Оригинал статьи - Скрытый контент. http://telegra.ph/Analiz-skrytogo-majnera-ot-Hostis666-12-20 Нажмите, чтобы раскрыть... Вся информация предоставлена исключительно в ознакомительных целях. Ни администрация, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи.Предисловие Билд сам по себе очень старый, мне подогнал его один из клиентов. Продажник был опубликован аж 17.01.17. Но последнее обновление было 03.08.17. Так что, не такой уж я и археолог Воспринимайте это скорее как гайд, а не анализ. P.S. у меня оба билда этого майнера, в том числе и последнего обновления. И оба разберу в этом гайде. 17.01.17 И начнем, мы, пожалуй, с древностей. Первый билд выглядит вот так:https://image.prntscr.com/image/5kwj6-J0S76V2RrrSAh8RQ.png Скан, как видим, за такой промежуток времени очень просел - http://viruscheckmate.com/id/sXpOEv6gDGsO По детектам уже становится понятно что файл накрыт UPX'ом. Чекаем через exeInfo и DIE(Detect it easy) чтоб убедиться: https://image.prntscr.com/image/WAjxuhVbRX6wM4ZhvD5FZA.png Все верно. К тому же, узнаем, что майнер написан на автоите. Для распаковки UPX лично я юзаю встроенный модуль в Aegis Crypter: https://image.prntscr.com/image/S1JtpsAyS1qWNyNvlzR8yg.png После распаковки получаем следующую картину: https://image.prntscr.com/image/cEgDqX6iQT28EZOCL8k4hA.png Файл распакован, мы знаем что он написан на автоите. Теперь остается только прогнать его через exe2Aut (сверху очень много мусора, я выделил основной участок кода): https://image.prntscr.com/image/oVk73EInQE2T9YzSMVdxug.png Алгоритм таков: Идет запрос к логгеру -> Создается папка System32 в ProgramData -> распаковываются файлы майнера в зависимости от разрядности системы -> Создается ярлык Security в папке автозагрузки -> Запускается файл Security.exe через команду CMD. Все эти файлы распаковались вместе с основным: https://image.prntscr.com/image/YpxmgoNAQ6SucJntfVgjHw.png Тут находится обфусцированный батник: https://image.prntscr.com/image/BuZg3hO4TDSIU7PZcjRYCQ.png Autoit-оболочка: https://image.prntscr.com/image/eKD3BFDKSJW1Dxi53DEr5w.png https://image.prntscr.com/image/nOB2OqZ-ThKSfn_rEn9Q8w.png Вот тут очень интересный момент. Файлы скачиваются с сайта разраба (типа автообновление стаба). Далее чекается диспетчер задач и уже запущенный майнер, если не находится - запускается батник, который передает параметры майнеру. И консольный майнер: https://image.prntscr.com/image/QWccbgviQs2u7Lhnrna1PA.png https://image.prntscr.com/image/yjB5akmOSPev0Xu-ZEhbZA.png Довольно примитивно, но и цена на тот момент была соответствующая - 400р. 03.08.17 Тут уже дается аж два файла: https://image.prntscr.com/image/OMsdmqSaQoOSh7C4tW_lpg.png Первый, очевидно, для удаления, второй для майнинга. Смотрим первый: https://image.prntscr.com/image/GlbfzXMWQ46Mazu42pRepw.png Смотрим второй: https://image.prntscr.com/image/hAgcnhTmQBmZuwFtrwb24A.png Опа, опять автоит. Теперь даже без UPX. Загружаем в exe2Aut: https://image.prntscr.com/image/niyjjg1dQKChOaGnWYc_IA.png Мне кажется, или за 7 месяцев ничего не поменялось? Смотрим распаковавшиеся файлы: https://image.prntscr.com/image/QH4dovFkR9_aJJ8UGS1XOw.png Фейк-ошибка https://image.prntscr.com/image/XJddZ88KS0O7rYDLGLVs8g.png Запускатор https://image.prntscr.com/image/WTiVJ7hARoaEgKUHJPqt2Q.png Дроппер https://image.prntscr.com/image/v7f4hnYdTXifNBeSSlKuVQ.png И 2 обфусцированных батника. Видимо, в этот раз, через них происходит прогруз xmrig. Ссылки Продажник - Скрытый контент. http://miped.ru/f/threads/deshevyj-skrytyj-majner.39988/ Нажмите, чтобы раскрыть... Семпл + исходники - https://github.com/ims0rry/Hostis666-hidden-miner
Имея общие понятия компиляции софта на языках программирования, из исходников можно сделать рабочий софт. Гугл в помощь)
