Анализ скрытого майнера от Eduard1337(Vans)
ims0rry![](https://i.imgur.com/2BzceS4.png)
Охх, наконец-то я добрался до этого майнера. На этого персонажа у меня свои обиды. Но, все сошлось удачно, и ничего хорошего про сырки его майнера не скажет ни один адекватный человек (даже тот который не шарит в кодинге, я проверил перед написанием статьи):
![](https://image.prntscr.com/image/uY4wYJK_RTOZO1ptfeggzw.png)
![](https://image.prntscr.com/image/q0GRNDCNThiMBkBawBGL9w.png)
![](https://image.prntscr.com/image/bbWYQKsESzyKw-Lt-m-XTg.png)
Ну и запомните эти слова, напоследок:
![](https://image.prntscr.com/image/7Bkb53yVShWsOmSdlq3thQ.png)
Итак, начнем:
По традиции смотрим, что за файл у нас:
![](https://image.prntscr.com/image/31FWwObzQ5m12fxdWIHCXw.png)
Какая-то непонятная штука, смотрим через IDA:
![](https://image.prntscr.com/image/BSB6SO7VQ0anqJanzd_cUQ.png)
Стоит защита от дебаггера, вроде неплохо.
Открываем файл в Resource Hacker:
![](https://image.prntscr.com/image/QFParJk3QzCbCOa8jwASOQ.png)
![](https://image.prntscr.com/image/T9rsmqKvSmmHQ-ArClLwcg.png)
Видим, что встроено 2 бинарника. Очевидно, один из них - зашифрованный пейлоад, а второй - ключ для дешифрации. Дроппер? Без сомнений. Только зачем на дроппер ставить защиту от дебаггера для меня останется загадкой на всю оставшуюся жизнь.
Поведение
Нет ни настроения, ни желания играться с этими бинарниками чтоб расшифровать, поэтому тупо запускаем на виртуалке и смотрим что куда дропнется. В папке %temp% создались следующие объекты:
![](https://image.prntscr.com/image/-eWeH9NARBe5ypHkX4FEKQ.png)
Содержимое первой папки:
![](https://image.prntscr.com/image/rxeysNrfRcu6VNqrp61rBw.png)
Содержимое второй папки:
![](https://image.prntscr.com/image/QPCoO0dPTGmM9fkSQAZM7A.png)
Надо подчеркнуть, скрыть папки у разработчика ума хватило.
Майнер работает через стандартную автозагрузку:
![](https://image.prntscr.com/image/juAb9k5zQS2m2QbX4Vk8Gg.png)
И не скрывается от диспетчера, как указано в топике (это вообще круто, 100% нагрузки в диспетчере, и, да, я ждал примерно минуты 2 с открытым диспетчером):
![](https://image.prntscr.com/image/6OZ7UpXdQoWYQFRUoplkYw.png)
Анализ файлов
Как выяснилось, дроппер плюется двумя sfx-архивами, которые распаковываются в папке %temp%, их содержание и комментарии:
![](https://image.prntscr.com/image/gmd5tlPDT-W-tjRh6ec8Jw.png)
Автозагрузка также прописана через SFX-комментарий.
System.bat - запускает майнер с параметрами:
![](https://image.prntscr.com/image/zzE_L9oaRW2RhYuCPQF3UA.png)
System.vbs - запускает System.bat (на этом моменте я блеванул):
![](https://image.prntscr.com/image/lDUo2KhET_aE8IbAfjUHGw.png)
WinHelp.bat - восстановление процесса майнера (но это не точно, я в batch не силен):
![](https://image.prntscr.com/image/njMCRGtHTeu6ZYboLqsI9g.png)
WinHelp.vbs - запускает WinHelp.bat .-. :
![](https://image.prntscr.com/image/cPzQcmLkSg_QUkwVLLLZWA.png)
Svchost.exe - консольный xmrig:
![](https://image.prntscr.com/image/8Wn9IxPnT262byFTTkaUig.png)
Который, к слову, не запускается, если рядом не лежит file.data. Который, в свою очередь, похож на тот зашифрованный файл из RCData (это не он). Видимо, дядя Эдуард предусмотрел возможность юзера запустить билд и сделал какую-то проверку перед запуском (вообще хз что это, ребята, спасите, я как будто в канализацию залез), но то что эти 2 файла можно заменить на любой другой консольный майнер - это факт.
Ах да, увидел в топике прикольную штуку:
![](https://image.prntscr.com/image/qumyw5EIQfmAZWYOKvhI_A.png)
Насчет первого мы уже выяснили - этого даже в функционале нет.
Итог
Я хз как этот товарищ прошел проверку аж на двух бордах (дарквеб и влми), но прошел и еще с более херовой версией, как я понял. Ибо у него еще были "крутые" обновления майнера и стаба, а тема висела с незапамятных времен.
Денег такое дерьмо не стоит, даже 600 рублей.
В принципе, можно описать мнением одного из читателей моего блога:
![](https://image.prntscr.com/image/ldpTHnsyRAyGw9MlygKGkw.png)
Надеюсь, на бордах начнут проверять софт перед продажей по-лучше.
![](https://image.prntscr.com/image/TlGvXZ-XTpqe6eqeXLxkHg.png)
Ссылки
Скантаймы и прочую ересь я не вижу смысла выкладывать, вы должны понимать что на такой сборке вы там ничего хорошего не увидите. Поэтому:
Исходники + семпл - https://github.com/ims0rry/Eduard1337-Vans-miner
Ссылки на продажники:
VLMI - https://vlmi.su/threads/skrytyj-majner-po-chelovecheskoj-cene.6688/
DW - https://darkwebs.ws/threads/43212/
-------------------------------
Автор @ims0rry