А прежде чем приступить к прочтению - загляни в мой бложик, там я публикую свои авторские статьи по программированию, вирусологии и прочим интересным вещам Скрытый контент. https://t.me/ims0rryblog Нажмите, чтобы раскрыть... Оригинал статьи - Скрытый контент. http://telegra.ph/Analiz-skrytogo-majnera-ot-Eduard1337Vans-12-10 Нажмите, чтобы раскрыть... Вся информация предоставлена исключительно в ознакомительных целях. Ни администрация, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи. Охх, наконец-то я добрался до этого майнера. На этого персонажа у меня свои обиды. Но, все сошлось удачно, и ничего хорошего про сырки его майнера не скажет ни один адекватный человек (даже тот который не шарит в кодинге, я проверил перед написанием статьи): https://image.prntscr.com/image/uY4wYJK_RTOZO1ptfeggzw.png https://image.prntscr.com/image/q0GRNDCNThiMBkBawBGL9w.png https://image.prntscr.com/image/bbWYQKsESzyKw-Lt-m-XTg.png Ну и запомните эти слова, напоследок: https://image.prntscr.com/image/7Bkb53yVShWsOmSdlq3thQ.png Итак, начнем: По традиции смотрим, что за файл у нас: https://image.prntscr.com/image/31FWwObzQ5m12fxdWIHCXw.png Какая-то непонятная штука, смотрим через IDA: https://image.prntscr.com/image/BSB6SO7VQ0anqJanzd_cUQ.png Стоит защита от дебаггера, вроде неплохо. Открываем файл в Resource Hacker: https://image.prntscr.com/image/QFParJk3QzCbCOa8jwASOQ.png https://image.prntscr.com/image/T9rsmqKvSmmHQ-ArClLwcg.png Видим, что встроено 2 бинарника. Очевидно, один из них - зашифрованный пейлоад, а второй - ключ для дешифрации. Дроппер? Без сомнений. Только зачем на дроппер ставить защиту от дебаггера для меня останется загадкой на всю оставшуюся жизнь. Поведение Нет ни настроения, ни желания играться с этими бинарниками чтоб расшифровать, поэтому тупо запускаем на виртуалке и смотрим что куда дропнется. В папке %temp% создались следующие объекты: https://image.prntscr.com/image/-eWeH9NARBe5ypHkX4FEKQ.png Содержимое первой папки: https://image.prntscr.com/image/rxeysNrfRcu6VNqrp61rBw.png Содержимое второй папки: https://image.prntscr.com/image/QPCoO0dPTGmM9fkSQAZM7A.png Надо подчеркнуть, скрыть папки у разработчика ума хватило. Майнер работает через стандартную автозагрузку: https://image.prntscr.com/image/juAb9k5zQS2m2QbX4Vk8Gg.png И не скрывается от диспетчера, как указано в топике (это вообще круто, 100% нагрузки в диспетчере, и, да, я ждал примерно минуты 2 с открытым диспетчером): https://image.prntscr.com/image/6OZ7UpXdQoWYQFRUoplkYw.png Анализ файлов Как выяснилось, дроппер плюется двумя sfx-архивами, которые распаковываются в папке %temp%, их содержание и комментарии: https://image.prntscr.com/image/gmd5tlPDT-W-tjRh6ec8Jw.png Автозагрузка также прописана через SFX-комментарий. System.bat - запускает майнер с параметрами: https://image.prntscr.com/image/zzE_L9oaRW2RhYuCPQF3UA.png System.vbs - запускает System.bat (на этом моменте я блеванул): https://image.prntscr.com/image/lDUo2KhET_aE8IbAfjUHGw.png WinHelp.bat - восстановление процесса майнера (но это не точно, я в batch не силен):https://image.prntscr.com/image/njMCRGtHTeu6ZYboLqsI9g.png WinHelp.vbs - запускает WinHelp.bat .-. : https://image.prntscr.com/image/cPzQcmLkSg_QUkwVLLLZWA.png Svchost.exe - консольный xmrig: https://image.prntscr.com/image/8Wn9IxPnT262byFTTkaUig.png Который, к слову, не запускается, если рядом не лежит file.data. Который, в свою очередь, похож на тот зашифрованный файл из RCData (это не он). Видимо, дядя Эдуард предусмотрел возможность юзера запустить билд и сделал какую-то проверку перед запуском (вообще хз что это, ребята, спасите, я как будто в канализацию залез), но то что эти 2 файла можно заменить на любой другой консольный майнер - это факт. Ах да, увидел в топике прикольную штуку: https://image.prntscr.com/image/qumyw5EIQfmAZWYOKvhI_A.png Насчет первого мы уже выяснили - этого даже в функционале нет. Итог Я хз как этот товарищ прошел проверку аж на двух бордах (дарквеб и влми), но прошел и еще с более херовой версией, как я понял. Ибо у него еще были "крутые" обновления майнера и стаба, а тема висела с незапамятных времен. Денег такое дерьмо не стоит, даже 600 рублей. В принципе, можно описать мнением одного из читателей моего блога: https://image.prntscr.com/image/ldpTHnsyRAyGw9MlygKGkw.png Надеюсь, на бордах начнут проверять софт перед продажей по-лучше. https://image.prntscr.com/image/TlGvXZ-XTpqe6eqeXLxkHg.png Ссылки Скантаймы и прочую ересь я не вижу смысла выкладывать, вы должны понимать что на такой сборке вы там ничего хорошего не увидите. Поэтому: Исходники + семпл - https://github.com/ims0rry/Eduard1337-Vans-miner Ссылки на продажники: VLMI - DW - Скрытый контент. https://darkwebs.ws/threads/43212/ Нажмите, чтобы раскрыть...
Думайте что покупаете. Скупой платит дважды. Если нет денег, то лучше соберите майнер сами из исходников, чем даже 500 рублей платить непонятно за что
За каждой твоей схемой слежу, благодарен тебе очень, так как показываешь обратную сторону медали и уже можно выбрать хорошего селлера и хороший товар, еще раз спасибо. Удачи во всех начинаниях. И с наступающим уже!
Обучал бы ты ещё всяким этим хакерским штучкам, по типу взлому чужих майнеров . А то я даже браузер со 2 попытки только открываю.
Не гайд, а именно продавать, по типу, как стать програмистом. Например вбиву обучают, кардингу, а годных обучений в этой сфере нету. И думаю будет хорошо, если ты в скором времени сделаешь рмс.
Вообще очень нравится подобный анализ. Очень интересно было читать ) Почаще бы такие разборы разного софта
Молодец, от души. Думаю у многих появилось желание попробовать разобраться в теме лучше. Полезно будет продолжить такие обзоры. И для твоего бизнеса и для просветления сознания трущегося тут молодняка. Мож наконец то начнут учебники курить вместо спайса =) Кнопки плюс не имею, хотя тебе плюс нах не нужен. Ты и так красавчик.
Красава, всегда с удовольствием читаю твои статьи и потихоньку сам начинаю разбирать Файлы. Прошу ещё раз проверить обновлённый майнер @Proga и @arman25
