Copy Link
Add to Bookmark
Report
Gedzac Mitosis Ezine Issue 01 011
(C) MITOSIS #1 E-Zine/GEDZAC 2002
Tema : Scripts VBS indetectables, adiós al ScriptBlocking y la heurística
Autor : Kuasanagui
Válido para : VBS y Visual Basic 6.0
--------------------------------------------------------------------------------------------
La facilidad que ofrece el lenguaje Visual Basic Script (VBS) generó la salida de manera exponencial de miles de worms y virus programados en este lenguaje diseñado por Microsoft. El problema se desató con la aparición del famoso VBS\Loveletter, este VBS fácilmente editable en cualquier editor de textos provocó una gran cantidad de variantes, que eran indetectables por los antivirus. Las cosas se pusieron mejor cuando escritores expertos en VBS crearon programas generadores de VBS. Con ésto cualquier persona sin ningún tipo de conocimiento de programación generaba virus VBS.
Ésto generó una alarma generalizada en las compañías antivirus, que buscaron una solución al problema que se les venia encima. La mayoria de los productos antivirus actualizaron y mejoraron su heurística y crearon componentes llamados ScriptBlocking, que detienen casi en su totalidad los comandos VBS, provocando que los VBS quedaran estancados en la escena virica, relegándolos a simples virus genéricos sin identidad propia... RIP.
Existen varios métodos para tratar de hacer pasar desapercibidos los VBS, el más común es la encriptación. Pero ésto solo funciona si el antivirus sólo busca los virus por métodos heurísticos. Lo malo de ésto es que una vez descubierto el método de encriptación, queda inútil su uso en otros VBS. Y estos métodos no funcionan si el antivirus usa componentes que bloquean los script VBS, independientemente que sea un VBS maligno o uno creado por el mismo usuario. Es decir, el antivirus detiene todo lo que sea VBS y chilla avisándole al usuario que una rutina VBS se esta ejecutando.
El método que describo para burlar la heurística y los ScriptBlocking de los productos antivirus en muy sencillo y no muy explotado en su actualidad, pero que les ocasionaría un buen dolor de cabeza a los mejores productos antivirus.
Se conoce de sobra la amplia compatibilidad que existe en los productos de Microsoft y eso es lo mejor de todo ésto. =)
¡El lenguaje VBS y el Visual Basic 6.0 son compatibles!
Por algo los dos son Visual Basic.... pero esta compatibilidad es programando en Visual Basic 6.0, incluyendo comandos VBS. Pero no Programando VBS e incluir codigos de Visual Basic 6.0.
Ésto hace que la programación VBS y los virus VBS ya detectados vuelvan a ser indetectables, saliendo de su tumba y causando más estragos por más tiempo.
Veamos unos ejemplos:
"el archivo GEDZAC.VBS que crea una copia de si mismo en la unidad A:"
'---------------------------------------------------------------------------
On Error Resume Next
Set gedzac = CreateObject("scripting.filesystemobject")
Do
i = i + 1
If i = 90000 Then
gedzac.copyfile ".\gedzac.vbs", "a:\gedzac.vbs"
i = 0
end if
Loop
'---------------------------------------------------------------------------
Si escaneamos nuestro VBS, no detectaría nada el antivirus en turno, en la mayoria de los casos.
Pero si este código es ejecutado en una PC que tenga un antivirus con ScriptBlocking como el Norton 2002 sería detenido y le alertará de la ejecución de un posible código maligno, quitando el elemento sorpresa del worm. :(
También podría ser detectado por la heurística de el motor de escaneo en tiempo real, enviando la alerta de que se ha ejecutado un VBS genérico. Destruyendo de nueva cuenta todo intento de pasar inadvertido. :(
Aqui es donde entra en ayuda el Visual Basic 6.0.
Visual Basic 6.0 es un programa muy poderoso para crear aplicaciones, y que nos puede ayudar a que nuestros VBS no sean detectables por los antivirus.
No es necesario saber casi nada de Visual Basic, sólo necesitas tener un poco de imaginación y saber crear un EXE.
*Abramos el Visual Basic 6.0
*El nuevo proyecto a crear será un EXE estandar, esto creará un Formulario
*Veamos el código del formulario
*escribamos en la primera línea lo siguiente:
Private Sub Form_Load()
End Sub
Estos comandos son los que hacen que se ejecute un codigo al principio de nuestro programa, en este caso es nuestro VBS.
Dentro de estos comandos peguemos el código VBS que puse anteriormente realizando las modificaciones pertinentes para que se copie como EXE y eso quedaría asi:
'---------------------------------------------------------------------------
Private Sub Form_Load()
On Error Resume Next
Set gedzac = CreateObject("scripting.filesystemobject")
Do
i = i + 1
If i = 90000 Then
gedzac.copyfile ".\gedzac.exe", "a:\gedzac.exe"
i = 0
end if
Loop
End Sub
'---------------------------------------------------------------------------
*Ahora vayamos al menú superior de Visual Basic y demos click en "Proyecto" y en el menú desplegado, demos click en "propiedades de proyecto" y verifiquemos que el objeto inicial es el formulario donde grabamos nuestro VBS.
*Generemos el gedzac.exe (si no hay errores todo saldrá bien)
Ahora, nuestro VBS es extensión EXE. =P, sin necesidad de saber nada de Visual Basic 6.0
Escaneamos el EXE con el antivirus en turno y todo normal, nada extraño.
Pero si este EXE si es ejecutado en una PC que tenga un antivirus con ScriptBlocking como el Norton 2002 no se daria cuenta de los comandos VBS que usamos y no alertará al usuario de la existencia de nuestra criatura, dejando al usuario a nuestra merced. =)
También la heurística de el motor de escaneo en tiempo real, del antivirus se iria por la alcantarilla, dejando pasar nuestro código maligno y permitiendole todas las acciones que deseemos realizar en la pc. Otra víctima más. =P
Bueno, eso es todo lo necesario para mandar a dormir los antivirus por un buen tiempo.
***********************************************
Notas Finales:
*Aclaro que el 1 % de los comandos VBS no son compatibles con Visual Basic. Pero sólo basta buscar el equivalente en Visual Basic.
*También es necesario que el archivo Msvbvm60.dll exista en la PC a infectar, pero ésto no lo consideres un impedimento ya que el 90 % de las PCs tienen instalados programas que usan esa librería y no he encontrado en mis pruebas una PC sin ésta.
*Busca en la carpeta que descomprimiste el E-zine el archivo "ANTISCRIPTVBS.ZIP", en este Zip podras encontrar el VBS que use en este ejemplo, al igual que el proyecto de Visual Basic y el EXE generado, para facilitar la comprensión de este articulo.
***********************************************
(C) MITOSIS E-Zine/GEDZAC 2002
