/*-----------------------------------------------------------------------*/
/* R I N G 0, I S S U E # 1 */
/*-----------------------------------------------------------------------*/
BAT - NONSTOP
by Eddi Merfi
Вот оно! Пик моего знания в батах. Полный анализ.
Особенности: Arj Crypt, Polymorphic, Rnd!
Сам файл представляет собой Arj архив. При запуске делает unpack
самого себя, тем самым создает около 6-8 файлов. Внедряется в win.ini и
прописывает строчку run=%windir%\blabla.bat (Файл с RND именем).
Это еще не все, вирус записывает свою копию win.com файла в windows
(Виндосовский же win.com предварительно копируется в файл system32.exe)
Но и это еще не все, он записыавает себя в файл dosstart.bat.
Прошу заметить, что инфицируемый вайл win.com имеет длину всего
лишь 1,5кб, а настоящий win.com (в версиях Windows 98) имеет длину 25
килобайт.
Так вот, вирус создает мусор на 24 килобайта и прибавляет к
инфицируемуму. Тем самым (В версиях 98 Инф.файл и win.com по длине
одинаковы) делает западло юзеру. Затем обратно пакует самого себя со
случайным паролем и некоторыми файлами, причем длина файла вируса каждый
раз меняется. Вирус тестировался и проверялся, работал отлично. Ну
естественно он анализирует состояние его файлов и строчки в win.ini и
если чего то не хватает, то дополняет.
Вирус в основном писался как показательный или как платформа для
прикрытия остальных вирусов, тоесть я хотел максимально выжить на что
способен бат вирус.
В файле ¦У¦.bat вы можете сделать свои вставки, или вирусы. Также в
нем предусмотрена функция мнгновенного удаления файлов, нужно лишь
набрать пароль, те кто хорошо разбирается в батах, могут найти его.
pack.bat этим файлом можете скомпилить вир в божеский вид, при этом у
вас должна быть установлена PATH к ARJ архиватору. tmpdelis.bat антивир
к нему.
¦$¦.pif для того, чтобы наш вир в системе небыло видно.
Вобщем тут все запутано.
[не то слово! тут вообще с первого раза нихрена не понятно ;) -
прим. ред. см. прилагаемые к статье файлы - нам понравилось]
Не люблю я слишком простого....