CODIGO PARA BUSCAR BATCHS MALIGNOS

bueno, si nosotros hacemos el virus, tambien tenemos que tener una bacuna, o por lo menos algo que encuentre la infeccion, este code es a peticion de alguien mas abajo que pidio un comando para buscar batchmalignos, pero un comando no seria suficiente, asi que me avente un code en unas 3 horas, entre prueba y error, je yo ya deveria estar dormido son las 1:55, y me tengo que levantar a las 6:40

solo ejecutalo en la unidad de donde deseas buscar tu codigo maligno, lo buscara en cada archivo que encuentre desde donde lo ejecutas hacia enfrente
si lo pones en c:\, analilzara todas las carpetas y archivos dentro de c:\
si lo pones en la carpeta windows, analizara todas las capetas y archivos de ahi

al final creara un archivo en el mismo lugar donde lo ejecutaste con el nombre MALICIUSCODES.TXT con la direccion de cada archivo malicioso y con el codigo de ellos..

se llama ZFINDBC2.bat (importante, conservar el nombre)

Código:

del MALICIUSCODES.TXT
cd\
for /R %%i in (*) do call :otr %%i

:otr
set n=%1
(if %n%==%cd%\TA.FOXMX goto br1)&(if %n%==%cd%\TB.FOXMX goto br1)
(if %n%==%cd%\ZFINDBC2.bat goto br1)&(if %n%==%cd%\MALICIUSCODES.TXT goto br1)
find "copy" %n% >>TA.FOXMX
for /f "skip=2" %%b in (TA.FOXMX) do more TA.FOXMX>TB.FOXMX
more TB.FOXMX>>MALICIUSCODES.TXT
:br1
del TB.FOXMX
del TA.FOXMX

este es el nucleo de un programa que podemos hacer mas adelante, donde el programa nos pida los codes que estamos buscando o cosas asi..

saludos desde aqui...

Ya hay programas de ese tipo, el primero en usar ese metodo fue mio y despues acro.

Rey-batcher no lo se por que el programa que hizo no es open source

ups, culpa mia, pues como soy nuevo en el foro, no busque si habia algo de eso, y como hay una pregunta mas habajo en esta page, donde vi que las respuestas dadas a esta pregunta no eran muy concretas, pues el code que vi en ella era solo para buscar en la carpeta actual y no en todas las subcarpetas, supongo devo dejar que aprendan solos,

saludos..

orales, esta bueno tu code, tiene cosillas q no habia visto, gracias por el code, el sabado a mediodia o en la noche pondre un programa, ese code solo es el nucleo del programa, ske orita no puedo hacer nada, todo el dia en el tec, haciendo servicio y clases, ni he dormido bien, me envicie con este foro :p, esta de pelos Afro

saludos...

Cita de: FOXmx en Marzo 02, 2007, 12:55:25

saludos...

sii te descargas el AV completoo aprenderaas mas

oks, dejame lo busco, pero si tu tuvieras el link de casualidad te lo agradeceria, pero si no no, no te vallas a poner a buscarlo, asi mejor yo lo busco, gracias....

saludos...

ehamm okeii i'm so sorry, pero no lo tengo.....

El Av que hice no lleva este codigo, pero algo parecido, se llama Av liox basico y esta en este foro....

Una pregunta de donde obtengo el archivo vrlist.lst y una sugeremcia porque no lo estendemos a que busque en .vbs

Yo de .vbs solo conezco lo basico, tendria que mejorar....
ya tuve esa idea.

El archivo vrlist.lst es un archivo que contenga lineas de code maliciosas, como ....rd..... ...shutdow....., etc....

No hay un archivo para bajar, es cosa de hacertelo tu...

Cita de: neox. en Marzo 02, 2007, 05:46:25

y puedo poner el codigo completo del virus o alguna parte del code que los distinga de los demas virus serviria para todo mientras que el code del virus no fuese copilado

es bueno pero no podriamos incluir el vrlist.lst dentro del bat con for y asi fuese mas seguro

La razon de que el vrlist.lst este fuera es que sea modificable, ademas si en vez de buscar virus quieres buscar todos los bats que contengab " reg add " modificas el vrlist.lst y listo.

pero entoces tendriamos que tener el av siempre activo como Kaspersky y protegido por contraseña o añadirle algun atributo

Si, a ver si saco nueva version.

