. Con la tecnología de Blogger.

jueves, 25 de febrero de 2010

Infeccion P2P

Buenas ?¿
En mis comienzos y en el intento de querer programar algo que esta dentro de lo normal como un worm que hiciera cosas simples como autopropagarse por Lan , Chats , Mensajerias  y P2P (Peer To Peer)..
cometia , y varias personas mas , cometiamos errores al querer hacer una propagacion por p2p utilizando lso programas de intercambio mas usado... el error era el siguiente..
Los programas de interambio por ejemplo Ares ,Emule , Kazza (me voy a centrar en el Ares)...
Tienen una carpeta por defecto donde se descargan los archivos , al descargar un archivo a esa carpeta
este archivo automaticamente se esta compartiendo , osea que si quisieramos compartir algun archivo solo es cuestion de copiarlo en la carpeta de descargas del software...
Por ejemplo..
El ares, su carpeta por defecto es:
"C:\Documents and Settings\USUARIO\Configuración local\Datos de programa\Ares\My Shared Folder"
Kazza lite :
"C:\Archivos de programa\KaZaA\My Shared Folder"
y asi con otros mas , como emule y otros....

Bueno , todos sabemos que podemos cambiar el destino de las descargas , y asi es mas comodo poder buscar los archivos descargados (cosa que debemos hacer el 80% de los usuarios)..
Resumiendo.. si la carpeta el usuario la cambio , con esos codigos mal echos vamos a lograr la propagacion p2p el dia del arquero.. capitchi ? xd

Ahora les wa a mostrar algo peolah ?¿?¿
Las rutas las podemos encontrar en el regedit de windows , cosa que muchos no saben , no pensaron , o ni se imaginaron , o sabian y se hacian los pelotudos para pasarla bien ;D

en la ruta
HKEY_CURRENT_USER\Software\Ares
podemos encontrar lo siguiente...
la clave Download.Folder con un valor numerico ?

ese valor numero.. obviamente nos dice algo.. es la ruta de carpeta de descargas que el usuario asigno 
obviamente esta codificada en hexadecimal.. lo cual podemos desencriptar facilmente 

traductor
bueno.. como veran , podemos ver que la cadena decodificada a texto plano es "D:\descargas2"
esa es la carpeta que yo asigne para la descaga de archivos.. 

ahora... teniendo la carpeta de descargas , ya se halla seleccionado manualmente o como default sabemos como entrarla , solo tendriamos que obtener el valor de la clave , decodificarla , y usarla para copiar nuestro worm con el nombre "muy_putas.exe"
this is it ?¿?¿ saludos :P

Publicado por Darioxhcx en 23:04

Etiquetas:

0 comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)