comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Un Malware llamado "MOuseLOggEr"...!!

  • 3 Respuestas
  • 2053 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado CodePunisher

  • *
  • Underc0der
  • Mensajes: 58
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Root Security
    • Email
  • Skype: code.punisher
« en: Febrero 21, 2013, 12:08:00 pm »
Un pequeño artículo que decidi compartirlo con la comunidad underc0de.
Antes de empenzar la guía sera el Pseudocódigo.



Y los que no lo conocen, se requerira los  siguiente:
PASO 1
Ya que el programa está en .Net usaremos Win, lo primero sera capturar el proceso del Tasklist primero leer nombre del *.exe que está corriendo mediante un bucle.


PASO 2
La aplicación empezara a correr y se capturara en un *.txt debidamente encriptado con cada click hecho.



PASO 3
Luego del envió en el que solo se verá coordenadas en las que se hizo el click cada, una vez ello debemos desencriptarlo



PASO 4
Luego las coordenadas las llevaremos a una aplicación la cual las interpretara el tamaño de la pantalla y luego dibujara las coordenadas en una Form semi transparente.


PASO 5
Detrás del From estará delante la pagina web en la que se capturo el cursor y cada punto será un click .




A PROGRAMAR EL *.EXE
[/b]

En este caso fue ensamblado con el Net Framework 3.5, así que el proyecto debe estar usando dicha versión por lo que al momento de crear el Form debe colocar Net Framework 3.5.


En el Form se encuentra lo siguiente:

  • (1) ListView
        (4) Label
        (3) TextBox
        (1) RichTextBox
        (6) Timer

En el Solution Explorer se encuentra lo siguiente:


En cual se encontrara 11 Module y 1 Form. En cada línea de código se encuentra un comentario para así facilitar la comprensión del proceso.  Al momento de cambiar las propiedades del Form uno debe darse cuenta de que propiedades ha cambiado en especial ShowinTaskBar, Opacity además encontrara un Timer_Hide el cual hará de que el form pase oculto sin olvidarse del Autorun.

Lo única desventaja es que consume un 8% del procesador en mi caso Intel Core I3, se ha solucionado algunos fallos, pero si es que se encuentra alguno por favor deje su comentario y en breve se solucionara.

Descarga del Proyecto: No tienes permisos para ver links. Registrate o Entra con tu cuenta



A PROGRAMAR EL DECRYPTER
[/b]
Es el turno de implementar de decrypted y el form que nos mostrara los puntos en el que se hizo click. Lo explikare no es nada del otro mundo para quien ya tiene idea de programación para los que no ahi va:

Este es el código es del encrypted.

Código: vb.net
  1. Public Sub encrypted ()
  2. Dim cadena, i As String
  3. Dim inicio As Integer
  4. cadena = Convert.ToString(TextBox.Text)
  5. For inicio = 1 To Len(cadena)
  6. i = i + No tienes permisos para ver links. Registrate o Entra con tu cuenta(No tienes permisos para ver links. Registrate o Entra con tu cuenta(Mid(cadena, inicio, 1)) + 1)
  7. 'Mid lo que hace es reemplazar por el siguiente caracter
  8. TextBox.Text = i
  9. Next
  10. End Sub

Se convierte en String el texbox y se aloja en la variabale cadena. En este caso se uso el contador de variable

Len(que nos arroja el numero de caracteres que tiene la cadena de texto incluido los espacios).

Seguido del Forn que haremos un conjunto de repeticiones del el c que este caso inicio tomo valor de 1 hasta el numero de caracteres que tiene el TextBox.

Mid es el que arrojara la cantidad de caracteres que nosotros especificaremosDim palabra As String = “Root Security”

Código: vb.net
  1. Dim recorte As String = Mid(palabra,1,4)
  2. 'Siendo el resultado de esta linea de codigo la palabra “ROOT”.

Mid(cadena, inicio,1) recorrerá toda la cadena del TextBox y empezará desde 1,1 esto nos dará referencia que en la primera repetición solo tomara al primer carácter.

Asc  (No tienes permisos para ver links. Registrate o Entra con tu cuenta) es la función que nos devuelve el código del carácter, por ejemplo la letra R es el código ASCI 82 lo que hace después de obtener la letra por medio del Mid la convierte con código ASCI y seguido le aumenta 1 en otras palabras si se obtuvo R que era = a 82 aumentara 1 y se volverá 83.

