Привет, друзья. Пару дней назад мне на руки попал Уникальный билд майнера от некоего Dzotra21, погуглив - я выяснил, что этот человек торгует своим софтом на lzt, его тема казалась весьма живой, функционал манил меня, я загорелся интересом потыкать его майнер. Собс-но тема :
На руках у меня был уникальный билд, ценой в целых 800 рублей. Как заявляет селлер, билд криптуется, имеет малый детект антивирусами.
Что-же, давайте начнём с веса билд, он составляет 1.1 мб. Заливаем его в PE сканнер, и видим :
Заливаем на ВТ ( один раз не пидарас, да и билд не жалко ) , видим результат :
13 из 67, чуствуете * вдыхает воздух * , пахнет приват билдом. ( Нет, блять - пахнет впаренным неопытному покупателю файлом, накрытым протектором )
- А что по рантайму?
> Держите, господа :
В очередной раз убеждаемся, что по сути мы доплачиваем селлеру 400 рублей за воздух.
Итак, не буду томить, давайте же запустим :
После запуска в директории " C:\ProgramData " создаётся папка под названием " Intel Usb 3.0 " , ее содержимое :
Что-же мы видим? Приоткрою занавесу тайны, и скажу, что в данной папке находятся 2 Pure Basic файла, и один чистый .net файл. Засовываем его в dnSpy, и видим :
Мда... Что-же, лично я не понимаю, почему нельзя всё поместить в одном файле, продолжим.
В %temp% у нас создаётся папка, в ней - батник. Что же там? Давайте проверим :
Ха-ха, вот и " Полная невидимость в диспетчере " подьехала.
Давайте подведём итоги. Начнём с функционала :
<Автозагрузка> - через реестр, ничего стоящего.
<Скрытая папка и файлы майнера, даже с опцией "Видеть скрытые файлы и папки> - attrib +s +h
<Невидимый процесс (Скрытие в ДЗ)> - чистим %temp%, скрытия нет.
<Неубиваемый процесс> - такой функции вообще не наблюдается, убью cmd.exe, майнер не запустится.
<Системные файла майнера> - attrib +s +h
<Никаких vbs, sfx и прочего мусора> - подчеркивать в своём продукте то, что он не состоит из vbs и bat скриптов в 2018 году... Серьёзно?
<Перезапись файлов после перезагрузки> - Ладно, хоть и криво реализовано, цена этому - 30 рублей.
<Защита от повторного запуска> - здесь всё нормально, хоть что-то качественно работает.
<Малый детект антивирусами> - результаты выше, мы покупаем сперму осьминога за 800р.
=====================================================================================
За такой майнер, я бы не отдал даже 200 рублей, сборка подобного чуда - дело на минут 30 при нулевых знаниях в программировании.
Надеюсь, вам понравилась моя статья. Если отклик будет хорошим - анализы приваток не заставят себя ждать. Спасибо, что уделили время.
=====================================================================================
Ссылка на файлы майнера : https://www.sendspace.com/file/m9z7no
VT: https://www.virustotal.com/#/file/a...dbb7a0a5e05298584514c627265e650dc3b/detection
На руках у меня был уникальный билд, ценой в целых 800 рублей. Как заявляет селлер, билд криптуется, имеет малый детект антивирусами.
Что-же, давайте начнём с веса билд, он составляет 1.1 мб. Заливаем его в PE сканнер, и видим :
Заливаем на ВТ ( один раз не пидарас, да и билд не жалко ) , видим результат :
13 из 67, чуствуете * вдыхает воздух * , пахнет приват билдом. ( Нет, блять - пахнет впаренным неопытному покупателю файлом, накрытым протектором )
- А что по рантайму?
> Держите, господа :
В очередной раз убеждаемся, что по сути мы доплачиваем селлеру 400 рублей за воздух.
Итак, не буду томить, давайте же запустим :
После запуска в директории " C:\ProgramData " создаётся папка под названием " Intel Usb 3.0 " , ее содержимое :
Что-же мы видим? Приоткрою занавесу тайны, и скажу, что в данной папке находятся 2 Pure Basic файла, и один чистый .net файл. Засовываем его в dnSpy, и видим :
Мда... Что-же, лично я не понимаю, почему нельзя всё поместить в одном файле, продолжим.
В %temp% у нас создаётся папка, в ней - батник. Что же там? Давайте проверим :
Ха-ха, вот и " Полная невидимость в диспетчере " подьехала.
Давайте подведём итоги. Начнём с функционала :
<Автозагрузка> - через реестр, ничего стоящего.
<Скрытая папка и файлы майнера, даже с опцией "Видеть скрытые файлы и папки> - attrib +s +h
<Невидимый процесс (Скрытие в ДЗ)> - чистим %temp%, скрытия нет.
<Неубиваемый процесс> - такой функции вообще не наблюдается, убью cmd.exe, майнер не запустится.
<Системные файла майнера> - attrib +s +h
<Никаких vbs, sfx и прочего мусора> - подчеркивать в своём продукте то, что он не состоит из vbs и bat скриптов в 2018 году... Серьёзно?
<Перезапись файлов после перезагрузки> - Ладно, хоть и криво реализовано, цена этому - 30 рублей.
<Защита от повторного запуска> - здесь всё нормально, хоть что-то качественно работает.
<Малый детект антивирусами> - результаты выше, мы покупаем сперму осьминога за 800р.
=====================================================================================
За такой майнер, я бы не отдал даже 200 рублей, сборка подобного чуда - дело на минут 30 при нулевых знаниях в программировании.
Надеюсь, вам понравилась моя статья. Если отклик будет хорошим - анализы приваток не заставят себя ждать. Спасибо, что уделили время.
=====================================================================================
Ссылка на файлы майнера : https://www.sendspace.com/file/m9z7no
VT: https://www.virustotal.com/#/file/a...dbb7a0a5e05298584514c627265e650dc3b/detection