中国DOS联盟

-- 联合DOS 推动DOS 发展DOS --

联盟域名：www.cn-dos.net 论坛域名：www.cn-dos.net/forum
DOS，代表着自由开放与发展，我们努力起来，学习FreeDOS和Linux的自由开放与GNU精神，共同创造和发展美好的自由与GNU GPL世界吧！

游客: 注册 | 登录 | 命令行 | 会员 | 搜索 | 上传 | 帮助 »

中国DOS联盟论坛 » DOS批处理 & 脚本技术（批处理室） » 关于一个autorun病毒

a794685135
初级用户

积分 71
发帖 34
注册 2007-12-20
状态离线

『楼主』: 关于一个autorun病毒

今日在网吧下歌，为了一首很难找的歌进了个乱七八糟的网站

当时没什么发现，后来在盘里面发现了一个autorun病毒，于是写了个P杀掉

@echo off

for %%i in (c d e f g) do (

taskkill /f /im woKuto.exe /im PlayrKM.exe /im vonine.exe

attrib -S -H -R %%i:\woKuto.exe

attrib -S -H -R %%i:\PlayrKM.exe

del /q /s %%i:\woKuto.exe

del /q /s %%i:\PlayrKM.exe

attrib -S -H -R %%i:\MSDOS.bat

echo >%%i:\MSDOS.bat

attrib +S +H +R %%i:\MSDOS.bat

attrib -S -H -R %%i:\autorun.inf

mkdir %%i:\autorun.inf

attrib +S +H +R %%i:\autorun.inf)

完了之后以为什么都没了，结果病毒中的那个MSDOS.bat老是自动回复原来状态
可疑的进程都被我结了 ,

由于那个bat被加密了, 看不到里面写的是什么,传上来问问大家

(另请问下, 为什么我新建的autorun.inf是个文件而不是文件夹?)

http://upload.cn-dos.net/img/953.rar

2008-10-16 23:24

lserfn
初级用户

积分 97
发帖 49
注册 2008-9-24
状态离线

『第 2 楼』:

我知道这种msdos.bat病毒不能像你这样就能杀掉的...
你这样杀掉盘符下的毒... 系统文件也有被感染的.

(另请问下, 为什么我新建的autorun.inf是个文件而不是文件夹?)
你的p里面没有删除原来的autorun.inf 是不是你把原来的看作是你新建的?

2008-10-17 00:06

HAT
版主

积分 9023
发帖 5017
注册 2007-5-31
状态离线

『第 3 楼』:

MSDOS.bat被加过壳：
WinUpack 0.39 final -> By Dwing

脱壳以后可以看到部分批处理代码，大概实现以下几个功能：
删除QQ医生
从http://444.er18.com网站下在病毒
增加双击盘符AutoRun的病毒执行方式
把MSDOS.bat关联（插入？伪装？）到几个系统进程
干掉杀软：金山毒霸、江民、卡巴等

水平所限，我能看到的只有这么多了，期待高人出现。
顺便建议楼主到看雪论坛，请专业人士帮忙。

2008-10-17 00:59

请注意：您目前尚未注册或登录，请您注册或登录以使用论坛的各项功能，例如发表和回复帖子等。

可打印版本 | 推荐给朋友 | 订阅主题 | 收藏主题

论坛跳转: