А прежде чем приступить к прочтению - загляни в мой бложик, там я публикую свои авторские статьи по программированию, вирусологии и прочим интересным вещам
Оригинал статьи -
Вся информация предоставлена исключительно в ознакомительных целях. Ни администрация, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи.
Статистика
Для начала, пройдемся по фактам:
1) Заливал я специальный лоадер с встроенным логгером, который, по идее, защищает от слива на VirusTotal. Файлы, которые он подгружал - майнер и клиппер (рассмотрим просто на примере майнера)
Изначальный детект лоадера - http://viruscheckmate.com/id/jRi33HOfl76I
Изначальный детект майнера - http://viruscheckmate.com/id/OTrkOZGnSde5
2) Инсталлы лились, примерно, 9 часов. После того, как Алеша сообщил об окончании залива, скорость была 2 kH/s на майнере:
И 3801 отстучавших в логгер:
После прогруза я еще раз проверил файлы на детект:
Детект лоадера после прогруза - http://viruscheckmate.com/id/UfpK4MPzZZ03 (не изменился)
Детект майнера после прогруза - http://viruscheckmate.com/id/AmIYSG4MtgWI
Вопросы
Сразу возникает ряд вопросов:
1) Почему отстучало не 4500, а 3800, в то время, когда лоадер остался с таким же детектом? Это, по сути, 700 потерянных установок. Вариант с тем, что на 700 компах стоит Clam AntiVirus можете сразу отбросить куда подальше.
2) Почему так сильно задетектился майнер, если он был прикрыт лоадером, который не позволяет ему быстро засориться?
3) Почему такая маленькая скорость и как скоро это окупится? Ведь, это 100% рабочая схема: взять майнер, взять инсталлов и пойти рубить крипту на пассиве.
Давайте разберемся с каждым по порядку
Отстук
Еще на середине залива, Алеша сказал, что пошла какая-то неадекватная разница с логгером и его статистикой и посоветовал заменить лоадер. Я просканировал лоадер на VirusCheckmate - все окей, как было, так и осталось, сказал что проблема на его стороне.
Изначально разница была в 200, но когда утром я увидел что она оторвалась до 700, я немного впал в ступор. Снова просканировал лоадер, снова такой же детект. Зависимостей на нем, также, нет. Где еще 700 машин? Ответа на этот вопрос я не знаю, но знаю точно, что не может быть 700 машин с Clam антивирусом. Выводы? Сделайте их сами, ведь потерять 700 лишних загрузок такое себе удовольствие.
Детекты
После того, как я просканировал файлы во второй раз, я решил попробовать поискать их на вирустотале по md5-хешу, и, как ни странно, я их нашел:
Отсюда возникает еще 2 вопроса:
1) Почему заливаемый файл попал на VirusTotal?
2) Почему лоадер не спас майнер от VirusTotal?
Во-первых, как выяснилось, у 90% инсталлеров попадание файла на VT - вполне нормальная практика и делать они ничего с этим не собираются. Типа, ну, делайте крипт лучше, у вас софт говно, я не виноват. Да-да, все заливщики всегда винят софт, я вам это как разраб говорю. А потом ко мне бегут клиенты и просят манибек, и за софт, и за инсталлы.
Во-вторых, никакой лоадер (вернее, тем более, лоадер) не спасет ваш файл от залива на вирустотал. Чтоб файл попал на ВТ и не был задетекчен впоследствии - это должен быть либо чистый файл без вирусов, либо запароленный архив без какого-либо намека или информации об этом пароле.
Окуп
Вот мы и подошли к самому интересному, как окупить майнер с инсталлов? Давайте еще раз пройдемся по той информации, которую имеем:
1) Файл запускается далеко не на всех загрузках
2) Файл попадает на ВирусТотал, примерно, на середине залива
3) Защититься от слива на ВТ на таких инсталлах невозможно
4) Скорость майнинга с 4500 инсталлов (3800(70)) - 2 kH/s (на момент написания этого предложения упала до 1.3 kH/s)
Итак, за 14 000 рублей мы с вами получили:
-- Среднюю скорость 2 kH/s
-- $5 в день, при условии, что компы будут работать 24 часа в сутки. Либо же, $2 в сутки, если смотреть правде в глаза.
-- Воркеры, по идее, должны отвалиться, примерно, через 3-5 дней, когда у всех пользователей обновятся базы в их антивирусах (А они, к слову, берутся с VirusTotal)
Т.е., по итогу, вы за 14 000 получаете, кхм, в лучшем случае - 120 рублей в день. И то, на пару дней. Вскоре это будет 60 рублей в день, а потом и 30. Но, даже если учесть, что все эти воркеры без антивирусов, и будет постоянно 120/день, то окупаемость составит, без малого, 116 дней, что равняется почти 4-м месяцам. На эти деньги легче купить видеокарту, окупаемость примерно такая же.
Вывод
Чтобы получать фидбек с инсталлов, вам как минимум необходимо купить нормальный криптор (от $400), приватку какого-либо майнера (от $1000), хороший ботнет (от $300) и инсталлов, тысяч так 20-50 ($1100 - $2750).
Минимум ваших затрат - это $2800 (165 000 RUB).
Закончить эту статью я бы хотел, хоть и грубыми, но содержащими истину словами одного человека, который очень давно занимается скрытым майнингом и добился в этом немалых успехов:
