Dal momento che ogni istruzione con cmd è interpretata come un comando, i malware writer non hanno fatto altro che creare un file batch contenente una lunga lista di variabili (sono racchiuse tra simboli percentuali).
In figura un esempio di codice utilizzato da TrickBot sotto forma di file batch:
Così i criminali informatici hanno iniziato a usare una tecnica che è stata battezzata batch scripting obfuscation: