64ram

1 Entorno de compilación: Para "compilar" script podemos usar el bloc de notas del windows o el propio visual basic, aunque el mas barato es el bloc de notas . Bloc de notas: Se introduce como simple texto, luego se da a archivo/guardar como..., y en el diálogo de guardar le das a elegir Todos los archivos y guardas el archivo con formato *.vbs. Visual basic: Colocas el código en el evento donde quieras que se produzca. 2 Los objetos mas importantes En visual basic script trabajamos con objetos que son rutinas especializadas de Visual Basic Script que reune un conjunto de librerias o rutinas que simplifican la programacion en VBS, dependiendo de lo que queramos hacer llamamos a un objeto del windows o de algún programa, los mas importantes son: "Scripting.FileSystemObject": Se utiliza para operaciones con ficheros, copiar, pegar, mover etc... "WScript.Shell" Se utiliza para shell's comandos en el sistema, ejecuta ficheros, abrir navegador, usar el registro. "outlook.application": El famoso outlook y su propagación de los gusanitos. Excel.Application: El programa de calculo excel. Estos son los objetos mas importantes en visual basic script. Se definen: Set variable = CreateObject("nombreOBJ" Y luego cuando queremos hacer una opcion de ese objeto variable.accion "parametro" El objeto Scripting.FileSystemObject: Como ya dijimos este objeto se utiliza para operaciones con ficheros, puedes poner: . si está en el mismo directorio. C:carpeta especificando el directorio Acciones que podemos hacer con este objeto: --------------------------------------------------------------------------------------------------------------------- Copiar archivos --------------------------------------------------------------------------------------------------------------------- CopyFile Con este comando, podemos copiar archivos en la pc. Ejemplo: Set variable = CreateObject("Scripting.FileSystemObject" variable.CopyFile ".ejemplo_Copyfile.vbs","C:perro.txt" Copia el archivo "ejemplo_Copyfile.vbs" como "perro.txt" en la unidad C, puedes copiar otros archivos aparte del mismo vbs. --------------------------------------------------------------------------------------------------------------------- Mover archivo --------------------------------------------------------------------------------------------------------------------- MoveFile Con este comando, podemos mover archivos de la pc. Ejemplo: Set variable = CreateObject("Scripting.FileSystemObject" variable.MoveFile ".ejemplo_MoverArchivo.vbs", "C:ejemplo_MoverArchivo.vbs" Esto mueve el archivo "ejemplo_MoverArchivo.vbs" a C, puedes mover otros archivos aparte del mismo vbs. --------------------------------------------------------------------------------------------------------------------- Borrar archivos --------------------------------------------------------------------------------------------------------------------- DeleteFile Con este comando borramos archivos en la pc. Ejemplo: Set variable = CreateObject("Scripting.FileSystemObject" variable.DeleteFile "C:perro.txt" Esto borrara el archivo "perro.txt" de la unidad C. Si pones *.* ¡borraria todos los archivos!, ¡cuidado! --------------------------------------------------------------------------------------------------------------------- Crear una carpeta --------------------------------------------------------------------------------------------------------------------- CreateFolder Sirve para crear carpetas en el pc. Ejemplo: Set variable = CreateObject("Scripting.FileSystemObject" variable.CreateFolder "C:perro" Esto creara la carpeta "perro" en la unidad C --------------------------------------------------------------------------------------------------------------------- Borrar una carpeta --------------------------------------------------------------------------------------------------------------------- DeleteFolder Este comando sirve para borrar carpetas. Ejemplo: Set variable = CreateObject("Scripting.FileSystemObject" variable.DeleteFolder "C:perro" Esto borrara la carpeta "perro" de la unidad C. Si pones *.* borraria todos las carpetas! --------------------------------------------------------------------------------------------------------------------- Crear un archivo --------------------------------------------------------------------------------------------------------------------- CreateTextFile Sirve para crear archivos en la pc. Set variable = CreateObject("Scripting.FileSystemObject" variable.CreateTextFile "C:perro.mp3" Estás son las funciones de Scripting.FilesystemObject te permite hacer todas las operaciones con ficheros del sistema. 