Анализ скрытого майнера от Dzotra
ims0rry
Анализ файлов
При покупке выдается следующее:
Оба файла .NET и ничем не накрыты:
Чистильщик майнера нам пока не интересен, поэтому декомпилируем сам билд через ILSpy и смотрим что там есть:
Обычный дроппер, но у него есть рерурсы:
Бинарник, который он, собственно и дропает с запуском. Дампим это все в файл и смотрим что это такое:
Поведение
Еще один дроппер, но уже в виде Smart Install Maker. Переименовываем файл в .exe и запускаем на виртуалке:
Получаем еще 3 файла. Скрытие из диспетчера, к слову, работает криво:
Разбор
intelmain.exe:
Следит за диспетчером задач (будет некорректно работать на Win8-10 из-за case-sensetivity к Taskmgr). Сам дает не меньшую нагрузку, чем майнер, ибо в цикле нет задержки.
intelservice.exe:
Консольный майнер
run.exe:
PureBasic файл с админ-правами. Открываем в IDA и сразу видим защиту от виртуализации:
Весь код замусорен вызовами различных функций, среди них есть функции дешифрации каких-то данных, судя по строкам - конфиг для консольного майнера. А в ресурсах видим подтверждение этому:
Дешифровать все это, мы, конечно, не будем. Ведь можно просто запустить -.-
Файл запускает консольный майнер с дешифрованными параметрами, но они все равно видны в передаваемых параметрах, моя логика на этом моменте укатилась куда-то на уровень Mr.Mir'а.
Ссылки
Исходники + семплы - https://github.com/ims0rry/Dzotra-miner
Продажник - https://lolzteam.net/threads/256380
---------------------------------------
Автор @ims0rry