comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Script que crea una estructura que se autoregenera

  • 6 Respuestas
  • 2671 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado LauBuru

  • *
  • Underc0der
  • Mensajes: 12
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« en: Febrero 12, 2015, 05:56:53 pm »
Saludos, hace mucho tiempo que no paso por aqui, que tal estais, bueno e codeado un script que a mi parecer es algo nuevo o por lo menos yo nunca lo vi, tuve la idea de hacer un script que creara una estructura de directorios con copias del script original dentro de los mismos, despues lanza tantos procesos como carpetas haya para acontinuacion entrar en un bucle de checado de la estructura donde si borras un archivo lo regenerara otra vez, si borrar un directorio con todos los archivos , los regenerara otra vez con el mismo orden , si matas un proceso, lo lanzara otra vez ( por eso lo de autogenerar ), ademas le añadi un componente semipolimorfico en cada ejecucion o copia que se haga del archivo / directorio dañado se añadira una etiqueta inocua al final de cada archivo con un numero aleatorio para asi no generar el mismo archivo exactamente


Os dejo el code para que lo probeis si quereis ( Es inocuo absolutamente solo una POC )


Código: DOS
  1. @You are not allowed to view links. Register or Login off
  2. You are not allowed to view links. Register or Login. >> "%~f0"
  3. You are not allowed to view links. Register or Login :%random%%random%%random% >> "%~f0"
  4. You are not allowed to view links. Register or Login main
  5.  
  6. :main
  7.    You are not allowed to view links. Register or Login "%temp%" | find /i "persisteOK.txt" || You are not allowed to view links. Register or Login :create
  8.    You are not allowed to view links. Register or Login "%temp%" | find /i "persisteOK.txt" && You are not allowed to view links. Register or Login :find
  9. You are not allowed to view links. Register or Login main
  10.  
  11.  
  12. :find
  13.    You are not allowed to view links. Register or Login /l %%a You are not allowed to view links. Register or Login (0,1,10) You are not allowed to view links. Register or Login (You are not allowed to view links. Register or Login "%temp%\d%%a" | find /i "persiste%%a%~x0" && You are not allowed to view links. Register or Login :check "%temp%\d%%a\persiste%%a%~x0" %%a persiste%%a || You are not allowed to view links. Register or Login :generate %%a)
  14. You are not allowed to view links. Register or Login :eof
  15.  
  16. :generate
  17.    You are not allowed to view links. Register or Login | find "<DIR>" | find "d%1" || You are not allowed to view links. Register or Login :create2 %1
  18.    You are not allowed to view links. Register or Login /f "tokens=4" %%a You are not allowed to view links. Register or Login (' You are not allowed to view links. Register or Login "%temp%\d%1"') You are not allowed to view links. Register or Login (You are not allowed to view links. Register or Login "%temp%\d%1" && You are not allowed to view links. Register or Login :You are not allowed to view links. Register or Login %1)
  19.    You are not allowed to view links. Register or Login :run "persiste%1%~x0"  
  20.    You are not allowed to view links. Register or Login
  21. You are not allowed to view links. Register or Login :eof
  22.  
  23. :check
  24.    You are not allowed to view links. Register or Login %temp%\d%2
  25.    tasklist /v | find /i "cmd" | find /i "%3" || You are not allowed to view links. Register or Login :run %1%2
  26. You are not allowed to view links. Register or Login :eof
  27.  
  28.  
  29.  
  30. :create
  31.    You are not allowed to view links. Register or Login %temp%
  32.    You are not allowed to view links. Register or Login /l %%a You are not allowed to view links. Register or Login (0,1,10) You are not allowed to view links. Register or Login ( You are not allowed to view links. Register or Login d%%a && You are not allowed to view links. Register or Login :You are not allowed to view links. Register or Login %%a)
  33.    You are not allowed to view links. Register or Login OK > "%temp%\persisteOK.txt
  34. You are not allowed to view links. Register or Login :eof
  35.  
  36. :create2
  37.    You are not allowed to view links. Register or Login %temp%
  38.    You are not allowed to view links. Register or Login d%1 && You are not allowed to view links. Register or Login  /y %~d0%~p0%~n0%~x0  %temp%\d%1\%~n0%~x0 && You are not allowed to view links. Register or Login "%temp%\d%1\%~n0%~x0" "persiste%1%~x0" && You are not allowed to view links. Register or Login :run persiste%1%~x0 %1
  39.    You are not allowed to view links. Register or Login
  40. You are not allowed to view links. Register or Login :eof
  41.  
  42. :You are not allowed to view links. Register or Login
  43.    You are not allowed to view links. Register or Login  /y %~d0%~p0%~n0%~x0  %temp%\d%1\%~n0%~x0 && You are not allowed to view links. Register or Login "%temp%\d%1\%~n0%~x0" "persiste%1%~x0" && You are not allowed to view links. Register or Login :run persiste%1%~x0 %1
  44. You are not allowed to view links. Register or Login :eof
  45.  
  46.  
  47. :run
  48.    You are not allowed to view links. Register or Login %temp%\d%2 && start "" persiste%2%~x0 && You are not allowed to view links. Register or Login
  49. You are not allowed to view links. Register or Login :eof
  50.  
  51.  


