Оригинал статьи -
Вся информация предоставлена исключительно в ознакомительных целях. Ни администрация, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи.
Сразу проспойлерю концовку: этот майнер оказался моим майнером первой версии, только почему-то немного поломанный. За код, который вы увидите, ответственности не несу, я писал его еще 06.17 по гуглу :D
Анализ файла
Как выглядит изначальный билд:
Смотрим что это вообще такое:
Темида? На самом деле, уже на этом моменте я понял, что что-то не так. Ибо я не видел продуктов кроме своего и фоксовского где еще накрывают билды темидой.
Поведение и распаковка
Для анпакинга темиды я решил воспользоваться дедовским способом: запустить файл на виртуалке, сдампить через petools и пройтись universal fixer'ом.
После запуска у меня на виртуалке вылезло вот это:
Кажется, кто-то забыл скомпилить xmrig под релизом. В процессах было это:
А в папку дропнулись следующие файлы:
Тут у меня не осталось сомнений что это древнейшая версия моего майнера. Точно такая же папка дропа, консольный майнер + .NET обертка.
Насмотревшись на поведение майнера, я решил все-таки сдампить процесс:
И получил следующий файл:
К слову, в оригинале не было этих дллок и файл весил гораздо меньше. К тому же, файл в ресурсах (консольный майнер) тоже у меня всегда был под темидой.
Далее прошелся по нему фиксером:
Фикшенный файл впихнул в ILSpy и получил исходный код:
P.S. Код был немного изменен, добавлены какие-то мелочи, но я не вникал
Ссылки
Исходный код + семпл - https://github.com/ims0rry/EvilBanana-ims0rry-v1.0-miner
Продажник -
