自制的批处理小工具，被智量和卡巴斯基均报毒了

显示全部楼层 · 发表于 2022-4-28 17:55:24

自制的批处理小工具（利用PsExec.exe来对Regeidt进行提权的批处理小程序），被智量和卡巴斯基均报毒了。

理论上工具本身是没有危害的，运行工具本身并无损坏系统或文件的形为，是否威胁系统安全，取决于用工具的人，最多算作风险工具吧！

工具分享链接(发布帖子没人回复，因不能连贴也不能自沙，源码就发这贴内了)：
https://bbs.kafan.cn/thread-2233487-1-1.html

智量报毒(Heur.ML.PE.A)

卡巴斯基之前没报，今天扫描报毒(Trojan-Dropper.Win32.Agent.teukyp)

附批处理部分的源代码(水平有限，写的比较粗糙)，PsExec.exe是官方下载的，有MicroSoft数字签名。

@echo off
mode con lines=20 cols=70
REM 声明采用UTF-8编码
chcp 65001>nul
title 系统权限打开注册表！

echo 【系统权限打开注册表】：&echo.&echo.
::cls
@setlocal enableextensions
@cd /d "%~dp0"
color 2d
taskkill/f /im       regedit.exe >nul 2>nul

echo 1.启用系统服务Server, 因PsExec加权时需要开启，正常系统默认是启用的。

net start|findstr  /r /C:"^ Server$">nul &&goto cok
::echo 精准搜索，必须完全一致。或加/x也一样效果

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer" /t REG_DWORD /v Start /D 2 /F
sc config LanmanServer start= auto >nul 2>nul
net start LanmanServer >nul 2>nul ||echo. &&goto end
:cok
echo --Server服务，已成功运行
echo.&echo.

echo 2.加载System级权限，电脑首次运行隐藏授权,实现全自动化运行

reg add "HKEY_CURRENT_USER\Software\Sysinternals\PsExec" /t REG_DWORD /v EulaAccepted /d 1 /f >nul 2>nul
::reg add "HKEY_USERS\S-1-5-21-2429616845-3558796940-2278648669-1001\Software\Sysinternals\PsExec" /t REG_DWORD /v EulaAccepted /d 1 /f >nul 2>nul
::系统权限时在此位置
::%~dp0\PsExec86v2.34 /accepteula
::隐藏第一次运行的弹框"是否同意授权书"
echo --成功运行&echo.&echo.

echo 3.系统级System权限打开注册表！

%~dp0\PsExec86v2.34 -i -d -s regedit.exe>nul 2>nul

::%~dp0\PsExec64v2.34 -i -d -s regedit.exe>nul 2>nul

ping -n 1 127.1>nul
tasklist|find /i "regedit.exe">nul&&goto check_ok
goto end
:check_ok

echo --成功运行&echo.&echo.

goto end2
:end
color 4f

echo --运行失败，请右键【以管理员身份运行】并禁用杀软访问保护！

echo.&echo.
:end2
ping -n 3 127.1>nul
del /f/s/q %windir%\Temp\romwe.ico >nul 2>nul
del /f/s/q %windir%\Temp\PsExec86v2.34.exe >nul 2>nul
taskkill/f /im          REGexe.exe >nul 2>nul
del /f/s/q %windir%\Temp\REGexe.exe
del /f/s/q  %0
exit

显示全部楼层 · 发表于 2022-4-28 18:02:21

不要打包成单文件的exe，用zip之类的打包

显示全部楼层 · 发表于 2022-4-28 18:05:50

显示全部楼层 · 发表于 2022-4-28 18:09:54

Jirehlov1234 发表于 2022-4-28 18:02
不要打包成单文件的exe，用zip之类的打包

好的，了解了，或许还真跟打包exe有关，.bat的代码文件在我电脑并没有报毒。
无语，做成exe是为了方便使用，文件不散乱，图标美观，显得正式，内容不会被误改，没想还会引起报毒。

显示全部楼层 · 发表于 2022-4-28 19:04:07

咖啡

显示全部楼层 · 发表于 2022-4-28 19:06:27

真小读者发表于 2022-4-28 19:04
咖啡

McAfee对注册表防控比较严，在几年前，我刚做出来时就拦截。

显示全部楼层 · 发表于 2022-4-28 19:08:47

BD

显示全部楼层 · 发表于 2022-4-28 19:32:58

avast

显示全部楼层 · 发表于 2022-4-28 19:47:45

毒霸

显示全部楼层 · 发表于 2022-4-28 21:14:17

fzp070 发表于 2022-4-28 18:09
好的，了解了，或许还真跟打包exe有关，.bat的代码文件在我电脑并没有报毒。
无语，做成exe是为了方便使 ...

这种文件一上来就释放一个批处理然后执行行为很像dropper，不像直接通过exe执行的

[可疑文件] 自制的批处理小工具，被智量和卡巴斯基均报毒了

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

评分