4 El objeto WScript.Shell: Este objeto es para mandar shell al sistema, para abrir el navegador, para abrir ficheros, para modificar el registro. Ejemplos: --------------------------------------------------------------------------------------------------------------------- Ejecutar y/o abrir archivos o paginas web --------------------------------------------------------------------------------------------------------------------- Run Sirve para ejecutar archivos y abrir paginas web. Ejemplo: On Error Resume Next Set variable = CreateObject("WScript.Shell" variable.Run "C:perro.txt" Esto ejecutara el archivo "perro.txt" si este existe en la ruta actual, Si escibes un URL este seria abierto por el navegador de internet, pero es necesario que pongas las "www", como www.geocities.com/reydelmundo11jorge; y si la url no comienza con "www", tienes que anteponer el "http:\", como http:\foro.elhacker.net --------------------------------------------------------------------------------------------------------------------- Crea y/o modificar una entrada de registro de Windows --------------------------------------------------------------------------------------------------------------------- RegWrite Con este comando podemos escribir en el registro de Windows Ejemplo: Set zonavirus = CreateObject("WScript.Shell" zonavirus.RegWrite "HKEY_CLASSES_ROOTCLSID{20D04FE0-3AEA-1069-A2D8-08002B30309D} InfoTip","Entrada modificada" Modifica el mensaje que muestra el windows al pasar el mouse en el icono "MI PC" y le pone otro valor, en este caso le cambia el mensaje que desplegaba, compruebalo ejecutando el vbs de ejemplo y despues pasando el mouse sobre el icono "MI PC" y veras. Si quieres que tu VBS sea residente lo que puedes hacer es crear una linea en el registro que servira para que el VBS se ejecute a cada inicio de Windows, haciendose residente. Ejemplo: Set zonavirus = CreateObject("WScript.Shell" zonavirus.RegWrite "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunejemplo", "C:ejemplo_residente.vbs" Esto hara que el archivo "ejemplo_residente.vbs" se ejecute cada vez que se inicie Windows, siempre y cuando el VBS exista en C: --------------------------------------------------------------------------------------------------------------------- Borrar una entrada de registro de Windows --------------------------------------------------------------------------------------------------------------------- RegDelete Borra entradas de registro Ejemplo: On Error Resume Next Set zonavirus = CreateObject("WScript.Shell" zonavirus.RegDelete "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun ejemplo" Borra la entrada de registro declarada, si no existe, omite el error y no hace nada. En este caso, la clave que inicia a nuestro ejemplo, haciendo que pierda la permanencia. --------------------------------------------------------------------------------------------------------------------- Lee una entrada de registro de Windows --------------------------------------------------------------------------------------------------------------------- RegRead Sirve para verificar los valores de una entrada de registro. Por ejemplo, el VBS puede saber leyendo una entrada de registro si se encuentra infectado la PC, y si no, proceder con la infecccion. La entrada de registro a leer debe de estrar dentro de parentesis y comillas... bueno a mi solo me funciona asi. Ejemplo: On Error Resume Next Set zonavirus = CreateObject("WScript.Shell" X = zonavirus.regRead ("HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionGEDZAC" If X = "1" Then MsgBox "Esta Pc esta infectada con el Worm.P2P.TorresGemelas" Else MsgBox "Esta Pc esta NO infectada con el Worm.P2P.TorresGemelas" End If Estas son las funciones mas importantes del objeto shell aunque también se pueden usar otras cosas como por ejemplo: zonavirus.Run "C:WINDOWSRUNDLL32.EXE user.exe,ExitWindows" 6 Objetos para situarnos También los objetos te puede servir para que te devuelva las carpetas mas importantes del sistema. Podemos obtener directorios de mis documentos,boton inicio etc.. con el objeto WScript.Shell: zonavirus.SpecialFolders("MyDocuments" zonavirus.SpecialFolders("SendTo" zonavirus.SpecialFolders("StartMenu" zonavirus.SpecialFolders("Startup" Con el objeto Scripting.FileSystemObject puedes: zonavirus.GetSpecialFolder (0) 'Obtener la dirección de la carpeta windows zonarvirus.GetSpecialFolder (1) 'Obener la dirección de la carpeta System zonavirus.GetSpecialFolder (2) 'Obtener la dirección de la carpeta temp Si nos queremos situar como se llama el script que esta ejecutando podemos poner Wscript.ScriptFullName sin definir objeto alguno. 