Проверяем файл на вирусы и исследуем их. Подробный разбор связки вредоносного ПО

Добро пожаловать на наш форум!

Спасибо за посещение нашего сообщества. Пожалуйста, зарегистрируйтесь или войдите, чтобы получить доступ ко всем функциям.


Gibby

Автор
Команда проекта

Регистрация
Сообщений
1,635
Репутация
45
Сделок
Лазал я по забугорным тг каналам в поисках софта для форума и нашел сие чудо:

1.png

Дай, думаю, проверю. Загрузил на VirusTotal

2.png

Мдаа, детектов как у немытой тайской шлюхи.. Ну да ладно, бывают же и ложно детектящиеся софтинки АКА AIO Checker, так что идем дальше

3.png

Итак, разметим сразу интересное:

  1. exe файл
  2. Папка lib
Отчет VirusTotal нас не интересует просто потому что у самих прямые ручки и мы можем сами проверить, но если хотите проверить совесть автора, то можете сверить детекты

Начнем с файла Freedom FoxY - Uplay Account Generator.exe. Для начала загрузим его на VirusTotal:

4.png

5.png
Ага, в Behavior по виртуалкам все пусто, значит есть AntiVM. Интересно-интересно

6.png

О, а вот, собственно, папочка lib себя показала

Мы выяснили что это не что иное как лоадер, давайте разберем его и заглянем в код - проверим на наличие остальной черти в коде. Для этого нам понадобится DnSpy:

Открываем Launcher:

7.png

Ага, помимо Launcher.exe наш лоадер грузит еще и lite.exe:

8.png

9.png

А Launcher.exe он у нас запускает от админа.. Обязательно посмотрим

На этом с Freedom FoxY - Uplay Account Generator.exe мы закончили, перейдем к Launcher.exe:

10.png

Заглянем-ка в Behavior..

11.png

Догадываетесь что это у нас с таким Behavior и весом 53Кб?)))

12.png

Верно, это Redline Stealer с обфусцированными строками. Чтож, попробуем-ка вскрыть наш стиллер
Попробуем открыть его через DnSpy:

13.png

Насколько вы могли заметить DnSpy не смог деобфусцировать код стиллера, но на это есть решение - dotPeek

Пробуем открыть с его помощью:

14.png

Иии.. он справился!

15.png

Правда вот кроме как вычислений мы, так как мы не машины, ничего не увидим, идем дальше

Теперь проверим lite.exe

16.png

17.png

Тут мы видим что он инжектится в запущенный процесс

18.png

А тут что он майнит XMR

19.png

А таже зачем-то открывает YouTube

Ура, мы собрали комплект: майнер + стиллер. И если стиллер с АнтиСНГ не запустится у большинства форумчан, то за майнер мы пока ничего сказать не можем. Давайте пороемся в его коде. И опять при открытии через DnSpy все зашифровано, пробуем через dotPeek:

20.png

В целом тут мы тоже ничего своими глазами не увидим. Итак, мы поняли что тут точно есть вирусы, давайте-ка проверим на виртуалках есть ли в этой вирусне вообще что-то похожее на генератор аккаунтов.

Я загрузил на AnyRun и проанализировал. Итак, разберем:


21.png

Древо стиллера: Freedom FoxY - Uplay Account Generator.exe -> Launcher.exe -> Windows Services.exe
Древо майнера: Freedom FoxY - Uplay Account Generator.exe -> lite.exe -> audiodg.exe -> RegAsm.exe

Так, давайте-ка разберем майнер. Он поинтереснее, поскольку если о работе Redline все осведомлены майнер похоже что приватный. lite.exe является как раз тем генератором, но при нажатии кнопки Generate lite.exe дроппает по пути C:\Users\<USER>\AppData\Roaming\Microsoft файл audiodg.exe с перезаписью, после чего его запускает. audiodg.exe, в свою очередь, инжектит код майнера в RegAsm.exe (системный процесс) со следующей конфигурацией: -B --donate-level=0 -t 2 -a cryptonight --url=xmr.pool.minergate.com:45700 -u [email protected] -p x -R --variant=-1 --max-cpu-usage=50

Разберем каждый из аргументов по отдельности:


  • -B: Этот флаг, вероятно, включает режим фонового выполнения (background mode), что позволяет программе продолжать работу даже после закрытия терминала или сеанса SSH.
  • --donate-level=0: Этот параметр указывает уровень доната (пожертвования) программы. Значение 0 означает, что донат отключен. Обычно программы для майнинга криптовалюты имеют встроенную опцию для пожертвования небольшой доли вычислительной мощности разработчикам.
  • -t 2: Этот параметр указывает количество потоков (или ядер процессора), которые будут использованы для выполнения майнинга. В данном случае указано использование 2 потоков.
  • -a cryptonight: Этот параметр указывает на алгоритм майнинга, который будет использоваться. В данном случае указан алгоритм cryptonight, который является алгоритмом, используемым для майнинга Monero.
  • --url=xmr.pool.minergate.com:45700: Этот параметр указывает адрес пула майнинга, на котором будет выполняться майнинг. В данном случае указан адрес xmr.pool.minergate.com и порт 45700.
  • -u [email protected]: Этот параметр указывает идентификатор (адрес) вашего аккаунта или кошелька на пуле майнинга. В данном случае указан адрес электронной почты [email protected]
  • -p x: Этот параметр указывает пароль или токен для доступа к вашему аккаунту на пуле майнинга. В данном случае пароль установлен как x.
  • -R: Этот флаг, вероятно, указывает на использование режима перезапуска (restart mode), который позволяет программе перезапускаться в случае ошибок или проблем.
  • --variant=-1: Этот параметр указывает вариант алгоритма майнинга. Значение -1 обычно означает автоматический выбор варианта.
  • --max-cpu-usage=50: Этот параметр указывает максимальное использование процессора в процентах. В данном случае установлено ограничение в 50%, что означает, что майнинг не будет использовать более половины доступной вычислительной мощности процессора.

Подведем итоги, мы научились детально проверять на вирусы ПО и защищаться от активного заражения путем исследования древа процессов. Также мы смогли узнать почту и домены владельца вредоносного ПО

Если хотите сделать из этого рубрику, то сделайте хороший фидбек данной теме, а также кидайте ПО на проверку. Я же, в свою очередь, рассмотрю все заявки на проверку и из самых интересных создам новые проверки, если вы захотите. Всем удачи и чистых ПК ;)
 
  • Like
Реакции: root
Сверху