Эхх, не красиво конечно поступили. Вообще, талантливые кодеры могли бы объединиться и продавать свой продукт. Делая его каждый раз лучше, а не создавая одно и то же. Скачал исходники, скопировал статью на случай удаления. Попробую создать под себя, пусть будет. Ничего сложного, если честно. 15 тысяч не стоит. Давай хотя бы ссылки под хайд. Разнесут по другим форумам и зальют на VT.
А можешь обзор на свой майнер запилить и объяснить, каким образом он работает? Занимательная статья, но читать трудновато было
Всё пишу на основной машине, и никогда проблем не было. А если каспер пропускает, то значит не зря писал)
1. Пишешь локер, взял за исходники CryptoLocker и WannaCry. 2. Случайно запускаешь на основной машине. 3. Осознаешь.
А прежде чем приступить к прочтению - загляни в мой бложик, там я публикую свои авторские статьи по программированию, вирусологии и прочим интересным вещам Скрытый контент. https://t.me/ims0rryblog Нажмите, чтобы раскрыть... Оригинал статьи - Скрытый контент. http://telegra.ph/Analiz-skrytogo-majnera-ot-GucciMine-12-05 Нажмите, чтобы раскрыть... Вся информация предоставлена исключительно в ознакомительных целях. Ни администрация, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи. Предыстория Я проверяю продаваемый софт на форуме Скрытый контент. darkwebs[.]ws Нажмите, чтобы раскрыть...и на днях ко мне пришел селлер данного майнера за проверкой (vlmi[.]su/threads/skrytyj-majner-podarok-2-manuala-po-nakrutke-majnerov.9245). Собственно, я все проверил, разобрал по полочкам и оставил отзыв в его теме и в теме на дарквебсе. После чего, мой селлер на влми тоже оставил отзыв в его теме, но не о софте, а о гуччи, как о селлере. Далее, спустя какое-то время мне на глаза попадает вот это: https://i.imgur.com/s2eBd3r.png И тут я охренел. Парень юзает мой майнер, признает что он лучше чем его (иначе на кой хер использовать другой майнер, вместо того, что ты сам сделал и сам продаешь). Да, я тоже до какого-то момента использовал майнер Hawksh'a, но и свой софт я постоянно развивал и делал лучше, и когда я достиг той кондиции, которая была удовлетворительной лично для меня, я стал сам использовать свой продукт, использую до сих пор и полностью доволен. НО, я никогда не пытался выехать на безобоснованной критике софта Хавка для получения большего кол-ва продаж себе, как пытается это сделать GucciMine с моим продуктом. Данная ситуация меня, конечно, очень огорчила (нет) и я решил, почему бы не показать людям, под чем они оставляют свои положительные отзывы? Часть 1. Распаковка и автозагрузка После недолгой возни мне наконец скинули билд майнера, работающий без админ-прав (предыдущий был склеен через SIM, лол). https://i.imgur.com/0b5uroR.png В архиве находится 2 файла, ярлык на один из них, судя по SFX-скрипту и комментарию селлера, летит в дефолтную папку автозагрузки (последняя строчка коммента) https://i.imgur.com/Z2dM9Q9.png К слову, о стандартной автозагрузке: В теме указано следующее https://i.imgur.com/wADCjeK.png Хочу напомнить, что это реализуется не через дефолтный %startup%, а через планировщик задач, он же schtasks. Что же получается, нас обманули? Частично. Часть 2. Изучение файлов После распаковки файлов обнаружилось, что они скрытые по дефолту. Т.е. на них стоит аттрибут hidden. https://i.imgur.com/W9t5mHc.png Только сразу возникает вопрос, почему не хватило ума из строчки Код: attrib +h file.exe Сделать Код: attrib +s +h file.exe Потому что это "скрытое" дерьмо находится по первому попавшемуся в гугле гайду: https://i.imgur.com/asrFwCh.png Далее, прогоняем оба файла через DIE и exeInfo: NotepadHost https://i.imgur.com/D15P4Uh.png SecurityHost https://i.imgur.com/5GAoOtK.png Меня очень заинтересовало, что файл, который работает с консолью накрыт темидой и я решил запустить его в песочнице и проверить свою догадку: https://i.imgur.com/E1j2TFO.png Обычный консольный майнер без вшитого конфига? Серьезно? На этом моменте процентов 20 из вас уже заранее поняли что находится во втором файле и закрыли статью. Я, все же, решил протестировать целиком билд на виртуалке. И нашел еще одно несоответствие в описании: https://i.imgur.com/wADCjeK.png https://i.imgur.com/YL7MNgY.png Майнер-таки видно в диспетчере задач, но почему-то, никто в теме об этом не сказал. Часть 3. Реверс и темная сторона .NET Как выяснилось выше, второй файл, SecurityHost.exe является .NET приложением в чистом виде (без протекта). Если вбить в гугл, как разреверсить .NET - первая ссылка будет рассказывать о том, как пользоваться dotPeek'ом. В нем достаточно нажать пару кнопок и вы получите те самые исходники майнера, стоимостью 15 000 рублей https://i.imgur.com/mWcoc3w.png Разреверсив файл, мы увидим такую картину https://i.imgur.com/xgl6HAW.png Алгоритм следующий: 1) Защита от повторного запуска Ищется процесс с названием SecurityHost.exe, при каждом совпадении инкрементируется переменная num. Далее, если num больше 1, то текущий процесс завершается. 2) Запуск майнера Создается процесс со скрытой консолью на файл майнера. В параметрах передаются данные от пула (которые, почему-то, вообще никак не скрываются). Процесс стартует. 3) Скрытие от диспетчера задач Запускается бесконечный цикл, в котором, каждые 2 секунды проверяется наличие процесса диспетчера задач. Если подтверждается наличие, убивается процесс NotepadHost.exe (Xmrig) и стартует задержка в 40 (!) секунд. После чего снова стартует майнер. Вывод Подвести итоги я бы хотел цитатой одного знакомого, который в своем Скрытый контент. http://foxovsky.ru/post/164325173050/анализ-работы-стиллера-от-dendimirror Нажмите, чтобы раскрыть...очень тонко подметил: Вот такую низкосортную малварь продают в наше время — не зная ровным счетом ничего об этом продукте, буквально за пару минут был получен исходный код. В самом коде ничего занимательного не нашел. Моя субъективная оценка: троечка по десятибальной. Нажмите, чтобы раскрыть... Ссылки Исходный код майнера + предоставленный семпл - Скрытый контент. https://github.com/ims0rry/GucciMine-Miner Нажмите, чтобы раскрыть... Ссылка на продажник - Скрытый контент. @Ливень @Vanessa а это считается за авторскую статью?;3 p.s. ссылки опубликованы с разрешения @NightWos Нажмите, чтобы раскрыть...
Если билд предоставит кто-нибудь, погляжу с удовольствием) Только чуть позже, сейчас другим майнером занят
Каким пока не скажу, разбор будет, возможно, без слива самих исходников (если с продавцом удастся договориться), но будет)
Почему бы и нет А если серьезно, то я обычно не пытаюсь унизить продукт или что-то в этом роде. Я просто пишу что вижу, если что-то сделано хуево - оно само бросается в глаза, и без моих комментариев. Если что-то сделано хорошо - я обязательно это выделю
