El mundo de los worms me apasiona; propagación e infección de ficheros. Hay muchos métodos, te describo alguno de ellos (no son complicado de implementar):
- Crear un recurso de red infectado (Honeypot)
- Sustituir el salvapantallas
- Propagación por redes P2P (lo más sencillo es infectar Ares+Emule)
- Infección de ficheros ZIP/RAR locales
- Propagación a través de recursos compartidos en red (Network Spread)
- Propagación por GoogleDrive + Dropbox
- Propagación por USB (Autorun, sustituir ficheros por accesos directos, etc...)
- Propagación por redes sociales (Facebook + Twitter)
- Propagación por IM (Yahoo + Skype)
- Infección de ficheros locales (Macros de Office, sustitución de VBS/VBE, infección de ejecutables, ...)
El troyano h-worm utiliza solo UNO de los sistemas mencionados arriba (Propagación USB por accesos directos) y consigue una alta tasa de infección. Imagínate si implementas una combinación de ellos
Para programar un worm, primero de todo tendrás que decidir el lenguaje de programación ha usar. Luego codearlo de forma minuciosa, asegurándote que todas sus funciones se ejecutarán en cualquier equipo (independientemente del SO, modelo, permisos de usuario o idioma del SO).
Una vez tienes programada la parte de la propagación, toca centrarse en la parte de la "persistencia", es decir; asegurarse que tu gusano se ejecutará siempre y durante muuuucho tiempo en los PC's infectados. Imagínate lo siguiente:
Infectas un equipo
El usuario lo detecta y realiza una limpieza minuciosa del sistema
El usuario cree estar libre del gusano
Pasado unos días, el equipo se vuelve a infectar debido a que una copia del gusano se almacenó como salvapantallas por defecto del equipo... tras unos minutos de inactividad se ejecutó la copia del gusano y ZASCA! sistema infectado de nuevo.
Otra forma de lograr la "persistencia" es programar ANSI Bombs, que permanezcan dormidas y encriptadas en el disco para luego ser ejecutadas en un evento específico o tras una fecha acordada.
Saludos
el USB debe estar conectado antes d ejecutar el worm ( en este caso el h-worm o el cactus ) , puede ser que ya haya ejecutado el worm y no haya puesto ningun USB hasta despuies de varias horas ? , o el gusano esta pendiente de q detecta otra unidad para poner los accesos directos ?