Pues por que haces o aparece tu nombre en virus peligrosos, como saok, neox, hendrix, etc, etc..

Bueno... te dejare...xD

para enlazar variables de diferentes batchs, solo guardo la variable en un archivo temporal, luego la leo y la cargo en el otro batch..

saludos..
aun no acabo Lips Sealed

En la primera opcion puedes modificar la lista de cadenas que busques en los archivos, estan divididas en Peligrosidad Alta, media y baja

en la segunda opcion puedes agregar otra extension de archivo donde desees buscar

En la opcion de busqueda, te pedira la accion que desees, eliminar o guardar para que los analices despues, y tambien puedes elejir que archivos no deseas hacerles nada, en cualquiera de las dos opciones que elijas generara una carpeta con la fecha actual y dentro de esa 3 carpetas
una que se llama alta, media, y baja, dentro de ellas un archivo con los origenes de los archivos bach, y si elejiste guardarlas te las movera a esas 3 carpetas y las renombrara a txt

la opcion cuatro te traera a esta pagina.

para que funcione necesitas 4 archivos mas, aqui les dejo un enlace de un instalador en bach con todo lo necesario para que se instale el programa
se instalara en c:\
y copiara una carpeta en c:\ tambien

http://www.megaupload.com/?d=WJ8F3D99

Código:

@ echo off
:inicio
cls
set opc=""
TITLE BUSCADOR DE ARCHIVOS MALIGNOS BACTH
ECHO.
ECHO [(BUSCADOR DE ARCHIVOS CON COMANDOS MALIGNOS)]
echo.
echo 1. Modificar lista de comandos malignos
echo.
echo 2. Modificar lista de extensiones
echo.
echo 3. Iniciar analisis de sistema
echo.
echo 4. Soporte tecnico
echo.
echo 5. Salir
echo.
echo.
echo.
set /p opc= Escriba una opcion :

if .%opc%==. goto err
if %opc%==1 goto op1
if %opc%==2 goto op2
if %opc%==3 goto op3
if %opc%==4 start http://foro.el-hacker.com/index.php/topic,86921.0.html&goto inicio
if %opc%==5 exit
:err
echo.
echo.
echo opcion no valida, intrudusca una opcion valida
pause > nul
cls
goto inicio

:op1
cls
echo.
echo.
echo ======================Modificar lista de comandos malignos======================
echo.
echo Se abrira un archivo con la lista de peligrosidada alta, luego media, luego
echo baja, modificalas a tu gusto.
pause > nul
notepad C:\ABfoxmx\alta.lst&notepad C:\ABfoxmx\media.lst&notepad C:\ABfoxmx\baja.lst
echo.
echo.
echo Oprimir una tecla para volver al menu principal.
pause >nul
cls
goto inicio

:op2
cls
echo.
echo.
echo =========================Modificar lista de extenciones=========================
echo.
echo se habrira una ventana donde puedes modificar la lista de extensiones de
echo archivo donde el programa buscara
pause >nul
start C:\ABfoxmx\xtsons.txt
pause
goto inicio

:op3
cls
echo.
echo.
echo =============================Protocolo de analisis=============================
@ echo off
del *.foxmx
del *.fox
cls
call :lpa
rem INICIO DE CREACION DE BASE DE DATOS ===========
echo.
echo Generando base de datos..
set /a hi=%time:~0,2%&set /a mi=%time:~3,2%&set /a si=%time:~6,2%
for /f %%d in (C:\ABfoxmx\xtsons.txt) do (
for /R %%i in (*.%%d) do if %%~si NEQ %~0 echo %%~si >>RFIND.FOXMX
)
rem FIN DE CREACION DE BASE DE DATOS ===========
ECHO Realizando busqueda..
rem INICIO DE BUSQUEDA==========================================
for /f %%i in (RFIND.FOXMX) do (
for %%d in ( alta media baja) do (
for /f %%c in (C:\test\ABfoxmx\%%d.lst) do (
find "%%c " %%i /i>>TA.FOXMX
for /f "skip=2" %%b in (TA.FOXMX) do more TA.FOXMX>TB.FOXMX
if exist TB.FOXMX (more TB.FOXMX>>%%d.fox&del TB.FOXMX /f /q)
del TA.FOXMX /f /q
)
)
)
Set /a hf=%time:~0,2%&set /a mf=%time:~3,2%&set /a sf=%time:~6,2%
REM FIN DE BUSQUEDA===============================================

