martes, 4 de enero de 2011

El malware a la basura (Método Papelera)

Hace un tiempo que redacté por internet un documento similar, pero el método sigue estando a la orden del día para los desarrolladores de malware, pues el uso llega viniendo desde las versiones más antiguas de Windows hasta el actual Windows 7, sin más rodeos os la dejo aquí para deleite de aquellos que no les llegó aunque un poco más actualizado.

Windows utiliza su papelera para ocultar dos archivos, uno de ellos y el más esencial para nuestro trabajo llamado Desktop.ini. Este archivo sin un contenido no serviría de nada, así que para llevar a cabo su funcionamiento deberemos de escribir un parámetro que se facilitará a continuación.  Seguidamente solo nos quedaría aplicar a la carpeta que lo contiene, los atributos de sistema y oculto. De esta manera conseguiremos hacer invisible cualquier archivo alojado en ella, pudiendo ser llamado desde línea de comando a cualquier ejecutable que esta contenga.

Primero crearemos una carpeta donde queramos esconder nuestro ejecutable, para mi ejemplo la llamaré Prueba.

Creamos un archivo dentro de esa carpeta llamado desktop.ini, con el siguiente texto y
guardaremos dentro de la carpeta la calculadora calc.exe para ser unos buenazos.
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}



Le agregamos atributos desde la Shell por hacerlo más rápido y bonito.
attrib +s +h "Prueba\*.*"
attrib +s +h "Prueba"



Si hacemos un DIR en la carpeta como muestra la anterior imagen, nos la mostrará vacía, ya que habremos creado una papelera de reciclaje real en cualquier parte de nuestro disco y ni vaciando la papelera, su contenido desaparecerá. Ya tenemos nuestra bomba preparada para ser explotada.


Con START haremos la llamada a calc.exe.
start prueba/calc.exe




Sobra decir que la papelera nos ayuda a crear el Rootkit de aplicación ante los ojos del Explorer y cmd, más facilón de la historia, pero obviamente a los ojos de un antivirus no pasará por alto si el ejecutable contiene firmas.

Saludos 4n4les!

5 comentarios:

  1. que bueno! ya me lo sabia jeje. Sigue así maquina, me encanta el blog, por eso lo tengo en la barra de marcadores =P

    un saludo!

    ResponderEliminar
  2. Seguro que a más de un indetectable se le escapan los bichos de la papelera.

    Saludos y gracias hermano!

    ResponderEliminar
  3. Muy interesante, buen aporte! :D

    Para gran parte de los usuarios pasaría inadvertido.

    Un saludo!

    ResponderEliminar
  4. Gracias Pablo, espero que siga tan bien o mejor ese Flu! ^^

    Saludos!

    ResponderEliminar
  5. Viejo truco, pero actual y funcional

    ResponderEliminar