Shortcut Virus Remover - самомодифицирующийся самоудаляющийся батник для лечения флешек

[Dragokas]

Лейтмотив статьи:
самоуничтожение, как инструмент рекламы.​

Какое-то время назад мне предложили взглянуть на программу Shortcut Virus Remover by Eranda Gunathilaka дабы сравнить функционал со своим чекером.

Каково было мое удивление, увидев, что это батник... руки зачесались -)))

По правде говоря, он выполняет функции, больше похожие на скрипт AntiHidden:
- снимает атрибуты скрытый/системный с объектов в корне флеш-накопителя
- удаляет ярлыки (*.LNK).
- но на этом функционал не заканчивается

Такие 2 простые функции вместились бы в пару строк батника.
А что на деле:

Как можно понять, батник собрался явно не сухари сушить:
объединние батников / копирование, переименование, перезапуск - что черт возьми всё это такое ???

Давайте начнем полный анализ.

Недурно да?

Хочу сразу предупредить:
в отличие от AntiHidden, если запустить случайно Shortcut Virus Remover (SVR) на рабочем столе, ярлыков Вы больше не увидите.

(как и обещали ).

Итак, после запуска SVR (пусть меня простит автор за сокращение), нас поприветствуют.
После нажатия любой кнопки:

- удаляются все ярлыки в корне;
- снимаются атрибуты скрытый и системный с файлов и каталогов в корне накопителя
( да только не со всех ! )

for /F "delims=,  " %%f in (log.txt) do attrib -r -s -h "%%f"

Здесь автор зачем-то воткнул разделитель (,).
Атрибуты не снимутся с объектов, в имени которых есть знак запятой.

Дальше у нас идет классика самомодификации:

copy t.bat+ShortcutVirusRemover.bat new.bat >>editer.bat

Дописали в шапку новый текст.

echo ren new.bat ShortcutVirusRemover.bat >>editer.bat

заменив исходный батник.

echo start "%cd%\" ShortcutVirusRemover.bat >>editer.bat

start /min /d "%cd%\" editer.bat

И перезапустили его.

Да здравствует чистая флешка !

Но:
на 6-й попытке запустить лечение
в заголовке батника окажется надпись "memorry clear set".
Метки m нет.
А значит батник t.bat не будет создан.
А значит:

echo if not exist t.bat del *.bat >>editer.bat

нету t.bat -> удаляем все батники в корне диска.

Самоуничтожение произведено.
Пользователю остается только пройтись на сайт автора и скачать утиль заново.
(или взять из заначки).

Вот такой замечательный способ придуман, чтобы не забывали о разработчике.
Всем спасибо за чтение

 

[Eranda]

A Backlinks Checker brought me here,

First I wondered, what the hell is this article, two screenshots of my coding
Second, everything is in Russian, I had to use Google Translator

Oh.., some dude from Russia,

has amazed after seen my batch file​

then has read my codes line by line,​

after realized what is going on. ​

Thank you "Dragokas" for this review,
and also specially for mentioning me and my site
Eranda Gunathilaka from Sri Lanka

 

[Dragokas]

Hello from Ukraine!
It was funny to analyze those back in 2015.
Best regards.