Гайд - Проверяем файл на вирусы и защищаемся от активного заражения | End Way - форум программирования и сливов различных скриптов
  • Присоединяйтесь к нам в телеграм канал! EndWay канал | EndSoft канал | EWStudio канал
  • Хочешь поставить скрипт, но не умеешь?
    А может ты хочешь свой уникальный скрипт?

    Тогда добро пожаловать в нашу студию разработки!

    Телеграм бот: EWStudioBot
    Телеграм канал: EWStudio

Гайд Проверяем файл на вирусы и защищаемся от активного заражения

DeCoded

Кибермаг
Автор темы
8 Янв 2023
731
1,759
93
Итак, начнем. Лазал я по забугорным тг каналам в поисках софта для форума и нашел сие чудо:

1688030595365

Дай, думаю, проверю, а если все хорошо, то залью в эндвей. Загрузил на VirusTotal

1688030689551


Мдаа, детектов как у немытой тайской шлюхи.. Ну да ладно, бывают же и ложно детектящиеся софтинки АКА AIO Checker, так что идем дальше


В папке нас встречает вот такая картина:

1688030937567

Итак, разметим сразу интересное:
  1. exe файл
  2. Папка lib
Отчет VirusTotal нас не интересует просто потому что у самих прямые ручки и мы можем сами проверить, но если хотите проверить совесть автора, то можете сверить детекты

Начнем с файла Freedom FoxY - Uplay Account Generator.exe. Для начала загрузим его на VirusTotal:

1688031641388


1688031675222

Ага, в Behavior по виртуалкам все пусто, значит есть AntiVM. Интересно-интересно

1688031728520

О, а вот, собственно, папочка lib себя показала

Мы выяснили что это не что иное как лоадер, давайте разберем его и заглянем в код - проверим на наличие остальной черти в коде. Для этого нам понадобится DnSpy:

Открываем Launcher:
1688031998855

Ага, помимо Launcher.exe наш лоадер грузит еще и lite.exe:

1688032100120

1688032154002

А Launcher.exe он у нас запускает от админа.. Обязательно посмотрим

На этом с Freedom FoxY - Uplay Account Generator.exe мы закончили, перейдем к Launcher.exe:

1688032398950


Заглянем-ка в Behavior..

1688032449817

Догадываетесь что это у нас с таким Behavior и весом 53Кб?)))

1688032507454

Верно, это Redline Stealer с обфусцированными строками

fp2e7a.wpc.2be4.phicdn.net
fp2e7a.wpc.phicdn.net

На хосты жалобы я уже скинул + запустил репортбот, но они, к сожалению, абузоустойчивы

Чтож, попробуем-ка вскрыть наш стиллер, интереса ради. Вынесу это в спойлер, кому неинтересно могут пропускать его и читать дальше

Попробуем открыть его через DnSpy:
1688032763726

Насколько вы могли заметить DnSpy не смог деобфусцировать код стиллера, но на это есть решение - dotPeek

Пробуем открыть с его помощью:
1688032952915
Иии.. он справился!

1688033067146
Правда вот кроме как вычислений мы, так как мы не машины, ничего не увидим, идем дальше

Теперь проверим lite.exe
1688033147982


1688033459153

Тут мы видим что он инжектится в запущенный процесс

1688033491917

А тут что он майнит XMR

1688033518670

А таже зачем-то открывает YouTube

Ура, мы собрали комплект: майнер + стиллер. И если стиллер с АнтиСНГ не запустится у большинства форумчан, то за майнер мы пока ничего сказать не можем. Давайте пороемся в его коде. И опять при открытии через DnSpy все зашифровано, пробуем через dotPeek:

1688034415510

В целом тут мы тоже ничего своими глазами не увидим. Итак, мы поняли что тут точно есть вирусы, давайте-ка проверим на виртуалках есть ли в этой вирусне вообще что-то похожее на генератор аккаунтов.