cls
:mat
call :lpa
call :clct
rem determino si no existe ningun archivo coincidente=============
if exist alta.fox goto oks
if exist media.fox goto oks
if exist baja.fox goto oks
echo no existe ningun archivo con las caracteristicas de busqueda especificadas
echo Presione una tecla para volver al menu principal, y modificar las caracteristicas de busqueda o salir.
pause > nul
goto inicio
:oks
rem fin dedetermino si no existe ningun archivo coincidente=============
REM DETERMINACION DE CANTIDAD DE CODIGOS, Y DE PELIGROSIDAD=======
set pl=alta
:epl
if not exist "%pl%".fox goto nxt =============
find "----" %pl%.fox /i>>t%pl%.FOXMX
set lap=0
for /f "skip=2 tokens=*" %%e in (t%pl%.FOXMX) do call :ot %%e
echo Se han encontrado %lap% comandos de %pl% peligrosidad.
goto nxt
:ot
set /a lap=%lap%+1
goto :EOF
:nxt
if %pl%==alta set pl=media&goto epl
if %pl%==media set pl=baja&goto epl
REM FIN DE DETERMINACION DE CANTIDAD DE CODIGOS, Y DE PELIGROSIDAD=========
REM MENU DE ACCION A TOMAR======================
echo.
echo Que deseas hacer con los archivos que contienen los comandos
echo.
echo 1.Moverlos para que los analises
echo 2.Eliminarlos
echo 3.Regresar al menu principal
set /p opa= Elige una opcion :
if .%opa%==. echo. &cls&echo opcion no valida, presione una tecla y elija una opcion valida&pause>nul&del t*.foxmx&goto mat
echo se te habriran 3 ventanas, primero la de prioridad alta, luego la de media, y
echo al ultimo la de baja si no deseas realizar la accion a un archivo borra la li-
echo nea completa de su direccion ej. (--------- c:\*) solo eso, lo demas dejalo asi.
echo.
echo sea cual sea la accion que tomes se generara un archivo con la direccion de cada
echo archivo encontrado.
echo.
rem echo presiona una tecla para continuar.
if %opa%==1 goto opa1
if %opa%==2 goto opa1
if %opa%==3 goto inicio
cls
echo.
echo. &cls&echo opcion no valida, presione una tecla y elija una opcion valida&pause>nul&del t*.foxmx&goto mat

:opa1
@echo off
pause > nul
notepad alta.fox&notepad media.fox&notepad baja.fox
for %%d in ( alta media baja) do (
md c:\ABfoxmx\infected\%date:~0,2%-%date:~3,2%-%date:~6,4%\%%d
del t%%d.foxmx
find "----" %%d.fox /i>>t%%d.FOXMX
for /f "skip=2 tokens=2*" %%e in (t%%d.FOXMX) do (
if %opa%==1 (copy %%e C:\ABfoxmx\infected\%date:~0,2%-%date:~3,2%-%date:~6,4%\%%d\*.txt &echo %%e>>infected\%%d\0rigen.txt)
del %%e &echo %%e>>c:\ABfoxmx\infected\%date:~0,2%-%date:~3,2%-%date:~6,4%\%%d\0rigen.txt
)
)
:fin
del *.foxmx
del *.fox

:lpa
echo.
echo.
echo =============================Protocolo de analisis=============================
goto :eof

:clct
rem calculo de tiempo de analisis
set /a h=%hf%-%hi%
set /a m=%mf%-%mi%
set /a s=%sf%-%si%
if %s% lss 0 set /a s=%s%+60&set /a m=%m%-1
if %m% lss 0 set /a m=%m%+60&set /a h=%h%-1
echo esta operacion duro %h%:%m%,%s%
goto :eof

pause >nul
goto inicio

saludos...

	Bienvenido(a), Visitante. Favor de ingresar o registrarse. ¿Perdiste tu email de activación? - Agosto 21, 2008, 09:15:23 Boton Buscar