Chr es la función que  devuelve el código en carácter en el caso anterior que escogimos R y nos arrojo 82, esta función obtendrá “R” desde 82.Dim palabra As String = Chr(82) ‘ la cual nos devolverá la letra R.Pero en el encriptado al momento de aumentarle 1 al ASC se convierte en 83 y cuando se utiliza la función Chr(83) nos mostrara el carácter “S”.

Y así continuamente para cada carácter.

En cambio el código de decrypted:

Código: vb.net
  1. Public Sub decrypted ()
  2. Dim cadena, i As String
  3. Dim inicio As Integer
  4. cadena = Convert.ToString(TextBox.Text)
  5. For inicio = 1 To Len(cadena)
  6. i = i + No tienes permisos para ver links. Registrate o Entra con tu cuenta(No tienes permisos para ver links. Registrate o Entra con tu cuenta(Mid(cadena, inicio, 1)) - 1)
  7. 'En este caso se quitara -1 carácter
  8. TextBox.Text = i
  9. Next
  10. End Sub

Se usa las mismas funciones que el anterior con el cambio de que ahora no se aumentara si no se le disminuirá -1.

Ahora nos vamos al Form que nos mostrara los puntos en el cuales se hizo click como ya sabemos que proceso se hizo click solo debemos colocar la ventana de dicho proceso de tras del from transparente.

En el Form semitransparente en el cual se dibujara en las coordenadas que uno ingresa desde el textbox, la coordenada (0,0) es la de la esquina superior izquierda llegando a la coordenada que en mi laptop es la de (1366,768) esquina inferior derecha.

Descargar código fuente: No tienes permisos para ver links. Registrate o Entra con tu cuenta
Descargar ejecutable: No tienes permisos para ver links. Registrate o Entra con tu cuenta



AVISO LEGAL
===========
MouseLogger es un proyecto de Open Source (GPL) con el fin de enseñar y promover la conciencia a los internautas sobre la problemática que ocasiona el malware al infectar al ordenador.
No me responsabilizo de cualquier uso malintencionado que se haga del proyecto, así como de las modificaciones que los usuarios puedan realizar al código fuente de las aplicación, tampoco no me hago responsable de las copias del proyecto que sean distribuidas a través de otros portales web o usuarios y que puedan haber sido modificadas con intenciones dudosas.
« Última modificación: Diciembre 08, 2014, 02:51:12 pm por Expermicid »

Conectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5401
  • Actividad:
    33.33%
  • Reputación 31
  • ANTRAX
    • Ver Perfil
    • Underc0de
    • Email
  • Skype: underc0de.org
  • Twitter: @Underc0de
« Respuesta #1 en: Febrero 21, 2013, 12:18:25 pm »
Excelente aporte! Lo hiciste vos al codigo?
Yo tengo uno un poco mas sofisticado diseñado para el robo de cuentas bancarias.
El que tengo yo se llama Clicklogger :D

Saludos!


Desconectado CodePunisher

  • *
  • Underc0der
  • Mensajes: 58
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Root Security
    • Email
  • Skype: code.punisher
« Respuesta #2 en: Febrero 21, 2013, 12:36:37 pm »
Si ANTRAX, es de mi auditoria. Gracias por la breves palabras.
En breve lanzare un artículo llamado Hibrido de Malware.

Desconectado Hu0r

  • *
  • Underc0der
  • Mensajes: 37
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #3 en: Febrero 21, 2013, 12:44:41 pm »
Se ve genial!!

Se agradece, vamos a chequearlo!

 

¿Te gustó el post? COMPARTILO!



Malware que no deja entrar en google

Iniciado por rollth

Respuestas: 6
Vistas: 2380
Último mensaje Marzo 13, 2015, 07:48:37 am
por blackdrake
Pack de tutoriales de creación de Malware!!!.

Iniciado por J0k3$

Respuestas: 8
Vistas: 6288
Último mensaje Noviembre 05, 2015, 11:38:34 pm
por ChaoKon
Cifrado de Malware a Mano by Zero

Iniciado por hdbreaker

Respuestas: 7
Vistas: 4159
Último mensaje Septiembre 14, 2016, 05:32:07 pm
por grep
[TIP] Sacar Firma "Mal_Poison3" de Trend y Otras Mas

Iniciado por Cronos

Respuestas: 0
Vistas: 1202
Último mensaje Julio 29, 2011, 02:45:11 pm
por Cronos
Explotacion de "God Mode" orientada a la creacion de malware

Iniciado por sadfud

Respuestas: 0
Vistas: 1184
Último mensaje Octubre 10, 2016, 04:59:29 pm
por sadfud