Я загрузил на AnyRun и проанализировал. Итак, разберем:
1688035742939


Древо стиллера: Freedom FoxY - Uplay Account Generator.exe -> Launcher.exe -> Windows Services.exe
Древо майнера: Freedom FoxY - Uplay Account Generator.exe -> lite.exe -> audiodg.exe -> RegAsm.exe

Так, давайте-ка разберем майнер. Он поинтереснее, поскольку если о работе Redline все осведомлены майнер похоже что приватный. lite.exe является как раз тем генератором, но при нажатии кнопки Generate lite.exe дроппает по пути C:\Users\<USER>\AppData\Roaming\Microsoft файл audiodg.exe с перезаписью, после чего его запускает. audiodg.exe, в свою очередь, инжектит код майнера в RegAsm.exe (системный процесс) со следующей конфигурацией: -B --donate-level=0 -t 2 -a cryptonight --url=xmr.pool.minergate.com:45700 -u [email protected] -p x -R --variant=-1 --max-cpu-usage=50

Разберем каждый из аргументов по отдельности:

  • -B: Этот флаг, вероятно, включает режим фонового выполнения (background mode), что позволяет программе продолжать работу даже после закрытия терминала или сеанса SSH.
  • --donate-level=0: Этот параметр указывает уровень доната (пожертвования) программы. Значение 0 означает, что донат отключен. Обычно программы для майнинга криптовалюты имеют встроенную опцию для пожертвования небольшой доли вычислительной мощности разработчикам.
  • -t 2: Этот параметр указывает количество потоков (или ядер процессора), которые будут использованы для выполнения майнинга. В данном случае указано использование 2 потоков.
  • -a cryptonight: Этот параметр указывает на алгоритм майнинга, который будет использоваться. В данном случае указан алгоритм cryptonight, который является алгоритмом, используемым для майнинга Monero.
  • --url=xmr.pool.minergate.com:45700: Этот параметр указывает адрес пула майнинга, на котором будет выполняться майнинг. В данном случае указан адрес xmr.pool.minergate.com и порт 45700.
  • -u [email protected]: Этот параметр указывает идентификатор (адрес) вашего аккаунта или кошелька на пуле майнинга. В данном случае указан адрес электронной почты [email protected] (можете отправить на него жалобу на пул для бана и написать в FBI, так как он, скорее всего, из Америки ну или просто сдеанонить его и сделать что захотите).
  • -p x: Этот параметр указывает пароль или токен для доступа к вашему аккаунту на пуле майнинга. В данном случае пароль установлен как x.
  • -R: Этот флаг, вероятно, указывает на использование режима перезапуска (restart mode), который позволяет программе перезапускаться в случае ошибок или проблем.
  • --variant=-1: Этот параметр указывает вариант алгоритма майнинга. Значение -1 обычно означает автоматический выбор варианта.
  • --max-cpu-usage=50: Этот параметр указывает максимальное использование процессора в процентах. В данном случае установлено ограничение в 50%, что означает, что майнинг не будет использовать более половины доступной вычислительной мощности процессора.

Подведем итоги, мы научились детально проверять на вирусы ПО и защищаться от активного заражения путем исследования древа процессов. Также мы смогли узнать почту и домены владельца вредоносного ПО

Если хотите сделать из этого рубрику, то сделайте хороший фидбек данной теме, а также кидайте ПО на проверку. Я же, в свою очередь, рассмотрю все заявки на проверку и из самых интересных создам новые проверки, если вы захотите. Всем удачи и чистых ПК ;)
 

Вложения

  • 1688031471273.png
    1688031471273.png
    44.1 KB · Просмотры: 13
  • 1688034257106.png
    1688034257106.png
    26.3 KB · Просмотры: 10
Like
  • 9
Реакции: 8 users

lamer

Сеньор
13 Мар 2023
82
31
0
Круто, теперь можно вычислить владельца и закинуть ему стиллер с майнером и лоадером. Только странно то что на майнер приватный денег хватило, а закриптовать нет
 
Активность:
Пока что здесь никого нет