Оригинал статьи - Скрытый контент. http://telegra.ph/Analiz-skrytogo-majnera-ot-Dzotra-12-31 Нажмите, чтобы раскрыть... Вся информация предоставлена исключительно в ознакомительных целях. Ни администрация, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи.Анализ файлов При покупке выдается следующее: https://image.prntscr.com/image/uOLT9l0RRYuKO3faosKV4Q.png Оба файла .NET и ничем не накрыты: https://image.prntscr.com/image/M3OebhbQTkSZIEJYuHF9Nw.png Чистильщик майнера нам пока не интересен, поэтому декомпилируем сам билд через ILSpy и смотрим что там есть: Обычный дроппер, но у него есть рерурсы: https://image.prntscr.com/image/m3_03pooSuShUwCDuNhmcg.png Бинарник, который он, собственно и дропает с запуском. Дампим это все в файл и смотрим что это такое: https://image.prntscr.com/image/_MKx6W3xRPyhqPHTdsJDAg.png Поведение Еще один дроппер, но уже в виде Smart Install Maker. Переименовываем файл в .exe и запускаем на виртуалке: https://image.prntscr.com/image/0A_Aw8D8TXu_neOCUpivtA.png Получаем еще 3 файла. Скрытие из диспетчера, к слову, работает криво: https://image.prntscr.com/image/h73XfOZbQierrhjI70r8zw.png Разбор intelmain.exe: https://image.prntscr.com/image/rnvWOZ9BTAiv5yydBa_0Og.png https://image.prntscr.com/image/2_G4IFVbTYGJoN6iL-FN9Q.png Следит за диспетчером задач (будет некорректно работать на Win8-10 из-за case-sensetivity к Taskmgr). Сам дает не меньшую нагрузку, чем майнер, ибо в цикле нет задержки. intelservice.exe: https://image.prntscr.com/image/3seMyEAmTza3Al9JkMwEpA.png Консольный майнер https://image.prntscr.com/image/k-j3qczCSLmoaNfribKxpA.png run.exe: https://image.prntscr.com/image/8E7_LIvVRv6XkTz-UXDbhw.png PureBasic файл с админ-правами. Открываем в IDA и сразу видим защиту от виртуализации: https://image.prntscr.com/image/4TjzrFIzRRSSwiO8gcntvQ.png Весь код замусорен вызовами различных функций, среди них есть функции дешифрации каких-то данных, судя по строкам - конфиг для консольного майнера. А в ресурсах видим подтверждение этому: https://image.prntscr.com/image/BoPJjLzYS2uYpEylLFoPpA.png Дешифровать все это, мы, конечно, не будем. Ведь можно просто запустить -.- https://i.imgur.com/m38dZ5H.png Файл запускает консольный майнер с дешифрованными параметрами, но они все равно видны в передаваемых параметрах, моя логика на этом моменте укатилась куда-то на уровень Mr.Mir'а. Ссылки Исходники + семплы - https://github.com/ims0rry/Dzotra-miner Продажник - Скрытый контент. https://lolzteam.net/threads/256380 Нажмите, чтобы раскрыть...
