Анализ скрытого майнера от EvilBanana

Анализ скрытого майнера от EvilBanana

ims0rry

Предисловие

Сразу проспойлерю концовку: этот майнер оказался моим майнером первой версии, только почему-то немного поломанный. За код, который вы увидите, ответственности не несу, я писал его еще 06.17 по гуглу :D

Анализ файла

Как выглядит изначальный билд:

Смотрим что это вообще такое:

Темида? На самом деле, уже на этом моменте я понял, что что-то не так. Ибо я не видел продуктов кроме своего и фоксовского где еще накрывают билды темидой.

Поведение и распаковка

Для анпакинга темиды я решил воспользоваться дедовским способом: запустить файл на виртуалке, сдампить через petools и пройтись universal fixer'ом.

После запуска у меня на виртуалке вылезло вот это:

Кажется, кто-то забыл скомпилить xmrig под релизом. В процессах было это:

А в папку дропнулись следующие файлы:

Тут у меня не осталось сомнений что это древнейшая версия моего майнера. Точно такая же папка дропа, консольный майнер + .NET обертка.

Насмотревшись на поведение майнера, я решил все-таки сдампить процесс:

И получил следующий файл:

К слову, в оригинале не было этих дллок и файл весил гораздо меньше. К тому же, файл в ресурсах (консольный майнер) тоже у меня всегда был под темидой.

Далее прошелся по нему фиксером:

Фикшенный файл впихнул в ILSpy и получил исходный код:

P.S. Код был немного изменен, добавлены какие-то мелочи, но я не вникал

Ссылки

Исходный код + семпл - https://github.com/ims0rry/EvilBanana-ims0rry-v1.0-miner

Продажник - https://lolzteam.net/threads/261557/

--------------------

Автор @ims0rry

https://t.me/ims0rryblog