Hacking

Malware - Detecting

Upload Malware

Doporučujeme














Naše Bannery








Toplist




Zaheslované konto administrátora


Nie je to tak dávno, kedy sa objavili scripty - chabé pokusy o malware heslujúce užívateľské konto administrátora, aj keď k prvému výtvoru vypusteného k užívateľskej komunite som sa dostal pred nejakými troma rokmi.

Princíp heslovania nespočíva v ničom inom, ako v použití príkazu @net users s parametrom nastavenia hesla, ktoré sa nastaví pre admin. účet. Ako však zrušiť takéto heslo?
Pokiaľ je script napísaný primitívnym spôsobom, čo sú asi všetky známe varianty, prednastavené heslo sa dá zistiť zo zdrojového kódu súbora. Avšak, treba brať v úvahu aj to, že nie je ťažké napísať algoritmus, ktorý by heslo generoval z náhodných hodnôt pri novom spustení systému. Preto ideme ďalej.
Dosť hojnú chvíľu som hľadal nejaké návody či utility, ktoré by umožňovali reset hesla. Bohužiaľ som sa k žiadnému zrozumiteľnému návodu alebo spoľahlivej utilite nedostal. Našiel som nejaké Live CD s UNIXOM a iné utility, ktoré však neboli spoľahlivé a dosť náročné. Rozhodol som sa, že napíšem nástroj ( RBF ), ktorý sa zaheslované konto pokúsi obnoviť do stavu pred zaheslovaním.

Viacej o ňom vrátane ostatných funkcií a downloadu nájdete tu: RBF

-- Stiahnite si obraz .iso ( Diall´s Bootable CD ), čo je Bootable Live CD windowsu XP Prof. a obraz .iso vypálte
na CD.
-- Vložte CD do mechaniky a nabootujte z neho.
-- Po spustení windowsu cez START --> SPUSTIť napíšte rbf /rst:b /drive:C a odenterujte. Prepínačom
/drive:C zadáte disk, na ktorom máte nahodený systém. Za dvojbodkou zadáte názov disku, napr. C .
-- Program vykoná opravu a výsledok uloží do RBF_Result.log, ktorý zobrazí.


Niektoré varianty sa môžu zavádzať do registrov ako objekty RUN a po oprave, pri opätovnom načítaní windowsu, by došlo opäť ku zaheslovaniu konta. Z tohto dôvodu nástroj pri obnove vyexportuje a zmaže vetve objektov RUN do súbora backup.txt, ktorý uloží do dočastného adresára %temp% v Live Bootable XP. Obsah backup.txt je nutné skontrolovať, podozrivé objekty vymazať, vykonané zmeny uložiť a uložené vetve znova importovať príkazom
/reimport .
Dočastný adresár %temp% sa v Live CD nachádza na jednotke RamDisk B:\ vyhradenej v operačnej pamäti. Po resete sa zložka %temp% zmaže!

Upozornenie!
Pri použití nástroja RBF pre reset hesla v systéme v ktorom bolo viecero užívateľských kônt, môže dôjsť k odstráneniu ponuky uživ. kônt pri spustení systému. Kontá so súbormi a dátami na hardisku sú, iba sa nezobrazia v ponuke výberu jednotlivých kônt.
Ich znovuzavedenie vykonáte takto:

-- Zistite názvy kônt, ktoré ste mali vytvorené. Sú uložené v C:\Documents and Settings\



V mojom prípade mám konto Owner, čo je hlavné konto administrátora, ktoré sa vytvorilo pri inštalácií systému a konto admin2, čo je neskôr dodatočne vytvorené konto s admin. oprávnením. Po použití parametra /rst:b sa systém automaticky prihlási do konta, ktoré bolo vytvorené ako prvé pri inštalácií systému, čiže u mňa Owner.

-- Ovládacie panely --> Používateľské kontá --> Vytvoriť nové konto --> napíšeme názov konta, ktoré
sa nám stratilo z ponuky pri prihlásení do systému --> Vyberieme typ, v mojom prípade "Správca počítača" -->
konto vytvoríme .

Pokiaľ máme napríklad 3 dodatočne vytvorené kontá, tak ich takýmto spôsobom všetky obnovíme.


* Ak bolo v systéme pred zaheslovaním konta užívateľom nastavené iné heslo, môže sa stať, že program RBF obnoví toto heslo.

 

 
Joomla ACL by AceACL