Анализ скрытого майнера от Dzotra

Анализ скрытого майнера от Dzotra

ims0rry

Анализ файлов

При покупке выдается следующее:

Оба файла .NET и ничем не накрыты:

Чистильщик майнера нам пока не интересен, поэтому декомпилируем сам билд через ILSpy и смотрим что там есть:

Обычный дроппер, но у него есть рерурсы:

Бинарник, который он, собственно и дропает с запуском. Дампим это все в файл и смотрим что это такое:

Поведение

Еще один дроппер, но уже в виде Smart Install Maker. Переименовываем файл в .exe и запускаем на виртуалке:

Получаем еще 3 файла. Скрытие из диспетчера, к слову, работает криво:

Разбор

intelmain.exe:

Следит за диспетчером задач (будет некорректно работать на Win8-10 из-за case-sensetivity к Taskmgr). Сам дает не меньшую нагрузку, чем майнер, ибо в цикле нет задержки.

intelservice.exe:

Консольный майнер

run.exe:

PureBasic файл с админ-правами. Открываем в IDA и сразу видим защиту от виртуализации:

Весь код замусорен вызовами различных функций, среди них есть функции дешифрации каких-то данных, судя по строкам - конфиг для консольного майнера. А в ресурсах видим подтверждение этому:

Дешифровать все это, мы, конечно, не будем. Ведь можно просто запустить -.-

Файл запускает консольный майнер с дешифрованными параметрами, но они все равно видны в передаваемых параметрах, моя логика на этом моменте укатилась куда-то на уровень Mr.Mir'а.

Ссылки

Исходники + семплы - https://github.com/ims0rry/Dzotra-miner

Продажник - https://lolzteam.net/threads/256380

---------------------------------------

Автор @ims0rry

https://t.me/ims0rryblog