NetSharePro
Разбор встроенных функций и скриптов
Что тут вредного?
C:\Users\user\AppData\Local\Temp\getadmin.vbs
Set UAC = CreateObject("Shell.Application") : UAC.ShellExecute "cmd.exe", "/k cd ""C:\Windows\System32\"" && ""C:\Windows\System32\w.bat"" ", "", "runas", 1 C:\Windows\System32\w.bat
set "params=%*"
cd /d "%~dp0" && ( if exist "%temp%\getadmin.vbs" del "%temp%\getadmin.vbs" ) && fsutil dirty query %systemdrive% 1>nul 2>nul || ( echo Set UAC = CreateObject^("Shell.Application"^) : UAC.ShellExecute "cmd.exe", "/k cd ""%~sdp0"" && ""%~s0"" %params%", "", "runas", 1 >> "%temp%\getadmin.vbs" && "%temp%\getadmin.vbs" && exit /B )
@ECHO downloading Certificate
curl http://192.168.49.1:8181/netshare.p12 -o netshare.p12
@ECHO installing Certificate
certutil -p 123456 -importpfx Root "netshare.p12"
@ECHO adding connection
powershell -command add-vpnconnection -Name "NetShare" -ServerAddress "192.168.49.1:8383" -tunnelType "sstp" -EncryptionLevel "NoEncryption" -AuthenticationMethod PAP -RememberCredential
powershell -command Set-VpnConnectionProxy -ConnectionName "NetShare" -ProxyServer "192.168.49.1:8282"
powershell -command rasdial "NetShare" "def" 0000
exit
В этом скрипте содержится ряд действий, которые могут быть опасными или нежелательными:
1. **Выполнение команд от имени администратора**: Строки скрипта используют `ShellExecute` для выполнения команды от имени администратора. Это может быть опасно, так как злонамеренные скрипты могут использовать это для получения привилегий администратора без вашего согласия.
2. **Загрузка файла сертификата**: Скрипт загружает сертификат с удаленного сервера, но непонятно, контролируете ли вы источник этого сертификата. Недоверенные сертификаты могут создавать уязвимости в безопасности вашей системы.
3. **Добавление VPN-подключения и настройка прокси-сервера через PowerShell**: Эти действия могут изменить настройки сети на вашем компьютере без вашего явного разрешения.
4. **Вызов команды `rasdial`**: В конце скрипта происходит вызов команды `rasdial` для установки VPN-соединения с именем "NetShare". Это также может быть опасным, так как такие действия могут изменить настройки сетевого соединения.
В целом, это скрипт выглядит подозрительно и может содержать потенциально вредный функционал. Будьте осторожны с запуском скриптов из ненадежных источников, особенно если они требуют повышенных привилегий или выполняют операции сетевой безопасности.
2 comments
Root "Доверенные корневые центры сертификации"
CertUtil: -delstore — команда успешно выполнена.