Paté de APIs

[Nost]

Quien se haya reído con el título se merece un meco.

Bueh, estoy haciendo un virus basándome en el brontok.a y entre sus acciones puteantes están:

-Ocultar archivos ocultos (mmm)
-Ocultar extensiones
-Quitar las Opciones de carpeta

El problema es que no sé a qué api he de llamar (o qué debo hacer) para que explorer.exe actualice automáticamente todo, es decir, que no haya que reiniciar el equipo para que estas acciones se lleven a cabo.

Sé cuáles son las claves del registro necesarias, pero una vez cambiadas, no pasa nada hasta que no reinicio el equipo.

He visto que el brontok.a hace algo parecido, cuando ejecuto el programa con el virus, parpadean las carpetas abiertas (como si hubiera pulsado F5) y se realizan esas 3 acciones automáticamente. Pero yo no sé como hacerlo.

Mi otra pregunta es vergonzosa: ¿como puedo saber si un archivo existe o no? Creo que es con Dir( ) pero no estoy seguro.

Evidentemente, hablo de Visual Basic.

Saludos

[hystd]

Hola buenas! he de suponer que tu aplicación ya consigue modificar los valores de registro correspondientes para realizar esas 3 tareas ¿no? Si no, la propia API contiene funciones para acceder a él, y "crear", "abrir", "modificar", "consultar", "borrar", etc... las claves y valores.

El problema es que no sé a qué api he de llamar (o qué debo hacer) para que explorer.exe actualice automáticamente todo, es decir, que no haya que reiniciar el equipo para que estas acciones se lleven a cabo.

Puedes monitorizar las claves que accedes, y cuando se hayan modificado, entonces tu aplicación detecta los cambios y realiza la actualización (algo parecido a lo que hace la tan famosa aplicación RegMon, para ver qué claves han sido modificadas, y qué programa lo ha hecho). Puedes usar algunas funciones de advapi32.dll para ello.

Otra opción, como bien dices:

He visto que el brontok.a hace algo parecido, cuando ejecuto el programa con el virus, parpadean las carpetas abiertas (como si hubiera pulsado F5) y se realizan esas 3 acciones automáticamente. Pero yo no sé como hacerlo.

Es pulsando F5. Para ello puedes simular la pulsación virtualmente con keyb_event de user32.dll por ejemplo. Pero recuerda que debes "pulsar y soltar". Ya comenté ésta en otros posts, y si no en la e-zine 2 cuando sea publicada.

En cuanto a:

Mi otra pregunta es vergonzosa: ¿como puedo saber si un archivo existe o no? Creo que es con Dir( ) pero no estoy seguro.

No es para nada vergonzosa, algo tan trivial como eso, es un poco engorroso de programar, no obstante dispones de una función FindFirstFile, que recibe dos parámetros, el primero contiene la cadena con la ruta del fichero a comprobar, y el segundo es de entrada-salida, y sirve para almacenar la información referida al fichero (si existe), como por ejemplo: "tamaño, fecha de creación, modificación, atributos, etc...

Esta función está contenida en Kernell32.dll de nombre "FindFirstFileA", y devuelve el Handle del fichero, si existe, y si no, devuelve -1.

Espero haberte ayudado en la creación de tu virus, no obstante si yo realizara un malware, intentaría implementar unos métodos más elegantes y mas duros de romper que unos simples accesos al registro. Y siempre con algún fin que no sea fastidiar al pobre usuario ocultándole ficheros o quitándole opciones de carpeta jajaja. Es más, me interesaría que pasara totalmente desapercibido para realizar mi cometido jejjee.

Un saludo.

[Nost]

Espero haberte ayudado en la creación de tu virus, no obstante si yo realizara un malware, intentaría implementar unos métodos más elegantes y mas duros de romper que unos simples accesos al registro. Y siempre con algún fin que no sea fastidiar al pobre usuario ocultándole ficheros o quitándole opciones de carpeta jajaja. Es más, me interesaría que pasara totalmente desapercibido para realizar mi cometido jejjee.

Yo siempre que hago un programa es ejercicio de programación, da igual de qué sea. Si miras las acciones "malévolas" del brontok.a, te darás cuenta de que tampoco es para tanto. Yo solo quiero putear a mis usuarios.

Fijate que virus más cabrón se me ha ocurrido: busca por todas las carpetas, ficheros del disco duro y si encuentra algo con la palabra que yo busque, crea un acceso directo en el escritorio. Imagínate, que la palabra que yo busco es "porn", normalmente la gente tiene esas cosas ocultas y sería un puteo ver como descontroladamente todos tus escondites se ven revelados

Y en cuanto a mi pregunta principal, no me la has resuelto. Verás, es que pulsar F5 no es suficiente. Como sabrás, cada cierto periodo de tiempo (vamos a poner, 5 minutos) el explorer.exe hace un barrido de las claves del registro para ver que hay por ahí. Entonces también se aplican los cambios, sin embargo, pulsando F5 ni tan si quiera se ocultan los archivos ocultos, ni las extensiones.

Tengo el archivo de ayuda de las API (descargado de MS) y ninguna de las que usa Brontok parece sospechosa, ninguna de ellas parece ser posible usarlas para ese fin

Por cierto, ¿sabes qué API se usa para crear accesos directos?