Espero os guste a mi personalmente (haunque este mal decirlo) me encanta  :P

Conectado blackdrake

  • *
  • Co Admin
  • Mensajes: 1893
  • Actividad:
    16.67%
  • Reputación 14
    • Ver Perfil
« Respuesta #1 en: Febrero 13, 2015, 11:39:17 am »
 :o :o :o :o :o

has creado una máquina de destrucción indestructible xDDD

Buen trabajo LauBuru, voy a probarlo ahora mismo, me has dejado con la intriga y quiero comprobar si funciona matando el proceso xD

Saludos.



Desconectado LauBuru

  • *
  • Underc0der
  • Mensajes: 12
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #2 en: Febrero 14, 2015, 06:27:02 pm »
Despues de tu comentario me quede mosca con el tema del matado de procesos, e observado que no realiza su cometido y ahora tengo problemas para poder localizar y controlar los procesos, me podriais hechar un cable, como podri chequear los cmds que estan activos y detectar si falta uno para podel lanzar otro, e estado probando varios metodos usando taskkill y start pero al final el taskkill (como se ejecutan en paralelo) l acaba con todos los procesos antes de que se reinicien, el problema es que no encuentro una funcion que controle los procesos sin que lanze procesos hasta el infinito o los mate todos

tambien probe con "wmic process get commandLine" con eso e podido observar queno todos los cmd muestran el comando que los genera y eso representa un problema mas para localizarlos.

Bueno si alguien tiene una idea lo agradecere :)

Conectado blackdrake

  • *
  • Co Admin
  • Mensajes: 1893
  • Actividad:
    16.67%
  • Reputación 14
    • Ver Perfil
« Respuesta #3 en: Febrero 14, 2015, 08:11:38 pm »
You are not allowed to view links. Register or Login
Despues de tu comentario me quede mosca con el tema del matado de procesos, e observado que no realiza su cometido y ahora tengo problemas para poder localizar y controlar los procesos, me podriais hechar un cable, como podri chequear los cmds que estan activos y detectar si falta uno para podel lanzar otro, e estado probando varios metodos usando taskkill y start pero al final el taskkill (como se ejecutan en paralelo) l acaba con todos los procesos antes de que se reinicien, el problema es que no encuentro una funcion que controle los procesos sin que lanze procesos hasta el infinito o los mate todos

tambien probe con "wmic process get commandLine" con eso e podido observar queno todos los cmd muestran el comando que los genera y eso representa un problema mas para localizarlos.

Bueno si alguien tiene una idea lo agradecere :)

Lo siento pero no tengo ni idea de este tipo de cosas (nunca me lo he planteado la verdad) y menos en Bash, es por eso que te dije que quería ver el código, sería interesante si alguien propone alguna idea.

saludos.



