图2-5-7 开启SQL Agent服务
Cracker:mssql模块所执行的主要功能主要包括以下几方面:
1. 在c:\\windows\system32\wbem下创建批处理文件123.dat,并在该文件中写入内容。
图2-5-8 创建123.bat
该批处理文件执行的功能包括对一些程序运行所涉及到的文件和文件夹进行权限设置;使用regsvr32.dll执行远端代码;判断是否存在item.dat,若存在则调用rundll32执行该程序。item.dat是修改自PCShare(github:https://github.com/isuhao/pcshare)的远程控制程序,C&C通过item.dat控制Bot。
2. 创建文件PerfStringse.ini,并在该文件中写入内容。
图2-5-9 创建PerfStringse.ini
该文件是个组策略模板文件,主要是禁止一些涉及到的文件的访问权限。在创建该模板文件之后调用secedit.exe配置组策略。
图2-5-10 调用secedit.exe配置组策略
3. 在c:\\windows\system下创建文件myusa.dvr,并在文件中写入内容。