Más info del Brontok.A: http://www.avira.com/es/threats/section/fulldetails/id_vir/2634/worm_brontok.a.html
(por cierto, tiene un error, no está escrito en C++, ni empaquetado)
En mi propio virus, no voy a incluir ninguna opción de internet, al menos hasta que no sepa hacerlo , de todas formas, estoy copiando todo, absolutamente TODO. Una pena que no tenga el código fuente del virus

Ah, y el RegMon yo ya lo tengo, y el APIMon, y el FileMon, y el Mortadelo (chiste de mal gusto)

[j8k6f4v9j]

Has probado el rom-P-ETECH2.17(OS-5.3) ???


Salu2

Keep on Rollin'

[Nost]

Iba a responder así:

Has probado el rom-P-ETECH2.17(OS-5.3) ???


Salu2

¿?

Pero como Francisco Ibáñez me cae bien (al contrario que tú (que es broma (aunque no te lo creas))) no lo pienso hacer. Además, lo acabo de pillar. Ah, no, se me ha escapado.

[hystd]

Buenas!

como sabrás, cada cierto periodo de tiempo (vamos a poner, 5 minutos) el explorer.exe hace un barrido de las claves del registro para ver que hay por ahí

No es la filosofía...los cambios deben aplicarse justo cuando una clave ha sido accedida. Si no te funcionó lo del F5, puedes monitorizar las claves del registro y ver cuando son modificadas..."ver cuando una clave de registro ha sido modificada/creada/borrada" para ello usa las funciones advapi32.dll, o simplemente cuando tu aplicación acceda al registro y haga los cambios necesarios, entonces, una vez hayas hecho una de estas dos opciones, puedes hacer algo tan sencillo como cerrar "explorer.exe" desde tu aplicación y relanzarlo desde ella... eso te aseguro que funcionará

Para ésto ultimo, en la e-zine 2 está explicado, puedes usar las funciones: FindWindow, SendMessage, y para relanzarlo ShellExecute contenida en shell32.dll.

Ah, y el RegMon yo ya lo tengo, y el APIMon, y el FileMon, y el Mortadelo (chiste de mal gusto)

jejeje, bien que tengas estas aplicaciones, sólo dije que el regmonitor funciona así, monitorizando las claves del registro que son accedidas.

Un saludo.

[welcome]

Fijate que virus más cabrón se me ha ocurrido: busca por todas las carpetas, ficheros del disco duro y si encuentra algo con la palabra que yo busque, crea un acceso directo en el escritorio. Imagínate, que la palabra que yo busco es "porn", normalmente la gente tiene esas cosas ocultas y sería un puteo ver como descontroladamente todos tus escondites se ven revelados

tú te crees que la gente es tan estúpida como para guardar las películas de putas en una carpeta bajo ese nombre?....eso sería como llamar asesitano a la carpeta donde guardas el video en el que descuartizas a tu suegra

ni en mil años sabrías como llamo yo a esas carpetas

saludos

[j8k6f4v9j]

¿Y si hace una búsqueda por tipo de archivo y tamaño? ¿No crees que buscando archivos de tipo avi, wmv, mpeg, mpg de más de 80 megas aparecerían todos esos vídeos?

Salu2

Keep on Rollin'

[welcome]

mi contestación se refiere exclusivamente al tipo de virus que el crearía ( apartir de un nombre )

en relación a lo que tú dices por supuesto que de algunos ordenadores ese virus desenterraría esos archivos (sobre todo de los "pobres" y confiados usuarios como alguien ha dicho en este hilo)...pero yo pienso que un secreto lo guarda quien realmente tiene un secreto que guardar, yo mismo tengo archivos privados de un determinado número de megas (divididos), encriptados, y en un disco duro externo

[j8k6f4v9j]

Sin duda no sería ese tipo de archivos el objetivo de alguien aficionado a hacer virus no especializados para masas

Salu2

Keep on Rollin'

[clarinetista]

Oye, oye puedes borrar todos mp3 que empiezen por "britney" y acaben por "Spears".
Si es por una buena causa colaboro en el proyecto .

PD: welcome, ¿conoces mucha gente que haga eso?Yo creo que no hay demasiada

[hystd]

jajaja, yo tb me apunto. xD

Sin duda el trabajo de Nost es como él bien dice "ejercicio de programación".

No cabe pensar que hacer esas acciones sea "putear a la gente". Como una broma tal vez...

jajaja, y en cuanto a lo de buscar porno por el disco duro... encontrarías más si echaras un vistazo directamente al directorio temporal de internet, ya que si visitas páginas guarrillas pues... jejeje.

Estoy totalmente de acuerdo con j8, si yo me dispusiera a crear uno, lo haría con algún fin, para conseguir algo (información), y nunca con propósito de fastidiar a los usuarios, (si es algo personal, pues a lo mejor se puede pensar la idea ¿no?, pero en principio no) y mucho menos ser detectado, así conseguiría un mayor número de víctimas (recaudando más información).

Un saludo

[j8k6f4v9j]

He borrado lo que sigue porque en lugar de agradecimientos hay réplicas de flame.

Salu2

[hystd]

jajaja, los flames y los flameadores son divertidos... xD

Un saludo