• VLMI - форум по обмену информацией. На форуме можете найти способы заработка, разнообразную информацию по интернет-безопасности, обмен знаниями, курсы/сливы.

    После регистрации будут доступны основные разделы.

    Контент форума создают пользователи, администрация за действия пользователей не несёт ответственности, отказ от ответственности. Так же перед использованием форума необходимо ознакомиться с правилами ресурса. Продолжая использовать ресурс вы соглашаетесь с правилами.
  • Подпишись на наш канал в Telegram для информации о актуальных зеркалах форума: https://t.me/vlmiclub

Анализ скрытого майнера от Proga

ims0rry

Omae wa mou shindeiru

ims0rry

Omae wa mou shindeiru
Местный
Сообщения
119
Реакции
679
0 руб.
Jabber
Please note, if you want to make a deal with this user, that it is blocked.
А прежде чем приступить к прочтению - загляни в мой бложик, там я публикую свои авторские статьи по программированию, вирусологии и прочим интересным вещам
Для просмотра содержимого вам необходимо авторизоваться.

Оригинал статьи -
Для просмотра содержимого вам необходимо авторизоваться.


Вся информация предоставлена исключительно в ознакомительных целях. Ни администрация, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи.

Сразу хочу выразить благодарность человеку, предоставившему мне семпл. Это был очень скучный вечер, а тут такой подгон. Имени, разумеется, раскрывать не буду, но спасибо тебе^^


Палка о двух концах
Изначально, когда я разобрался с этим майнером, у меня сложилось немного двоякое впечатление. С одной стороны, довольно интересная реализация, в плане того, что юзеру не надо ничего делать кроме как распространять билд. Мол, вот тебе и крипт сразу на сервере производится раз в сутки, вечный фуд и все такое. Но, с другой стороны, куча подводных камней, которые всплывут, приблизительно, через месяц. Я это проходил еще на первой версии своего майнера.

Вступление
Изначально я получил архив с двумя файлами:
0Cw7IXT2SLegk0QSMYSR5Q.png

Сам билд майнера и файл для удаления всего этого дела с компьютера.
Скантайм майнера - http://viruscheckmate.com/id/emAIuxHEhnsr
Инфа о файлах:

kATeRPyLQO_Gq9psi0hTJA.png


Часть 1. Поведение
Прежде чем ковырять базовые 2 файла, мне хотелось бы взглянуть чего там есть еще интересного. Подрубаем песочницу, Wireshark и начинаем следить за майнером:

После запуска в %appdata% создается папка System и Defender, в течении минут 5-10 туда подкачиваются различные файлы.

Содержимое System:

e6NiuyT6T5GdE_rDTmsnRQ.png

Содержимое Defender:
MG_hs57sR76X9IOq-bAPKg.png

Параллельно следим за запросами:
ObWbDP6wSGyPbuzvNSawVw.png

Смотрим первый запрос и получаем адрес сайта:
6WKS4NdTR7_Mc8fbG6ZIRg.png

Все файлы лежат в трех директориях:
http://qwerty001.ucoz.net/001/
http://qwerty001.ucoz.net/002/
http://qwerty001.ucoz.net/003/

Далее запускаем файл на x64 виртуалке ( спасибо @DmitryAye) и смотрим как устроена автозагрузка.
Чекаем дефолтную автозагрузку:

IV5I2IV.jpg

Видим ссылку на файл в папке Defender. Есть предположение, что это файл, отвечающий за обновление стаба.
Далее смотрим планировщик задач:

aneex7T.jpg

OoxBzTM.jpg

Видим, что есть RunOnce таск, который срабатывает каждую минуту. Несложно сделать вывод, что этот файл при запуске проверяет, не запущен ли майнер, если не запущен - запускает и ждет появление таск менеджера. При перезапуске он пересоздает таск и так по кругу.

Алгоритм скрытия от диспетчера хороший, тут ничего не скажешь. Также, стоит отметить, что папка с файлами майнера полностью скрытая и обычный пользователь ее не найдет. Но может найти файл обновления стаба.

Часть 2. Анализ файлов
В итоге, из всей матрешки, мы получили следующие файлы:
fUKYnbuOSEq2InHYCOZArA.png

Все были собраны в одну папку из Defender, System и их подпапок.

