标题: 机器狗和IGM免疫补丁失效怎么办(比如三联).... [打印本页]

---

作者: fanqiang     时间: 2007-11-9 09:41    标题: 机器狗和IGM免疫补丁失效怎么办(比如三联)....

就是利用WINDOWS系统本身的漏洞，建立一个非法文件夹，原理如下：

    这个我想就不用多解释了吧,大家应该都知道吧


原来的免疫补丁只是建立同名病毒空文件夹，再加隐藏/系统/只读属性，最后加权限，千篇一律！怪不得最近碰到机器狗变种也用批处理对付这些免疫文件夹...

    既然我们可以想到的，病毒作者肯定也能想得到，破掉免疫对他们来说,小KISS了！这也就怪(我想.以大家的水平,也应该可以)

   那就是在空文件夹的基础上，再到里面建立一个非法文件夹，这文件夹名字是可以任意的，只是利用了WINDOWS本身的漏洞而已，是删不掉的，除非你本人知道这文件夹的全名，在CMD里用RD命令才能删掉！所以，那病毒作者是再也不能取消免疫文件夹了，也就不能重新将病毒文件再放进来！

   下边的是我找的 ,我不是原创,只是把人家的好东西结合了一下
   disable.ini
  (下面病毒名字)
  logo.txt
  (里面病毒路径)
  先杀.bat(重点)
(
@set dbg=
@echo %dbg% off&&setlocal EnableDelayedExpansion
::code by qasa copyright@qknet 1:00 2007-1-23
mode con cols=45 lines=20&color c
set no_=0
set ko_=0
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun /f >nul 2>nul
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v "DisallowRun" /t REG_DWORD /d 1 /f >nul 2>nul
echo 正在检查进程中是否有可疑文件运行......
for /f "delims=" %%e in (disable.ini) do (
    tasklist|find /i "%%e"&&echo 发现可疑进程 %%e
    taskkill /f /im %%e>nul 2>>nul&&echo 已经结束可疑进程 %%e
    )
免疫文件.bat

(
for /f "delims=" %%i in (disable.ini) do (
if %%i neq setup.exe (reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun /v !no_! /d %%i /f >nul)
set /a no_+=1
)
echo.&echo 有 !no_! 个怀疑病毒文件被列入禁止运行表。
echo.&echo 正在创建病毒免疫文件......
for /f "delims=" %%p in (logo.txt) do (
if exist %%p (
cacls %%p /e /t /p everyone:F >nul 2>nul
attrib -r -s -h -a %%p >nul 2>nul
del /q %%p >nul 2>nul
rd /q %%p>nul
)
md %%p&attrib -s -r -h -a %%p >nul 2>nul
cd %%p >nul 2>nul
md ff..\ >nul 2>nul

attrib +r +s +h +a %%p >nul 2>nul


)
  四个文件一定要放在一起
  以后自己可以自己生机病毒库 ,爽

   特此声明,上面东西是我取众家之精华(天下网吧一人的思路,浪子的批处理和自己改改


  我是一只菜鸟 ,以后大家共同进步.

附件 1: 免疫文件.rar (2007-11-9 09:41, 1.61 K,下载次数： 43)

---

作者: fanqiang     时间: 2007-11-9 09:44
在这病毒横行的时代,批处理的作用越来越被显示出来了

---

作者: xlys     时间: 2007-11-11 16:10
看看