaA\My Shared Folder\
                                                                                               C:\Archivos de programa\KaZaA Lite\My Shared Folder\
                                                                                               C:\Archivos de programa\EDONKEY2000\incoming\
                                                                                               C:\Archivos de programa\eMule\Incoming\
                                                                                               C:\Archivos de programa\Filetopia3\Files\
                                                                                               C:\Archivos de programa\appleJuice\incoming\
                                                                                               C:\Archivos de programa\Gnucleus\Downloads\
                                                                                               C:\Archivos de programa\LimeWire\Shared\
                                                                                               C:\Archivos de programa\Overnet\incoming\
                                                                                               C:\Archivos de programa\Shareaza\Downloads\
                                                                                               C:\Archivos de programa\Swaptor\Download\
                                                                                               C:\Archivos de programa\WinMX\My Shared Folder\
                                                                                               C:\Archivos de programa\Tesla\Files\
                                                                                               C:\Archivos de programa\XoloX\Downloads\
                                                                                               C:\Archivos de programa\Rapigator\Share\
                                                                                               C:\Archivos de programa\KMD\My Shared Folder\
                                                                                               C:\Archivos de programa\BearShare\Shared\
                                                                                               C:\Archivos de programa\Direct Connect\Received Files\




PROPAGACION USB:

Para la propagacion USB, se autocopia con el nombre de "system.exe" y crea el archivo "autorun.inf" en las unidades desde la E:\ hasta la Z:\ cada 5s.
Cambia las propiedades del los archivos "autorun.inf" y "system.exe" a: _Solo lectura.
                                                                                                          _Oculto.
                                                                                                          _Archivo del sistema.





Este gusano no tiene rutina destructiva  (jeje, en serio, no la tiene), solo se propaga por USB y por P2P como cualquier gusano. Cualquier cosa, el codigo fuente esta completamente explicado paso por paso. Espero que les guste:

LINK DE DESCARGA: http://www.4shared.com/file/101402829/1188bee4/TRIBANT.html

SALUDOS y COMENTEN 

sabes deberias usar apis, ademas hay cosas como los paths de las carpetas compartidas usas hardcoded paths y si se cambia la ruta adios  rutina p2p la mejor opcion es buscar en el registro. descarta el wscript.shell nunca veras un buen worm usando este objeto usa apis, tienes codigo que se repite muchas veces usa bucles.

te falta una cosa importante cifrar las cadenas, ademas de que el archivo ejecutable de un proyecto tan pequeño pesa 104 kb, yo tengo gusanos con cientos de lineas de code y muchos modulos (bas y cls) y apenas pesa alrededor de los 40 kb, en parte se debe al icono que pesa nada mas que 18 kb.

La verdad vas por buen camino depuralo un poco y veras los buenos resultados que obtienes.

saludos

Bueno, aun no me he mirado el code, pero mirando el post veo que has de mejorar esto:

• 104kb
• No es buena idea poner asi las rutas, si no quieres leer del registro aunque sea hazlas asi: environ$("PROGRAMFILES") & "\path"
• La clave del registro que usa para ejecutarse con Win es muy comun
• Como dice XCryptor, si no encriptas Strings tu animalito esta muerto...

Venga, sigue asi que en unos meses veras

Saludos

Pues es mucho peso para dos simples funciones de infeccion

Si lo que quieres es que sea un tamaño confiable para los P2P lo que has de hacer es agregar algun fichero multimedia (un videito por ejemplo) y mostrarlo al ser ejecutado... incluso podrias comprobar antes de ejecutarlo si estas en alguna carpeta de descargas, tipo Downloads, Descargas, Incoming... etc

Saludos

Aprovecho que estan dando catedra para hacer una pregunta, hay algun texto con consejos para la programacion de malware, como rutas de registro interesantes o directorios mas usados de programas??

Saludos.

jaja, eso mismo hago yo, sabes, una buena pagina para aprender tecnicas para tus virus es la de symantec, te muestra las entradas que modifican ciertos virus y te explican que efectos causan esta info es de doble filo jejeje, ademas hay otras intreresantes como la de perantivirus que tambien explica bien los malwares.

saludos

Eso es exactamente lo que queria, saber que es lo que hacen, que modifican, como lo modifican, mas que nada para saber puntos debiles o formas de propagacion mas efectivas, ya que a los bichitos que tengoles falta propagarce 

Gracias por la info, maniana me toca leer.

Hola, primero que nada que ocurre si el tipo no tiene esas carpetas? o si lo tiene instalado en otro lado ?...bueno ahi veo On Error Resume Next por lo que va a seguir ejecutandose el codigo si encuentra error...se puede optimizar muchisimo el codigo fuente creando funciones, y te aseguro que te queda menos de la mitad de ese codigo...

saludos.