Начнем с самого верха:
0.txt - скачанная страница iplogger'а
Yic5uzUfTk2-uvkGYDwNXw.png

Все конфиги - дефолтные .json конфигурации консольного cpu и gpu xmrig-майнера
2j3mrF8ETTGfT46zaW00ZA.png

del.exe - файл для удаления майнера с компьютера
Смотрим на него через DIE:

AWgYfxv1Rry4eXWfUVzEeA.png

Видим, что это AutoIt, сразу качаем exe2Aut. Но просто так декомпилировать х64 файл не удастся, сначала его надо конвертировать в x32, для этого заюзаем следующий Perl-скрипт (взято с просторов интернета):
Код:
use strict;
use warnings;

my $f=shift || die ("Gimme a file name!");

print STDERR "Processing '$f':\n";
print STDERR "- Reading 'AutoItSC.bin'\n";
open F,"<AutoItSC.bin";
binmode F;
read F,my $a, -s 'AutoItSC.bin';
close F;

print STDERR "- Reading '$f'\n";
open F,"<$f";
binmode F;
read F,my $d, -s $f;
close F;

print STDERR "- Looking for the script\n";
if ($d=~/\xA3\x48\x4B\xBE\x98\x6C\x4A\xA9\x99\x4C\x53\x0A\x86\xD6\x48\x7D/sg)
{
   my $pd=(pos $d)-16;
   print STDERR "- Script found @ ".sprintf("%08lX",$pd)."\n";
   print STDERR "- Creating 32-bit version '$f.a32.exe'\n";
   open F,">$f.a32.exe";
   binmode F;
   print F $a.substr($d,$pd,length($d)-$pd);
   close F;
}
else
{
   print STDERR "- Script not found !\n";
}
Кладем его рядом с AutoItSC.bin (какой-то бинарник автоита, я в этом языке не шарю). Конвертируем файл, прогоняем его через exe2Aut и получаем следущее:
0Ts_ySTtSEaIN_KHbyeztA.png

Т.е. все ранее определенные нами файлы оказались верными.

intel.exe, intel1.exe, NvidiaHelp.exe, RadeonView.exe - консольные xmrig-майнеры (cpu-gpu), накрытые VMProtect'ом:
Mq8BDfykR-mX10KqwPXuTA.png

Ничего сверхъестественного, двигаемся дальше.

Miner.exe - x64 AutoIt лоадер, так же накрытый VMProtect'ом:

OPzZrk6RSZWBT4cz9-GO3Q.png

Снова юзаем наш скрипт по конвертации в x32, далее прогоняем через exe2Aut:
63yAVvbdRra6SigrPa5GTw.png

После запуска, файл создает папки %appdata%\system и %appdata%\system\CONFIG. Далее, если winit.exe еще не установлен, плюет текстовый файл с записанным внутри логгером в %appdata%\system, считывает оттуда логгер, копируется в ту же папку, делает запрос к логгеру (скачивая ту картинку) и удаляет базовый файл логгера (ip.txt).

После чего запускается бесконечный цикл, в котором идет проверка на существование winint.exe и отсутствие taskhost.exe, если условия соблюдены - в папку CONFIG с ресурсов плюются файлы конфига под все 4 майнера, устанавливаются аттрибуты скрытых и системных файлов на папку конфига. Далее качается и запускается PACK.exe, после чего, идет проверка на существование файла taskhost.exe, и, если он существует - процесс завершается.

PACK.exe - файл, следящий за обновлением стаба. Накрыт VMP, скорее всего не является AutoIt скриптом (но это не точно):

S1IGjkHGQAe249C8TEeMgw.png

Файл не зависим от сервера, за исключением подгрузки фейк-дефендера. После запуска, он грузит фейк-дефендер, который в свою очередь обновляет стаб.

taskhost.exe - файл, следящий за процессом лоадера. Также как и он, накрыт VMP, скорее всего не является AutoIt скриптом (но это не точно):

S1IGjkHGQAe249C8TEeMgw.png

После запуска, прописывается в планировщик задач под триггером RunOnce и перезапуском через минуту. В нем, также, заданы тайминги простоя для каждого майнера, когда какой должен включаться/завершаться. После перезапуска следит за консольными майнерами и передает им параметры. Все конфиги передаются в параметрах запуска консольным майнерам через параметр "-c", прим. "-c CONFIG/configCPU.json". ГПУ-майнинг работает только при простое. После запуска, он проверяет наличие таск менеджеров, если их нет - запускает майнеры. Далее, продолжает работать с консольными майнерами, если замечает таск менеджер - оффает все процессы и ждет перезапуска. Не зависим от сервера.

MSASCuiL.exe - файл, отвечающий за обновление стаба с сервера, накрыт VMP:
S1IGjkHGQAe249C8TEeMgw.png

После подгрузки и запуска от PACK.exe добавляет себя в стандартную автозагрузку под именем Windows Defender'а и обновляет консольные майнеры в папках, определяет видеокарту и грузит нужный GPU-майнер.

