ims0rry
Omae wa mou shindeiru
Please note, if you want to make a deal with this user, that it is blocked.
А прежде чем приступить к прочтению - загляни в мой бложик, там я публикую свои авторские статьи по программированию, вирусологии и прочим интересным вещам
Оригинал статьи -
Вся информация предоставлена исключительно в ознакомительных целях. Ни администрация, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи.
Для просмотра содержимого вам необходимо авторизоваться.
Оригинал статьи -
Для просмотра содержимого вам необходимо авторизоваться.
Вся информация предоставлена исключительно в ознакомительных целях. Ни администрация, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи.



Ну и запомните эти слова, напоследок:

Итак, начнем:
По традиции смотрим, что за файл у нас:

Какая-то непонятная штука, смотрим через IDA:

Стоит защита от дебаггера, вроде неплохо.
Открываем файл в Resource Hacker:


Видим, что встроено 2 бинарника. Очевидно, один из них - зашифрованный пейлоад, а второй - ключ для дешифрации. Дроппер? Без сомнений. Только зачем на дроппер ставить защиту от дебаггера для меня останется загадкой на всю оставшуюся жизнь.
Поведение
Нет ни настроения, ни желания играться с этими бинарниками чтоб расшифровать, поэтому тупо запускаем на виртуалке и смотрим что куда дропнется. В папке %temp% создались следующие объекты:

Содержимое первой папки:

Содержимое второй папки:

Надо подчеркнуть, скрыть папки у разработчика ума хватило.
Майнер работает через стандартную автозагрузку:

И не скрывается от диспетчера, как указано в топике (это вообще круто, 100% нагрузки в диспетчере, и, да, я ждал примерно минуты 2 с открытым диспетчером):

Анализ файлов
Как выяснилось, дроппер плюется двумя sfx-архивами, которые распаковываются в папке %temp%, их содержание и комментарии:

Автозагрузка также прописана через SFX-комментарий.
System.bat - запускает майнер с параметрами:

System.vbs - запускает System.bat (на этом моменте я блеванул):

WinHelp.bat - восстановление процесса майнера (но это не точно, я в batch не силен):

WinHelp.vbs - запускает WinHelp.bat .-. :

Svchost.exe - консольный xmrig:

Который, к слову, не запускается, если рядом не лежит file.data. Который, в свою очередь, похож на тот зашифрованный файл из RCData (это не он). Видимо, дядя Эдуард предусмотрел возможность юзера запустить билд и сделал какую-то проверку перед запуском (вообще хз что это, ребята, спасите, я как будто в канализацию залез), но то что эти 2 файла можно заменить на любой другой консольный майнер - это факт.
Ах да, увидел в топике прикольную штуку:

Насчет первого мы уже выяснили - этого даже в функционале нет.
Итог
Я хз как этот товарищ прошел проверку аж на двух бордах (дарквеб и влми), но прошел и еще с более херовой версией, как я понял. Ибо у него еще были "крутые" обновления майнера и стаба, а тема висела с незапамятных времен.
Денег такое дерьмо не стоит, даже 600 рублей.
В принципе, можно описать мнением одного из читателей моего блога:

Надеюсь, на бордах начнут проверять софт перед продажей по-лучше.

Ссылки
Скантаймы и прочую ересь я не вижу смысла выкладывать, вы должны понимать что на такой сборке вы там ничего хорошего не увидите. Поэтому:
Исходники + семпл - https://github.com/ims0rry/Eduard1337-Vans-miner
Ссылки на продажники:
- VLMI - https://vlmi.top/threads/skrytyj-majner-po-chelovecheskoj-cene.6688/
- DW -
Для просмотра содержимого вам необходимо авторизоваться.