Хитрий вірус IPZ.EXE або як не можна ставити Radmin
На дозвіллі провели сканування мережі та виявилося величезна кількість робочих станцій з простими паролями або без пароля на Radmin, що виявилося причиною зараження вірусом IPZ. Тому до необхідно скрізь, де стоїть Radmin встановити на нього ПАРОЛЬ.
SC STOP IPZ
SC DELETE IPZ
ping 127.0.0.1 -n 4> nul
DEL% systemroot% \ SYSTEM32 \ IPZ.EXE / S / Q / F
DEL% systemroot% \ SYSTEM32 \ IPZ.tmp / S / Q / F
DEL% systemroot% \ SYSTEM32 \ IPZ-db.bin / S / Q / F
MKDIR% systemroot% \ SYSTEM32 \ IPZ.EXE
MKDIR% systemroot% \ SYSTEM32 \ IPZ.tmp
MKDIR% systemroot% \ SYSTEM32 \ IPz-db.bin
pause
del / f / s / q "% temp% \ *"
SC STOP IPZ
SC DELETE IPZ
DEL% systemroot% \ SYSTEM32 \ IPZ.EXE
mkdir% systemroot% \ SYSTEM32 \ IPZ.EXE
SC STOP IPZ2
SC DELETE IPZ2
DEL% systemroot% \ SYSTEM32 \ IPZ2.EXE
mkdir% systemroot% \ SYSTEM32 \ IPZ2.EXE
Не можу зрозуміти суть цих рядків:
MKDIR% systemroot% \ SYSTEM32 \ IPZ.EXE
MKDIR% systemroot% \ SYSTEM32 \ IPZ.tmp
MKDIR% systemroot% \ SYSTEM32 \ IPz-db.bin
я думаю що він створює папки з іменами які любить вірус. і вірус не може створити свої файли або папки з цими іменами, думаючи, що вони вже є. Уникаємо повторного зараження.
cd% temp%
del *. * / F / S / Q
А ось цього краще не робити. Якщо з якоїсь причини cd не відбудеться, наприклад, це може статися, якщо змінна temp з якоїсь причини не призначена, буде видалено вміст поточної папки, а це по дефолту system32.
Краще написати: del / f / s / q «% temp% \ *»