Foro de elhacker.net

Muy buenas a todos

Como ya sabéis, cuando estamos trabajando o desarrollando malware, es de suma importancia asegurarse que nuestro proceso/ejecutable/script se auto-ejecute en el sistema cada vez que el usuario inicie sesión.

Hay muchos métodos para lograr dicho efecto, los más conocidos es mover una copia del ejecutable a la carpeta "Inicio" del menú de Windows o añadir una clave "Run" en el regedit, no? Bueno, he hecho un poco de búsqueda y pruebas y he logrado agrupar 9 métodos de auto-ejecución en una sola función. Hay más de 9 métodos, pero no todos son compatibles entre ellos y he agrupado los más efectivos en una sola función.

La función la he programado en VBS, pero es fácilmente exportable a cualquier lenguaje de programación, incluido batch (que no es un lenguaje como tal). Los 9 métodos utilizados son:

• Regedit: Run en HKCU
• Regedit: Run en HKLM
• Regedit: RunOnce en HKLM
• Regedit: Policies en HKCU
• Regedit: Winlogon\Shell en HKLM
• Regedit: ActiveX en HKLM+HKCU
• Win32: StartupFolder
• Win32: AllUsersStartupFolder
• Scheduled Task: OnLogon

Éstos son los 9 métodos de los que voy a hablar, pero faltarían algunos más, como por ejemplo Winlogon\Userinit, método iFEO, crear un system service, etc...

Además, he analizado el comportamiento de los 9 métodos y hay cosas a tener en cuenta. Si configuramos un sistema para que auto-ejecute un mismo programa utilizando éstos 9 métodos a la vez, el sistema los ejecutará en un orden concreto, además 4 de los 9 métodos se ejecutarán ANTES de iniciar el escritorio del usuario y los 5 métodos restantes se ejecutarán DESPUÉS de iniciar el escritorio. Además 2 de éstos 9 métodos poseen la propiedad HaltSystem, que mantendrán el sistema en suspensión hasta que la ejecución del proceso no finalice (cuidado!), aquí el script:

Set oWSH = CreateObject("WScript.Shell")
Set oFSO = CreateObject("Scripting.FileSystemObject")
 
call startup
'call uninstall
 
Function startup
	On Error Resume Next
	oWSH.RegWrite	"HKCU\Software\Microsoft\Windows\CurrentVersion\Run\C1", "C:\V1.EXE"
 
	oWSH.RegWrite	"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\C2", "C:\V2.EXE"
 
	oWSH.RegWrite	"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\C3", "C:\V3.EXE"
 
	oWSH.RegWrite	"HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\C4", "C:\V4.EXE"
 
	oWSH.RegWrite	"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell", "Explorer.exe, C:\V5.EXE"
 
	oWSH.RegDelete	"HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{2EAA7630-C1E5-CA0F-0807-050503010603}\"
	oWSH.RegDelete	"HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components\{2EAA7630-C1E5-CA0F-0807-050503010603}\"
	oWSH.RegWrite	"HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{2EAA7630-C1E5-CA0F-0807-050503010603}\StubPath", "C:\V6.EXE"
 
	oFSO.CopyFile	"C:\V1.EXE", oWSH.SpecialFolders("Startup") & "\V7.EXE", True
 
	oFSO.CopyFile	"C:\V1.EXE", oWSH.SpecialFolders("AllUsersStartup") & "\V8.EXE", True
 
	oWSH.Run	"schtasks /create /tn " & Chr(34) & "V9" & Chr(34) & " /tr " & Chr(34) & "C:\V9.EXE" & Chr(34) & " /sc onlogon /F"
End Function
 
Function uninstall
	On Error Resume Next
	oWSH.RegDelete	"HKCU\Software\Microsoft\Windows\CurrentVersion\Run\C1"
 
	oWSH.RegDelete	"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\C2"
 
	oWSH.RegDelete	"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\C3"
 
	oWSH.RegDelete	"HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\C4"
 
	oWSH.RegWrite	"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell", "Explorer.exe"
 
	oWSH.RegDelete	"HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{2EAA7630-C1E5-CA0F-0807-050503010603}\StubPath"
	oWSH.RegDelete	"HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{2EAA7630-C1E5-CA0F-0807-050503010603}\"
	oWSH.RegDelete	"HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components\{2EAA7630-C1E5-CA0F-0807-050503010603}\"
 
	oFSO.DeleteFile	oWSH.SpecialFolders("Startup") & "\V7.EXE", True
 
	oFSO.DeleteFile	oWSH.SpecialFolders("AllUsersStartup") & "\V8.EXE", True
 
	oWSH.Run	"schtasks /delete /tn " & Chr(34) & "V9" & Chr(34) & " /f"
End Function
 
 
MsgBox "end"

He añadido también la función uninstall, que eliminará los 9 métodos dejando el sistema "intacto". El orden de ejecución de los 9 métodos son:

Se ejecutan ANTES de iniciar el Desktop

1º Scheduled Task
2º Winlogon\Shell
3º RunOnce (HaltSystem, hasta que no finalice el proceso, no se continuará la carga normal del systema)
4º ActiveX (HaltSystem, hasta que no finalice el proceso, no se continuará la carga normal del systema)

Se ejecutan DESPUES de iniciar el Desktop

5º Regedit: Run en HKLM
6º Regedit: Policies
7º Regedit: Run en HKCU
8º Win32: All Users Startup Folder
9º Win32: Startup Folder

Pues nada, aquí tenéis la función, podéis utilizar solo un método o los 9 a la vez. También si alguien conoce algún método más y le gustaría compartir estaré encantado de ampliar el post con más información.

