А прежде чем приступить к прочтению - загляни в мой бложик, там я публикую свои авторские статьи по программированию, вирусологии и прочим интересным вещам
Оригинал статьи -
Вся информация предоставлена исключительно в ознакомительных целях. Ни администрация, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи.
ПредысторияЯ проверяю продаваемый софт на форуме и на днях ко мне пришел селлер данного майнера за проверкой (vlmi[.]su/threads/skrytyj-majner-podarok-2-manuala-po-nakrutke-majnerov.9245). Собственно, я все проверил, разобрал по полочкам и оставил отзыв в его теме и в теме на дарквебсе. После чего, мой селлер на влми тоже оставил отзыв в его теме, но не о софте, а о гуччи, как о селлере. Далее, спустя какое-то время мне на глаза попадает вот это:
И тут я охренел. Парень юзает мой майнер, признает что он лучше чем его (иначе на кой хер использовать другой майнер, вместо того, что ты сам сделал и сам продаешь). Да, я тоже до какого-то момента использовал майнер Hawksh'a, но и свой софт я постоянно развивал и делал лучше, и когда я достиг той кондиции, которая была удовлетворительной лично для меня, я стал сам использовать свой продукт, использую до сих пор и полностью доволен. НО, я никогда не пытался выехать на безобоснованной критике софта Хавка для получения большего кол-ва продаж себе, как пытается это сделать GucciMine с моим продуктом. Данная ситуация меня, конечно, очень огорчила (нет) и я решил, почему бы не показать людям, под чем они оставляют свои положительные отзывы?
Часть 1. Распаковка и автозагрузка
После недолгой возни мне наконец скинули билд майнера, работающий без админ-прав (предыдущий был склеен через SIM, лол).
В архиве находится 2 файла, ярлык на один из них, судя по SFX-скрипту и комментарию селлера, летит в дефолтную папку автозагрузки (последняя строчка коммента)
К слову, о стандартной автозагрузке:
В теме указано следующее
Хочу напомнить, что это реализуется не через дефолтный %startup%, а через планировщик задач, он же schtasks. Что же получается, нас обманули? Частично.
Часть 2. Изучение файлов
После распаковки файлов обнаружилось, что они скрытые по дефолту. Т.е. на них стоит аттрибут hidden.
Только сразу возникает вопрос, почему не хватило ума из строчки
Код:
attrib +h file.exe
Код:
attrib +s +h file.exe
Далее, прогоняем оба файла через DIE и exeInfo:
NotepadHost
SecurityHost
Меня очень заинтересовало, что файл, который работает с консолью накрыт темидой и я решил запустить его в песочнице и проверить свою догадку:
Обычный консольный майнер без вшитого конфига? Серьезно?
На этом моменте процентов 20 из вас уже заранее поняли что находится во втором файле и закрыли статью.
Я, все же, решил протестировать целиком билд на виртуалке. И нашел еще одно несоответствие в описании:
Майнер-таки видно в диспетчере задач, но почему-то, никто в теме об этом не сказал.
Часть 3. Реверс и темная сторона .NET
Как выяснилось выше, второй файл, SecurityHost.exe является .NET приложением в чистом виде (без протекта). Если вбить в гугл, как разреверсить .NET - первая ссылка будет рассказывать о том, как пользоваться dotPeek'ом.
В нем достаточно нажать пару кнопок и вы получите те самые исходники майнера, стоимостью 15 000 рублей
Разреверсив файл, мы увидим такую картину
Алгоритм следующий:
1) Защита от повторного запуска
Ищется процесс с названием SecurityHost.exe, при каждом совпадении инкрементируется переменная num. Далее, если num больше 1, то текущий процесс завершается.
2) Запуск майнера
Создается процесс со скрытой консолью на файл майнера. В параметрах передаются данные от пула (которые, почему-то, вообще никак не скрываются). Процесс стартует.
3) Скрытие от диспетчера задач
Запускается бесконечный цикл, в котором, каждые 2 секунды проверяется наличие процесса диспетчера задач. Если подтверждается наличие, убивается процесс NotepadHost.exe (Xmrig) и стартует задержка в 40 (!) секунд. После чего снова стартует майнер.
Вывод
Подвести итоги я бы хотел цитатой одного знакомого, который в своем очень тонко подметил:
Ссылки
Исходный код майнера + предоставленный семпл -
Ссылка на продажник - https://vlmi.top/threads/skrytyj-majner-podarok-2-manuala-po-nakrutke-majnerov.9245/
Последнее редактирование:
