Título: [Aporte by 4ng3r] Fsutil con Aplicacion en Malware by 4ng3r Publicado por: AFelipeTrujillo en 23 Febrero 2010, 17:17 pm Hola gente, hoy les voy a presentar un comando bastante raro muy poco conocido es el Fsutil, primero la definición, sus parametros y después la aplicación
FSUTIL (FileSUTILities), es una herramienta para la consola de comandos, la cual nos permitira hacer gran variedad de tareas sobre los sistemas de archivos de la familia de sistemas operativos de windows (FAT) y NTFS, como administrar puntos de análisis, administrar archivos dispersos o desmontar un volumen. Para lanzarlo, deberemos tener las credenciales de administrador !!! este es el problema. En la siguiente lista podremos ver los diferentes argumentos que le podemos dar a esta herramienta y los diferentes usos que tiene. Recalcar el uso de fsutil hardlink create, el cual nos servirá para realizar accesos directos duros a ficheros de manera que podamos usar el mismo fichero en diferentes localizaciones y con diferentes nombres pero sin duplicarlo, de manera que cuando se modifica uno, se modifican para las dos ubicaciones ya que es el mismo fichero. Fsutil behavior Consulta, cambia, habilita o deshabilita la configuración para generar nombres de archivo con longitud de caracteres 8.3, aceptar caracteres extendidos en los nombres de archivo con longitud de caracteres 8.3 en volúmenes NTFS, actualizar la marca de fecha y hora de último acceso en volúmenes NTFS, la frecuencia con la que se escriben sucesos de cuota en el registro de sistema, los niveles de caché interna de memoria de grupo NTFS paginada y no paginada, y la cantidad de espacio de disco reservado para la zona MFT1. Fsutil dirty Nos servirá para saber si se ha establecido el bit de daños del un volumen, y nos permite también establecerlo, de manera que en el siguiente reinicio, autochk buscará automáticamente los errores en el volumen. Fsutil file Tiene distintos parámetros:
Código
Código
Estos son los comandos mas importantes según mi parecer, la idea es seguir con la aplicación de este comando en algún malware que se les ocurra. Si se fijan bien el comandos Fsutil file createnew, sirve para crear un archivo de longitud 0 (cero) pero esto no estan cierto; este comando a demas de crear un archivo puede modificar su tamaño según este Script: Código Se imagina esto: Código
Es aquí donde podemos observarla potencia de este comando, poder crear archivos con la longitud que queramos en bytes es bastante útil a la hora de sabotear un sistema de información. La desventaja de este comando es que un usuario con experiencia pondría en la labor ponerse a buscar archivo por archivo y lo borraría muy fácilmente este archivo; una solución a este inconveniente es crear varios archivos y distribuirlos por todo el sistema, buena idea pero existe otro problema «no conocemos el tamaño del disco del usuario !!!” . Asi que llenar el disco con uno o cuatro archivo sno es viable lo mejor es llenarlo con miles de archivos, yo propongo esta solución: Código
Este se puede potenciar mas aun con el comando at, attrib y cierto .REG para cambiar el Hidden”=dword:00000001 ( ;D) de registro. La idea es ocultar el archivo por que nos dejaría en desventaja con el usuario la funcionalidad de nuestro malware fracasaría y simplemente nos quedaría de lección, pero se me ha ocurrido una idea aun mas loca y destructivo; no se si se estaran pensado en sobre escribir un archivo ???…. si es asi esa es la solución final a nuestro problema, simplemente buscamos un archivo vital para el sistema y le metemos peso a esa monda, entonces el usuario borrara el archivo por ahorrarse algunos bytes en su pc. Esta es la aplicación final que doy para este tema: Código
Miremos el resultado: (http://img87.imageshack.us/img87/6152/screenhunter02aug130120.gif) Observemos que cmd1.exe es una copia de cmd.exe (el original) y en la parte de abajo vemos el cmd2.exe ya modificado por el malware, si ejecutamos cmd2.exe fuanciona como debe ser simplemente re-nombrelo y lo copian a %systemroot%\system32. FUENTE (http://angercode.wordpress.com/2009/08/13/fsutil/) |