Desconectado LauBuru

  • *
  • Underc0der
  • Mensajes: 12
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #4 en: Febrero 16, 2015, 05:43:36 pm »
Script, finalizado  ;D ;D ;D , ya cumple con todos sus cometidos, enumero


1- Genera una estructura de 10 carpetas con 10 archivos

2- Si borras un archivo al poco tiempo se regenera en el mismo orden con el mismo nombre

3- Si modificas un archivo al poco tiempo se sobreescribira por encima quedando el archivo original denuevo

4- Si empiezas a matar procesos al llegar a un humbral el script (haciendo uso de un archivo de repaldo "persiste.bat" en "%temp%") lanzara nuevos procesos manteniendo un equilibrio constantemente, resultando bastante dificil matarlos todos

5- Porsupuesto si borras un directorio tambien lo regenerara


Aqui dejo el code para que opineis:


Código: DOS
  1. @You are not allowed to view links. Register or Login off
  2. You are not allowed to view links. Register or Login. >> "%~f0"
  3. You are not allowed to view links. Register or Login :%random%%random%%random% >> "%~f0"
  4. You are not allowed to view links. Register or Login main
  5.  
  6. :main
  7.    You are not allowed to view links. Register or Login "%temp%" | find /i "persisteOK.txt" || You are not allowed to view links. Register or Login :create
  8.    You are not allowed to view links. Register or Login "%temp%" | find /i "persisteOK.txt" && You are not allowed to view links. Register or Login :find
  9. You are not allowed to view links. Register or Login main
  10.  
  11.  
  12. :find
  13.    You are not allowed to view links. Register or Login "%temp%" | find /i "persiste.bat" || You are not allowed to view links. Register or Login /y %~d0%~p0%~n0%~x0 %temp%\persiste.bat
  14.    You are not allowed to view links. Register or Login /l %%a You are not allowed to view links. Register or Login (0,1,10) You are not allowed to view links. Register or Login (
  15.    You are not allowed to view links. Register or Login /l %%b You are not allowed to view links. Register or Login (0,1,10) You are not allowed to view links. Register or Login ( You are not allowed to view links. Register or Login "%temp%\d%%a" | find /i "persiste%%b%~x0" && You are not allowed to view links. Register or Login :check "%temp%\d%%a\persiste%%a%~x0" %%a persiste%%a || You are not allowed to view links. Register or Login :generate %%a))
  16. You are not allowed to view links. Register or Login :eof
  17.  
  18. :generate
  19.    You are not allowed to view links. Register or Login | find "<DIR>" | find "d%1" || You are not allowed to view links. Register or Login :create2 %1
  20.    You are not allowed to view links. Register or Login /f "tokens=4" %%a You are not allowed to view links. Register or Login (' You are not allowed to view links. Register or Login "%temp%\d%1"') You are not allowed to view links. Register or Login (You are not allowed to view links. Register or Login "%temp%\d%1" && You are not allowed to view links. Register or Login :You are not allowed to view links. Register or Login %1)
  21.    You are not allowed to view links. Register or Login :run "persiste%1%~x0"  
  22.    You are not allowed to view links. Register or Login
  23. You are not allowed to view links. Register or Login :eof
  24.  
  25. :check
  26.    You are not allowed to view links. Register or Login %temp%\d%2
  27.    fc /l %1 %~d0%~p0%~n0%~x0 || You are not allowed to view links. Register or Login :generate %2
  28.    You are not allowed to view links. Register or Login /f "tokens=*" %%a You are not allowed to view links. Register or Login ('tasklist ^| find /c "cmd.exe"') You are not allowed to view links. Register or Login (You are not allowed to view links. Register or Login :run2 %%a)
  29.    You are not allowed to view links. Register or Login
  30. You are not allowed to view links. Register or Login :eof
  31.  
  32. :create
  33.    You are not allowed to view links. Register or Login %temp%
  34.    You are not allowed to view links. Register or Login /l %%a You are not allowed to view links. Register or Login (0,1,10) You are not allowed to view links. Register or Login ( You are not allowed to view links. Register or Login d%%a && You are not allowed to view links. Register or Login :You are not allowed to view links. Register or Login %%a)
  35.    You are not allowed to view links. Register or Login OK > "%temp%\persisteOK.txt
  36. You are not allowed to view links. Register or Login :eof
  37.  
  38. :create2
  39.    You are not allowed to view links. Register or Login %temp%
  40.    You are not allowed to view links. Register or Login d%1 && You are not allowed to view links. Register or Login  /y %~d0%~p0%~n0%~x0  %temp%\d%1\%~n0%~x0 && You are not allowed to view links. Register or Login "%temp%\d%1\%~n0%~x0" "persiste%1%~x0" && You are not allowed to view links. Register or Login :run persiste%1%~x0 %1
  41.    You are not allowed to view links. Register or Login
  42. You are not allowed to view links. Register or Login :eof
  43.  
  44. :You are not allowed to view links. Register or Login
  45.    You are not allowed to view links. Register or Login  /y %~d0%~p0%~n0%~x0  %temp%\d%1\%~n0%~x0 && You are not allowed to view links. Register or Login "%temp%\d%1\%~n0%~x0" "persiste%1%~x0" && You are not allowed to view links. Register or Login :run persiste%1%~x0 %1
  46. You are not allowed to view links. Register or Login :eof
  47.  
  48.  
  49. :run
  50.    You are not allowed to view links. Register or Login %temp%\d%2 && start "" persiste%2%~x0 && You are not allowed to view links. Register or Login
  51. You are not allowed to view links. Register or Login :eof
  52.  
  53. :run2
  54.    You are not allowed to view links. Register or Login %temp%
  55.    You are not allowed to view links. Register or Login p=%1
  56.    You are not allowed to view links. Register or Login "%p%" You are not allowed to view links. Register or Login "15" ( start "" persiste%~x0)
  57.    You are not allowed to view links. Register or Login
  58. You are not allowed to view links. Register or Login :eof
  59.  
  60.  
  61.  


