home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / modules / nessus-2.2.8.mo / usr / lib / nessus / plugins / hacker_defender.nasl < prev    next >
Encoding:
Text File  |  2005-03-31  |  2.7 KB  |  87 lines
  1. # This script was written by Javier Olascoaga <jolascoaga@sia.es>
  2. # (C) SIA (http://www.sia.es)
  3. #
  4. # based on A. Tarasco <atarasco@sia.es> research.
  5. # This script is releases under the GNU GPLv2 license.
  6.  
  7.  
  8. if (description) 
  9. {
  10.     script_id(15517);
  11.     script_version ("$Revision: 1.1 $");
  12.  
  13.     name["english"] = "HACKER defender finder";
  14.     script_name(english:name["english"]);
  15.  
  16.     desc["english"]= "
  17. The remote host is infected with the 'HACKER Defender' backdoor.
  18. An attacker may use this service to gain the control of the remote host.
  19.     
  20. Solution: Install an updated AV software or examine the disc ofline.
  21. It's hightly recommended to reinstall the OS.
  22. Risk factor: Critical";
  23.  
  24.     script_description(english:desc["english"]);
  25.     summary["english"] = "HACKER defender finder (All versions)";
  26.     script_summary(english:summary["english"]);
  27.     script_category(ACT_GATHER_INFO);
  28.     script_copyright(english:"This script is Copyright (c) SIA 2004");
  29.     script_family(english:"Backdoors");
  30.     script_dependencie("os_fingerprint.nasl");
  31.     exit (0);
  32. }
  33.  
  34. os = get_kb_item("Host/OS/icmp");
  35. if ( os && "Windows" >!< os ) exit(0);
  36.  
  37. list_ports[0] = 80;
  38. list_ports[1] = 3389;
  39. list_ports[2] = 21;
  40. list_ports[3] = 25;
  41. list_ports[4] = 7;
  42. list_ports[5] = 1025;
  43. list_ports[6] = 443;
  44.  
  45. max_ports = 6;
  46.  
  47. hx[0]=raw_string (0x01, 0x1e, 0x3c, 0x6c, 0x6a, 0xff, 0x99, 0xa8,0x34, 0x83, 0x38, 0x24, 0xa1, 0xa4, 0xf2, 0x11,0x5a, 0xd3, 0x18, 0x8d, 0xbc, 0xc4, 0x3e, 0x40,0x07, 0xa4, 0x28, 0xd4, 0x18, 0x48, 0xfe, 0x00);
  48. hx_banner[0] = string("HACKER DEFENDER v0.51 - 0.82b");
  49.  
  50. hx[1]=raw_string(0x01, 0x38, 0x45, 0x69, 0x3a, 0x1f, 0x44, 0x12,0x89, 0x55, 0x7f, 0xaa, 0xc0, 0x9f, 0xee, 0x61,0x3f, 0x9a, 0x7e, 0x84, 0x32, 0x04, 0x4e, 0x1d,0xd7, 0xe4, 0xa8, 0xc4, 0x48, 0xe8, 0x9e, 0x00);
  51. hx_banner[1] = string("HACKER DEFENDER v0.82 - 0.83");
  52.  
  53. hx[2]=raw_string(0x01, 0x9a, 0x8c, 0x66, 0xaf, 0xc0, 0x4a, 0x11,0x9e, 0x3f, 0x40, 0x88, 0x12, 0x2c, 0x3a, 0x4a,0x84, 0x65, 0x38, 0xb0, 0xb4, 0x08, 0x0b, 0xaf,0xdb, 0xce, 0x02, 0x94, 0x34, 0x5f, 0x22, 0x00);
  54. hx_banner[2] = string("HACKER Defender v0.84 - v1.0.0");
  55.  
  56. inf = 0;
  57.  
  58. for (i=0; i <= max_ports; i++) {
  59.     # check list port
  60.     if (get_port_state(list_ports[i])) 
  61.     {
  62.         soc = open_sock_tcp (list_ports[i]);
  63.         if (soc) 
  64.         {
  65.             for (j=0;j<3;j++) {
  66.                 send (socket:soc, data: hx[j], length: 32);
  67.             }
  68.                 data = recv (socket:soc, length:128, timeout: 6);
  69.                 if (data) {
  70.                     if (strlen(data) == 1)
  71.                     {
  72.                         desc = "
  73. The remote host is infected with the 'HACKER Defender' backdoor
  74. (" + hx_banner[j] + "
  75. An attacker may use this service to gain the control of the remote host.
  76.     
  77. Solution: Install an updated AV software or examine the disc ofline.
  78. It's hightly recommended to reinstall the OS.
  79. Risk factor: Critical";
  80.                         security_hole(desc:desc, port:list_ports[i]);
  81.                         exit (0);
  82.                     }
  83.                 }
  84.         }
  85.     }
  86. }
  87.