Saludos!! :)

Lo acabo de ver y no entiendo como los usuarios no se toman la molestia de dar las gracias, es una increíble recopilación, yo conocía tres métodos pero nada mejor tener todos los métodos en un solo post, sería ideal una chincheta o ponerlo en algún lugar de fácil recuerdo. Muchas gracias.

PD: Sería ideal especificar los permisos requeridos para cada autorranque, como por ejemplo HKLM requiere permisos de administrador a diferencia de HKCU.

Gracias UND3R, tienes toda la razón. Más tarde editaré el post para indicar los permisos administrativos necesarios para cada método, intentaré añadir más métodos como por ejemplo el iFEO y creación de servicios de sistema.

Agradecería si alguien es capaz de aportar algún método de auto-inicio adicional. Aunque sean scams.

Saludos!!

Gracias Mad!

Me dio asi como presión jaja

Saludos!

Antes que nada , buen aporte!

Agrego el registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs , si nuestro malware es una dll , lo añadimos ahi , y sera cargado en cada proceso que llame a user32.dll

Aaaah! buen aporte! No conocía éste método ya que VB6 no puede crear DLL nativas (solo DLL ActiveX) y nunca me había puesto a pensar como cargar DLL.

Lo añadiré en #1 cuando tenga terminado los otros métodos de Userinit, iFEO y Services.

Gracias!

Por eso es bueno agradecer, hoy mismo necesito iniciar de forma automática a ver si me guían:
- Estoy armando un equipo con Windows 7 solo para jugar a través de Steam, al tildar la opción arrancar desde el inicio, se muestra el escritorio y luego se inicia maximizado (por lo cual Steam debe utilizar uno de los 5 métodos), sería ideal implementar uno de los 4 métodos, pero cual de ellos me recomendarían para arrancar Steam (la idea es arrancarlo sin que se perciba el escritorio (Wallpaper y Explorer.exe)

EDIT: o quizás halftime? :O

Saludos

En ese caso, quizás la mejor opción sería levantar el servicio de sistema que lleva incluido el propio Steam. No lo he probado, pero cualquier método aquí listado te levantará la interfaz en maximizado :(

una consulta soy nuevo en este foro no tengo el konocimiento k se debe pero por ejemplo ustedes manejas programas ejecutables o si alguna vez uno los rekiera algo en espesifico si se pued ekonseguir eso? mas bien si se puede conseguir .exe

No me dedico a construir malware, pero si leeo para estar atento a lo que puedan causar y los metodos que utilizan estos para ejecutar sus procesos.


Gracias esto no lo revela cualquiera, ...!

@MAD:

Te paso un par mas de metodos de ejecucion y un par de lugares interesantes:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\BootExecute
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SetupExecute

Interesantes:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs


Saludos!

De a donde sacas tanta información? jaja

click (http://technet.microsoft.com/es-ar/sysinternals/bb963901.aspx)

 :P

Saludos!

Muy buen aporte, tampoco las conocia todas.


Esta es la que siempre usaba yo, en batch claro.


Con esta linea agregamos un servicio a windows, no se puede parar y da error si le das un start, pero si que arranca cuando windows se inicia sin ningun problema.

Hace tiempo que no lo usado, pero lo tenia por unos apuntes, no se si para windows 7 funcionará y para el 8 ya ni te digo. Pero recuerdo que para XP iba de maravilla, yo no usaba otra cosa.

Espero que os sirva.Saludos

Yo tengo otra pero requiere de la participación del archivo a ejecutar al inicio:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

se debe modificar el registro Shell que por defecto contiene el valor "explorer.exe" la idea sería modificar el el registro con la ruta del archivo a ejecutar tras arrancar el equipo pero este archivo debería llamar a explorer.exe ya que si no se hace esto Windows iniciará sin explorer:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell -> "C:\archivo.exe"

archivo.exe :
Start:
WinExec Explorer.exe
........
.....
..
Malware
.
Exit

Hola antrax muy bien la lista y buen post felisidades, nomas que me queda una duda de todos esos metodos cual no aparece en el msconfig ya que de hay el usuario puede modificar los programas que se inician...bueno pienso que es cuestion de que intente yo para no molestarte jajaja
Hola under a un que no me creas el metodo de remplasar el explorer por el malware ya me lo sabia pero no me acordaba la ruta ya que no la tenia en mis documentos privados y te doy gracias por recordarmela

saludos flamer y el metodo que propuso under boy a ver si aparece en el msconfig

Hola antrax aqui mi aportacion es igual que la de under pero en otro sub_arbol:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

y creas el valor alfanumerico Shell y pones el malware el cual tiene que ejecutar el explorer tambien

saludos flamer

Mi aporte es sencillo. Hace unos dias vi un vbs que contenia la sigte llave del registro:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

Alli creas el valor alfanumerico "Load" y ponia en los datos la direccion "HDD:\direccion\malware.vbs"

Alguien que lo pruebe y si le funciona tanto en XP como en Win7 que avise y tienen un metodo mas.

muy buen post te felicito

Muchas gracias por la recopilación.
Muy buena.

Excelente aporte !!!

Muchas gracias

 ;-) ;-) ;-) ;-) ;-)

Muy buen aporte.

Ahí van otros dos:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce

Evidentemente sólo funciona en versiones de 64 bits.

Saludos y gracias por el post

En ésta página de karmany hay más formas de autoinicio  :laugh:  :laugh:

http://www.karmany.net/sistema-operativo/31-windows/225-programas-al-inicio-de-windows-que-programas-se-inician-con-windows (http://www.karmany.net/sistema-operativo/31-windows/225-programas-al-inicio-de-windows-que-programas-se-inician-con-windows)

nos vemos!

gracias por la infor
http://support.microsoft.com/kb/197571/es
http://reverseengineering.stackexchange.com/questions/1376/what-happens-when-a-dll-is-added-to-appinit-dll