Часть 3. Юзабельность
Из того что я увидел выше, складывается впечатление что это очень грамотный скам. Т.к. через файл фейк-дефендера разработчик может прогрузить на ваших ботов вообще все что угодно, в том числе и свои конфиги.

Я никогда не устану повторять, что софт, который зависим от серверов разработчика - плохой софт (касается только малвари). Есть зависимость - есть риск потерять всех ботов. У каждого человека, который имеет доступ к такому кол-ву ботов, есть соблазн урвать себе парочку пока никто не видит, поверьте мне, проходил это на первых стадиях продаж.

В плане самой работы у майнера есть ряд недостатков:
[-] Билд не криптуется. Единственное, на что вам стоит рассчитывать - это репротект VMP на сервере раз в сутки. Рано или поздно это перестанет работать, как и темида в свое время.

[-] Конфиг юзера лежит в обычном .json файле, который можно открыть блокнотом и все посмотреть. Радует что хоть папки и файлы находятся под системным аттрибутом.

[-] Тех файлов и исходников, которые я достал вполне достаточно для написания
собственного билдера на основе этого майнера. Убрать только файл фейк-дефендера, который обновляет билды с сервера (или оставить, чтоб на халяву получать обновления), изменить параметры в конфиг-файлах, засунуть эти все файлы в sfx-архив или дроппер с созданием папки %appdata%\system и готово, можно идти продавать (не делайте этого, пожалуйста).

[-] Как я понял, стаб на сервере разделен на 3 категории по версиям майнера (см. ссылки на директории). Проглядев все PACK.exe и taskhost.exe, я понял, что абсолютно на всех версиях "стаб" - это VMProtect. 8000 за протектор? Не, спасибо.

[-] Майнер работает только на x64 системах

Вывод
Майнер хорош в некоторых аспектах реализации, но его явно нужно дорабатывать. Это не стоит таких денег, как указывает продавец. Майнер идеален для новичков в плане простоты и юзабельности, но явно не подходит тем, кто хочет что-то заработать на майнинге.

UPD. Продавец прислушался и сделал версию, где вы можете загрузить все на свой сервер. Он поможет вам с настройкой и прочим. Этот вариант я считаю довольно годным и даже советую к приобретению. Разработчик явно старается улучшить свой продукт и является адекватным человеком.

Считайте это сливом Extreme-версии майнера, где:
"
Полностью OFFLINE версия не используется не каких серверов и подгрузок обновлений."

Ссылки
Скантайм майнера - http://viruscheckmate.com/id/emAIuxHEhnsr
Скантайм PACK.exe - http://viruscheckmate.com/id/NOnkS4Y4set4
Скантайм taskhost.exe - http://viruscheckmate.com/id/LAjF4OiJcKrW
Скантайм фейк-дефендера - http://viruscheckmate.com/id/vwZ1k5QJu8Qr
Скантайм консольных майнеров:
intel.exe - http://viruscheckmate.com/id/5JwoE2EvHLl6
intel1.exe - http://viruscheckmate.com/id/iSlGz4CYcXhL
NvidiaHelp.exe - http://viruscheckmate.com/id/650OibxEi30M

Сервер и папки, распределенные по стабам различных версий:
http://qwerty001.ucoz.net/001/
http://qwerty001.ucoz.net/002/
http://qwerty001.ucoz.net/003/
Исходный код майнера + x32 бинарники + все x64 файлы + изначальные семплы - https://github.com/ims0rry/Proga-cpu-gpu-miner
Продажник - https://vlmi.top/threads/ckrytyj-majner-cpu-gpu-vechnyj-fud-0.12233/
 
Последнее редактирование:

ims0rry

Omae wa mou shindeiru

ims0rry

Omae wa mou shindeiru
Местный
Сообщения
119
Реакции
679
0 руб.
Jabber
Please note, if you want to make a deal with this user, that it is blocked.
Как только что выяснилось, gpu xmrig не юзает 50% от видеокарты, как описано в функционале. Он жрет все 100 без права на конфигурацию
 

Proga

Новичок
Сообщения
0
Реакции
12
0 руб.
Telegram
Благодарю за анализ, но данная версия больше не актуальна ещё вчера вышла версия 2.0. Жду новый анализ)


Как только что выяснилось, gpu xmrig не юзает 50% от видеокарты, как описано в функционале. Он жрет все 100 без права на конфигурацию
GPU майнер работает в простое так что нагрузку ниже стаить не вижу смысла)

Вчера пообщался с автором, адекватный человек. Рассказал как работает старая версия майнера, сейчас в статья почти что точным описанием старой версии, за исключением большей части функционала во время работы сборки.