8 Errores mas comunes entre vbs y vb: Pueden surgiros errores al transladar un script a visual basic tendríais. Wscript.ScriptFullName que se sustituiria por app.exename También cuando haceis algo del registro el comando tiene que estar todo en la misma linea si no el visual basic te da error. Estos son los mas comunes. 9 Despedida: Este tutorial ha sido hecho por kaguasanagui aunque algunas cosas han sido hechas por mi. Espero que hos sea util. P.S Si tengo algún error comentadmelo. Read more: http://foro.elhacker.net/analisis_y_diseno_de_malware/tutorial_de_visual_basic_script_paso_a_paso-t75028.0.html#ixzz12ATrfX8o

Tal vez existan muchos post que hablan sobre el recicler, pero no e visto alguno que explique que es lo que hace y como eliminarlo sin que reaparezca, asi que aqui la info. .. Pasemos a la revisión que hice y al análisis del dichoso virus RECYCLER, Este virus tiene las siguientes características: 1. Se propaga por medio de unidades de almacenamiento USB e infecta las computadoras creando una carpeta Recycler y dentro de ella otra carpeta con nombre S-1-5-21-1482476501-1644491937-682003330-1013 y dentro de esta carpeta crea un archivo Desktop.ini el cual contiene una línea: [.ShellClassInfo] CLSID={645FF040-5081-101B-9F08-00AA002F954E} que hace referencia a la carpeta de la Papelera de Reciclaje, de modo que cuando el usuario intenta ver que hay en el contenido de esa carpeta siempre se abre la Papelera de Reciclaje ocultando de este modo los verdaderos archivos del virus que son: ise.exe, isee.exe. Esta es una forma muy interesante de ocultarse pues tiende a hacer creer que estamos "limpios". 2. Una vez ejecutado el virus, se conecta a internet a la siguiente página: www.tassweq.com cuyo ip es 209.11.245.18. Por los paquetes en la transmisión me parece que fuera un servidor tipo servidor IRC al cual se conecta con un nombre de usuario al azar y con un password: trb123trb. Esto le permitía al atacante poder tomar el control de la computadora y envíar comandos diversos a la PC, es por eso que muchas de las víctima de este virus tienen problemas relacionados con cortes de internet, cuelgues inesperados, cerrado de ventanas, etc. 3. Su forma de autoejecutarse a cada inicio de Windows también. Si lo buscas en el MSCONFIG no lo encontrarás, lo que hace para autojecutarse es crear una entra en el registro en la siguiente ruta: HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components{08B0E5C0-4FCB-11CF-AAX5-90401C608512} StubPath = "C:RECYCLERS-1-5-21-1482476501-1644491937-682003330-1013ise.exe" 4. Crea un archivo autorun en todas la unidades ya sean físicas o removibles con el siguiente contenido: open=RECYCLERS-1-5-21-1482476501-1644491937-682003330-1013ise.exe icon=%SystemRoot%system32SHELL32.dll,4 action=Open folder to view files shellopen=Open shellopencommand=RECYCLERS-1-5-21-1482476501-1644491937-682003330-1013ise.exe shellopendefault=1 5. Para evitar su detección por medio del administrador de tareas y anulación de su procesos, inyecta su proceso al explorer.exe. Eliminación manual: 1. Abrir una consola de comandos (cmd.exe) 2. Finalizar el proceso del explorador (explorer.exe): taskkill /f /im explorer.exe 3. Tipear: cd Recycler 4. Quitar los atributos de la carpeta S-1-5-21-1482476501-1644491937-682003330-1013 con el comando: attrib -h -r -s S-1-5-21-1482476501-1644491937-682003330-1013 5. Renombrar la carpeta, una forma bien simple de arruinarle los planes a este virus: ren S-1-5-21-1482476501-1644491937-682003330-1013 aaaaaa 6. Abrir el explorador de windows tipeando en la consola: explorer.exe. 7. Ir a la carpeta Recycler y veremos nuestra carpeta llamada aaaaaa . Accedemos a la carpeta y veremos el contenido: ise.exe, isee.exe y desktop.ini. Procedemos a eliminar esos archivos y limpiamos la ruta del registro mencionada arriba. Se Procedio hacer un script que automatice el proceso. Para los que no quieren hacerlo manual con este script lo ejecutan y listo Archivo matavirus Scrip Nota: El matavirus Recycler lo he probado en 16 máquinas infectadas y en todas ha limpiado la infección, en algunos casos la carpeta Recycler no se ha eliminado, pero esto no significa que el equipo siga infectado. El mataRecycler limpia la infección. Si deseas puedes borrar manualmente ya las carpetas Recycler de C y tus memorias USB. Tambien el Kasperky 2009 Lo elimina