Haber si os gusta  :P un saludo
« Última modificación: Febrero 16, 2015, 05:57:59 pm por LauBuru »

Desconectado alexander1712

  • *
  • Underc0der
  • Mensajes: 850
  • Actividad:
    0%
  • Reputación -2
    • Ver Perfil
    • El blog del programador
    • Email
« Respuesta #5 en: Febrero 17, 2015, 12:35:35 am »
forma de eliminar tu virus:

inicio->ejecutar->cmd

taskkill -im cmd.exe

luego vas a c:\users\NOMBRE\appdata\local\temp y borras del d0 al d10 o directamente borras todos los temporales.

easy.

saludos!

Desconectado LauBuru

  • *
  • Underc0der
  • Mensajes: 12
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #6 en: Febrero 17, 2015, 11:15:56 am »
Esto no esta puesto en clave de reto y tampoco es un virus si fuera un virus ten por seguro que no seria tan facil matarlo es una POC de una estructura autoregenerable , tampoco quiero joder al usuario que quiera probarlo es solo para mostrar el concepto.


Espero se me entienda (De buen rollo)  ;D
« Última modificación: Febrero 17, 2015, 05:33:34 pm por LauBuru »

 

¿Te gustó el post? COMPARTILO!



Script para ejecutar un archivo BAT con salida nula

Iniciado por ANTRAX

Respuestas: 0
Vistas: 1423
Último mensaje Julio 18, 2011, 10:13:11 pm
por ANTRAX
Script para extraer el valor de una clave del registro

Iniciado por ANTRAX

Respuestas: 0
Vistas: 1440
Último mensaje Julio 18, 2011, 10:12:40 pm
por ANTRAX
[Bash] sencillo script para backups

Iniciado por CRC-_-

Respuestas: 1
Vistas: 1888
Último mensaje Enero 17, 2016, 03:01:10 pm
por CRC-_-
[Bash] Script que loggea tu IP publica.

Iniciado por xianur0n

Respuestas: 0
Vistas: 1967
Último mensaje Enero 18, 2016, 03:16:39 pm
por xianur0n
Script para extraer el PID de un proceso

Iniciado por ANTRAX

Respuestas: 0
Vistas: 1314
Último mensaje Julio 18, 2011, 10:11:49 pm
por ANTRAX