Мол, вот тебе и крипт сразу на сервере производится раз в сутки, вечный фуд и все такое. Но, с другой стороны, куча подводных камней, которые всплывут, приблизительно, через месяц. Я это проходил еще на первой версии своего майнера.
Сборка в таком режиме живет уже более полу года, и ни каких жалом, что вы там проходили я не знаю.
Эти сервера использовались еще на тестовой версиии использовались только на тестовых лоадерах (по сей день работоспасобны), из этого делаю вывод что на анализе присутствовала даже не версия 1.0, а одна из тестовых.
Я никогда не устану повторять, что софт, который зависим от серверов разработчика - плохой софт (касается только малвари). Есть зависимость - есть риск потерять всех ботов. У каждого человека, который имеет доступ к такому кол-ву ботов, есть соблазн урвать себе парочку пока никто не видит, поверьте мне, проходил это на первых стадиях продаж.
Для параноиков есть услуга залива файлов на их сервер, и конечно же EXTREME версия.
[-] Билд не криптуется.
Все там отлично криптуется.
Единственное, на что вам стоит рассчитывать - это репротект VMP на сервере раз в сутки. Рано или поздно это перестанет работать, как и темида в свое время.
Любое решение в этом плане рано или поздно перестает работать, их огромное количество и когда все же протектор перестанет работать будем использовать другой метод, что никак не отразится на клиентах.
[-] Конфиг юзера лежит в обычном .json файле, который можно открыть блокнотом и все посмотреть. Радует что хоть папки и файлы находятся под системным аттрибутом.
Фикс этого уже готов и выйдет в ближайшую неделю.
[-] Тех файлов и исходников, которые я достал вполне достаточно для написания собственного билдера на основе этого майнера. Убрать только файл фейк-дефендера, который обновляет билды с сервера (или оставить, чтоб на халяву получать обновления), изменить параметры в конфиг-файлах, засунуть эти все файлы в sfx-архив или дроппер с созданием папки %appdata%\system и готово, можно идти продавать (не делайте этого, пожалуйста).
Фикс тоже уже готов и выйде в ближайшую неделю.
[-] Как я понял, стаб на сервере разделен на 3 категории по версиям майнера (см. ссылки на директории). Проглядев все PACK.exe и taskhost.exe, я понял, что абсолютно на всех версиях "стаб" - это VMProtect. 8000 за протектор? Не, спасибо.
К сожалению ты не правильно понял.
[-] Майнер работает только на x64 системах
Универсальная x32 and x64 версии будут готовы ближе к февралю.

Исходный код майнера + x32 бинарники + все x64 файлы + изначальные семплы
Исходный код? Из этого дебага ты смог разобрать только старый лоадер и файл для удаления майнера. А что на счет всего остального ты даже не смог определить на чем же оно все написано. Какая речь может идти об исходном коде.

Я менее двух недель разместил свой продажник на форумах, а ко мне уже столько внимание, стоит задуматься почему?
Как говорится "Конкуренция двигаетль прогресса!"


С уважением ваш Proga.
 
Последнее редактирование:

ims0rry

Omae wa mou shindeiru

ims0rry

Omae wa mou shindeiru
Местный
Сообщения
119
Реакции
679
0 руб.
Jabber
Please note, if you want to make a deal with this user, that it is blocked.
Благодарю за анализ, но данная версия больше не актуальна ещё вчера вышла версия 2.0. Жду новый анализ)
Благодарю за адекватную реакцию)
Удачи в разработке
 

ims0rry

Omae wa mou shindeiru

ims0rry

Omae wa mou shindeiru
Местный
Сообщения
119
Реакции
679
0 руб.
Jabber
Please note, if you want to make a deal with this user, that it is blocked.
UPD. Пообщался с @Proga и дополнил анализ. Немного ошибся насчет файлов PACK.exe и taskhost.exe
 

Onanimka

Участник
Сообщения
5
Реакции
10
0 руб.
Искреннее спасибо ))) У меня подвядшие мозги, стремно с фантазией, выпадал из темы на пять лет ) Трех разборов твоих думаю хватит для схемы )) Еще тему открой, алгоритм построения малвари для страдающих слабоумием на примерах, с картинками XD. Плачу от счастья, Пойду выпью за твое здоровье грамм 500 )
 

wahlberg

Новичок
Сообщения
1
Реакции
0
0 руб.
ля как удалить этот майнер. У меня при запуске компа nvidiahel запускается и скрывается.
 
Сверху Снизу