Mitosis

(C) MITOSIS #2 E-Zine/GEDZAC 2004 Tema : Como Hacer que Nuestro Virus no se Pueda Finalizar Autor : Morusa Válido para : Microsoft Visual Basic 6.0 Bueno, Como ustedes saben y si no lo saben ahora sí, se puede hacer que un exe no se pueda finalizar de tal manera que el usuario infectado no pueda cerrarlo a menos que utilize una herramienta que lo haga exepto el Administrador de tareas (CTRL+ALT+SUPR o CTRL+ALT+ESC en Xp). Una forma es en W98,95,Me que es la de deshabilitar el CTRL+ALT +SUPR por medio de la famosa API: 'Modulo '****************************************************** Private Declare Function desactivarctrlaltsupr Lib "u...

(C) MITOSIS #2 E-Zine/GEDZAC 2004 Tema : Terminar procesos de Antivirus Autor : MachineDramon Válido para : Microsoft Visual Basic 6.0 No soy un experto en esto de los procesos, pero vamos a ver que sale, disculpad las impresiciones que ubiera. La idea es listar los procesos en ejecucion, y si encontramos alguno que corresponda a una lista predefinida de avs lo terminamos y eliminamos el archivo de ese proceso. Recomendado complementar con el articulo de mitosis 1: "Como tratar de evitar los Scan de antivirus OnLine" 1)En Win9x / WinME: -------------------- 'Declaramos estas apis, typos y constantes Private Declare Sub Sleep Lib ...

(C) MITOSIS #2 E-Zine/GEDZAC 2004 Tema : Tecnicas Simples Antidebugging Autor : MachineDramon Válido para : Microsoft Visual Basic 6.0 Las tecnicas para detectar un debugger que se expondran aqui, son simples y no detendran a alguien experimentado por mucho tiempo, pero siempre es mejor que un virus tenga antidebugging. Para tecnicas mas avanzadas consultar el articulo escrito por Jtag y ErGrone en mitosis 1 sobre antidebug en asm. 5 Cosejos: ----------- 1: Al crear el sub con las instrucciones anti-debug hay que ponerle un nombre que no despierte sospechas, pos si hace un desensamblado y ve "sub anti-debug()", ya lo descubrio, poner...

(C) MITOSIS #2 E-Zine/GEDZAC 2004 Tema : TCP WORM COMUNICATION SYSTEM Autor : Byt3Cr0w Válido para : Delphi (probado en Delphi 6) puede ser adaptado a otros lenguajes Buenasss, bueno aqui lo que voy a tratar de explicar es un metodo sencillo pero efectivo que yo llamo orgullosamente TCP WORM COMUNICATION SYSTEM.... ¿por que el nombre? bueno pues eso es lo que voy a explicar a continuacion... TEORIA ------ Mi teoria consiste en que un worm (dropper) genere al ejecutarse un componente ejecutable, llamemoslo TWCS.exe.... la idea es que este componente abra algun puerto TCP en otras palabras este componente es un server y un cliente el c...

(C) MITOSIS #2 E-Zine/GEDZAC 2004 Tema : Sockets Autor : Nemlim Válido para : Visual Basic 6 y VBS Un socket es una representación abstracta del extremo en un proceso de comunica- ción. Es un punto de acceso que una aplicación puede crear para acceder a los servicios de comunicación que ofrecen las pilas de protocolos. Para que se dé la comunicación en una red, el programa requiere un socket en cada extremo del proceso de comunicación. Trataré de explicar todo lo mejor posible, pero puede que algo se me escape. Así que no se queden en la lona y busquen más info en Internet. ------------------------------- Sockets en Visual Basic: ---...

(C) MITOSIS #2 E-Zine/GEDZAC 2004 Tema : Propagación por Mirc Autor : MachineDramon Válido para : Mirc Scripting En este articulo se explicara la forma de hacer un script para mirc que ademas de propagar el virus, se comporte como un Troyano-Backdoor de IRC muy basico, y un Bot de IRC, para localizar al infectado cuando se conecte. Bibliografia Basica: Los archivos de ayuda que vienen con el mirc. Antes de empezar, varias partes de este script fueron estudiadas y modificadas de SHS/Life Stages, VBS/Ircintro, VBS/KarmaHotel (Saludos a sus autores) ;Troyano--------------------------------------------------------------------...

(C) MITOSIS #2 E-Zine/GEDZAC 2004 Tema : Programacion de Troyanos Autor : Nemlim Válido para : Visual Basic 6 Introducción: ¯¯¯¯¯¯¯¯¯¯¯¯¯ En este pequeño tutorial aprenderás a construir troyanos en Visual Basic 6. Necesitas tener conocimientos básicos de Visual y de las funciones del control Winsock. Antes que todo voy a dar info teórica de lo que es un troyano, por si las moscas: Un troyano (caballo de troya) es una herramienta de administración remota. Permite hacer uso de las funciones del sistema en donde se ejecute de forma remota. Consta de dos programas: El "SERVIDOR" (es el que ejecutaremos no- sotros,con el cual administrare...

(C) MITOSIS #2 E-Zine/GEDZAC 2004 Tema : Problemas de reproducción en Redes P2P con Visual Basic Autor : Falckon Válido para : Visual Basic 6 Fecha : 18/8/03 Para la Mitosis E-zine GEDZAC #2 --------------------------------------------------------------------------------- De seguro muchos han hecho gusanos P2P, infectores etc., en Visual Basic pero su gusano nunca puede vivir dentro de la red p2p, esto se debe a las propiedades del ejecutable, ya que hace tiempo al ver que mis bichos no podían sobrevivir me di a la tarea de investigar el por qué. Ahora creo ya tener la respuesta, si compilamos un exe en Delphi y lo nombramos ...

(C) MITOSIS #2 E-Zine/GEDZAC 2004 Tema : Polimorfismo en Visual Basic: El arte de interpretar... Autor : (\)emli(Y) Válido para : Microsoft Visual Basic 6 Como todos ya saben, el polimorfismo y el Visual Basic no se llevan de la mano. Podemos hacer virus polimorficos en vbs, pero ¿Por que no en Visual Basic? La respuesta a esta pregunta es muy facil. Lástima que yo no la conozca ;) La razon de que en el vbs se puedan usar metodos polimorficos es porque el vbs es solo un script. El programa que verdaderamente hace el trabajo es el wscript.exe ubicado en la carpeta de windows. Este lee y ejecuta las órdenes que aparezcan en ese script....

(C) MITOSIS #2 E-Zine/GEDZAC 2004 Tema : Una forma de obtener el offset de un icono dentro de un PE Autor : Pr0t0z00 Válido para : Windows (Archivos Portables ejecutables) --------------------------------------------------------------------------------- Muy bien, en este articulo tratare de explicar como obtener el icono un PE a código limpio. Pues bueno, primero que todo necesitaremos el TASM 5.0 pero antes de empezar con el código veremos los pasos para lograr nuestra meta: 1- Obtener la .rsrc 2- Obtener el campo PointerToRawData que indica el desplazamiento dentro del archivo donde comienza la sección de recursos, este campo esta ...