Привет. Вся история начинается с того, что Гл. Модератор попросил меня проверить "крипт", который продавал один пользователь.
И пересылает мне файл:
У меня сразу возникли 2 вопроса:
Естественно нужно подтвердить свою теорию.
Смотрим анализ DiE (Detect It Easy):
Но даже наличие Confuser(Ex), нас не остановит. Прогоняем файл через de4dot mod by kao и открываем в dnSpy. И сразу открою точку входа (функция main):
Видим вызов 4 функций, Q4 -> Q1 -> Q3 -> Q2 , правильный порядок для корректной работы.
Q4 - генерирует путь до файла, в папке temp, с расширением .tmp, а потом меняет его на .vbs:
Q1 - запись из ресурса в файл .vbs:
Q3 - Запускает .vbs скрипт (о нем позже):
Q2 - ждет окончания выполнения скрипта и удаляет его (WaitForExit прописан в Q3):
А теперь перейдем к тому самому vbs скрипту:
VBS - Visual Basic, выполняются такие скрипты в оболочке PowerShell.
Честно скажу: этот язык я не знаю. Но просто просматривая названия функций, очень не сложно догадаться, что это загрузчик.
Так же там находится какая-то форма, но в точке Main и в других функциях это форма не вызывается.
Посмотрим же на саму тему:
Подведу итог:
За 10$ вы получаете даже не крипт, а просто лоадер. Лоадер с зависимостью и где половина функционала не соответствует описанию (не говоря о том, что предлагается крипт, а дают лоадер).
Другая версия: https://telegra.ph/Analiz-kripta-ot-Helex-SupremeSellerr-09-02
И пересылает мне файл:
У меня сразу возникли 2 вопроса:
- Как можно закриптовать файл, сжав 6 мб до 44 кб?
- Почему файл называется loader1.exe
Естественно нужно подтвердить свою теорию.
Смотрим анализ DiE (Detect It Easy):
Но даже наличие Confuser(Ex), нас не остановит. Прогоняем файл через de4dot mod by kao и открываем в dnSpy. И сразу открою точку входа (функция main):
Видим вызов 4 функций, Q4 -> Q1 -> Q3 -> Q2 , правильный порядок для корректной работы.
Q4 - генерирует путь до файла, в папке temp, с расширением .tmp, а потом меняет его на .vbs:
Q1 - запись из ресурса в файл .vbs:
Q3 - Запускает .vbs скрипт (о нем позже):
Q2 - ждет окончания выполнения скрипта и удаляет его (WaitForExit прописан в Q3):
А теперь перейдем к тому самому vbs скрипту:
VBS - Visual Basic, выполняются такие скрипты в оболочке PowerShell.
Честно скажу: этот язык я не знаю. Но просто просматривая названия функций, очень не сложно догадаться, что это загрузчик.
Так же там находится какая-то форма, но в точке Main и в других функциях это форма не вызывается.
Посмотрим же на саму тему:
Подведу итог:
За 10$ вы получаете даже не крипт, а просто лоадер. Лоадер с зависимостью и где половина функционала не соответствует описанию (не говоря о том, что предлагается крипт, а дают лоадер).
Другая версия: https://telegra.ph/Analiz-kripta-ot-Helex-SupremeSellerr-09-02