 Autor
|
Tema: Mi nuevo propagador, por usb!! (Leído 21,015 veces)
|
skapunky
Electronik Engineer &
Colaborador
 Desconectado
Mensajes: 3.667
www.killtrojan.net
|
Yo ya hace tiempo encontre un método por mi mismo y conseguí saltarme el UAC. Para las pruebas use 3 ordenadores y a la que me dí cuenta sin querer estaban los 3 infectados, así que funciona.
Solo se trata de buscar métodos no es muy complicado y el método que utilizé, aunque era un poco pesado de programar las pruebas eran satisfactorias y seguro que se consigue un exito de propagación igual a la de los archivos autorun.
|
|
|
|
|
En línea
|
Killtrojan Syslog v1.44: ENTRAR
|
|
|
[Zero]
Wiki
Desconectado
Mensajes: 1.082
CALL DWORD PTR DS:[0]
|
Yo ya hace tiempo encontre un método por mi mismo y conseguí saltarme el UAC. Para las pruebas use 3 ordenadores y a la que me dí cuenta sin querer estaban los 3 infectados, así que funciona.
Solo se trata de buscar métodos no es muy complicado y el método que utilizé, aunque era un poco pesado de programar las pruebas eran satisfactorias y seguro que se consigue un exito de propagación igual a la de los archivos autorun.
Bah, y se lo guarda para él, será... 
|
|
|
|
|
En línea
|
“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.” Nietzsche |
|
|
skapunky
Electronik Engineer &
Colaborador
Desconectado
Mensajes: 3.667
www.killtrojan.net
|
Pongo el metodo pero no el codigo: Lo explicaré en dos partes, es un metodo que juega con la ingenieria social y imagino que es efectivo hasta el fin de los dias.
1 Parte:
Se recorren los archivos ejecutables de las unidades extraibles, se guarda el nombre de uno de ellos, se elimina y el gusano se copia con ese nombre, fin de la historia.
2 Parte:
Para los que quieran hacerlo con mas profesionalidad, existe un concepto llamado padding, este se utiliza en muchas cosas, por ejemplo en el protocolo tcp para rellenar los paquetes para que sean multiplos a 32. La idea es medir el archivo original, y hacer que nuestra copia pese lo mismo que el archivo suplantado.
Fin de la historia.
como ven es un metodo tonto pero eficaz, todo el mundo se lo come con patatas ya que a veces ni los propios iconos desde una unidad extraible se cargan bien, así que los usuarios ni se enteran. Los que quieran utilizarlo les tocará programarlo, yo lo hice en delphi, imagino que en vb es sencillo de hacer, almenos la primera parte.
Variante que acabo de pensar: El gusano lleva icono de imagen, se buscan imagenes en la unidad extraíble y se copia remplazando a una con doble extensión (ej: .jpeg.exe)
|
|
|
|
« Última modificación: 8 Enero 2011, 00:53 am por skapunky »
|
En línea
|
Killtrojan Syslog v1.44: ENTRAR
|
|
|
morty2
Desconectado
Mensajes: 33
|
gracias a todos por vuestros comentarios y ayuda!!! No tengo intencion alguna de pasarme al lado oscuro!!!jejeje... Solo me interesa aprender y saber si puedo o no conseguir algo, sin necesidad de hacer el mal. Ando intentando aprender un poco de c++ pero estoy muy pero que muy verde aún. De todas maneras agradezco a todo el mundo su apoyo. A ver,,, mmm como te explico, vos dijistes estoy empezando, y como estas empezando, que no se te haga maña hacer estas cosas sha que te vas a comer el cartel que sho no puse para ofender..
Veo que invertiste tiempo y trabajo en esto, y lo felicito esta muy bien, pero hay gente que se mete en eso y no sale mas, después lo único que hacen es hacer cosas así que quizá no se vean bien.
Que se sho mira usa eso que sabes o que quieres saber en algo constructivo, no es que nunca haya hecho algo de esto pero bueno..
SAludos y disculpa...
acepto y pido tambien disculpas si te ofendi!! todo lo que hago es afan de aprender, el saber no ocupa lugar pero se invierte mucho tiempo. Salu2 morty2 |
|
|
|
|
En línea
|
|
|
|
[L]ord [R]NA
Desconectado
Mensajes: 1.513
El Dictador y Verdugo de H-Sec
|
Skapunky, en el metodo 1 no seria mas efectivo realizar una infeccion por suplantacion? Asi el usuario ejecuta su programa y ni se entera que esta siendo suplantado?
Con Respecto a que en el codigo en batch salta el UAC simplemente con cambiar HKLM por HKCU dejara de saltar.
|
|
|
|
|
En línea
|
|
|
|
Garfield07
Desconectado
Mensajes: 1.121
¡Este año voy a por todas! JMJ 2011
|
A mi eso ultimo me funciono en Vista con el sys32.exe Lo copiaba a una ruta un poco extraña que descubri a base de pruebas. Era en una ruta, meterle un alfanumérico llamado "run" y que se habria al iniciar sesion. A mi eso me bastaba xD...  |
|
|
|
|
En línea
|
 * Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente. * No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado. * Si compila esta bien, si arranca es perfecto. ¡Wiki elhacker.net!Un saludo |
|
|
skapunky
Electronik Engineer &
Colaborador
Desconectado
Mensajes: 3.667
www.killtrojan.net
|
Skapunky, en el metodo 1 no seria mas efectivo realizar una infeccion por suplantacion? Asi el usuario ejecuta su programa y ni se entera que esta siendo suplantado?
Con Respecto a que en el codigo en batch salta el UAC simplemente con cambiar HKLM por HKCU dejara de saltar.
Exacto, es justamente una suplantacion a lo que me refiero. Es decir se leen los nombres, se guarda uno, se borra ese archivo y se crea una copia del gusano con el mismo nombre. La parte 2 que he explicado es para que el archivo ocupe lo mismo que el original. PD: Se podría también hacer una infección de ejecutables, eso siempre funcionará pero es mas tedioso.
|
|
|
|
|
En línea
|
Killtrojan Syslog v1.44: ENTRAR
|
|
|
Garfield07
Desconectado
Mensajes: 1.121
¡Este año voy a por todas! JMJ 2011
|
Bueno, skapunky en bash... creo que nop pero el segundo se le meten un puñado de nops al principio... pero seria dificil...  esta noche tengo para que pensar  |
|
|
|
|
En línea
|
* Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente. * No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado. * Si compila esta bien, si arranca es perfecto. ¡Wiki elhacker.net!Un saludo |
|
|
skapunky
Electronik Engineer &
Colaborador
Desconectado
Mensajes: 3.667
www.killtrojan.net
|
sagrini, yo no digo que se haga en batch, he dicho que lo he hecho en Pascal.
Sobre lo que se comenta de batch nose, pero si suplantan un exe por un batch el icono canta que no veas...
|
|
|
|
|
En línea
|
Killtrojan Syslog v1.44: ENTRAR
|
|
|
[L]ord [R]NA
Desconectado
Mensajes: 1.513
El Dictador y Verdugo de H-Sec
|
Yo hice uno en ASM que suplantaba un ejecutable y guardaba el real en otra parte del disco, cuando dabas doble clic se ejecutaba el worm y lanzaba el programa real
|
|
|
|
|
En línea
|
|
|
|
|
 |
