• XSS.stack #1 – первый литературный журнал от юзеров форума

Удалить Smoke loader

Отслеживать
ViCode

ViCode

ripper
КИДАЛА
Регистрация
20.08.2019
Сообщения
413
Реакции
423
Пожалуйста, обратите внимание, что пользователь заблокирован
В общем озадачился конкуренцией, точнее от проливщиков которые льют в 10 рук со смока.
Но сам не когда да же билд не щупал.
Собственно и вопрос.
А еще лучше билд :smile83: :oops: хотя бы в лс. Буду весьма благодарен.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Гуиде в четырех шагах как найти билд почти любой популярной малвари
1. go to https://app.any.run/submissions
1574582799900.png

2.
3.
1574582586200.png

4.
1574582630400.png

качаешь зип архив,пароль стандартный - infected
Дальше смотри куда он себя прописывает,что меняет и тп и уже от этого отталкивайся
 

Вложения

  • 1574582555600.png
    1574582555600.png
    36.5 КБ · Просмотры: 26
  • 1574582758000.png
    1574582758000.png
    37 КБ · Просмотры: 24
Пожалуйста, обратите внимание, что пользователь заблокирован
Ох бля, ну билд у тебя уже есть, залей на любую вм analyzer, там и увидидишь что софт создаёт и тп, и сможешь понять как его удалить
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Smoke удалить изи мод - закрой explorer.exe ,запусти заного и зайди в папку автозагрузка ,и удали его ярлык :D
 
Если билд не найдёшь то попробуй найти yara правила для смока в гугле и ищи по этим правилам его сигнатуры в памяти с помощью взаимодействия твоего софта и яра движка. Крипторы рантайм не чистят, после какого нибудь loadpe оно все равно окажется в памяти как было в дешифрованном виде, там и словишь.
 
mugwort сказал(а):
Дальше смотри куда он себя прописывает,что меняет и тп и уже от этого отталкивайся
Устанешь так ковырять всех конкурентов )
Учитывая что конкретно для смока нужен какой никакой опыт в реверсе.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Haunt сказал(а):
Устанешь так ковырять всех конкурентов )
Учитывая что конкретно для смока нужен какой никакой опыт в реверсе.
Мне только 1 смок нужен, т.к 1 из моих проливщиков лил мне со смока и не только мне. Не красиво с его стороны.
Я не стал заморачиваться со смоком, прольют то что мне надо, а после повешаю криптолокер.
 
Там рандомная директория с рандомным именем файла в %appdata%
Ключ автозагрузки тоже может быть рандомным в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

А вообще интересная идея сделать "антивирус" для, предположим, 5 наиболее популярных лоадеров (Smoke, Andromeda, a2019, Buer, что там ещё было?)
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Pernat1y сказал(а):
Там рандомная директория с рандомным именем файла в %appdata%
Ключ автозагрузки тоже может быть рандомным в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

А вообще интересная идея сделать "антивирус" для, предположим, 5 наиболее популярных лоадеров (Smoke, Andromeda, a2019, Buer, что там ещё было?)
Было бы четко. Только идет в разрез тематики) но да ладно. Чернуха в Отношение форума :D
 
Чернуха в отношении к продавцам, которые траф перепродают по несколько раз :)
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Pernat1y сказал(а):
Там рандомная директория с рандомным именем файла в %appdata%
Ключ автозагрузки тоже может быть рандомным в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

А вообще интересная идея сделать "антивирус" для, предположим, 5 наиболее популярных лоадеров (Smoke, Andromeda, a2019, Buer, что там ещё было?)
неплохая фича бы была,кстати(хоть немножко по пидорски:)
Как во времена зевса и спая,когда друг друга удаляли
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Pernat1y сказал(а):
Там рандомная директория с рандомным именем файла в %appdata%
Ключ автозагрузки тоже может быть рандомным в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

А вообще интересная идея сделать "антивирус" для, предположим, 5 наиболее популярных лоадеров (Smoke, Andromeda, a2019, Buer, что там ещё было?)
Странная идея ,тк как Андромеда далеко не актуальна ,а Амадей - удалить его не составляет проблем ,смок удалить сложнее тк как он висит в explorer и его не сразу заметно(если кншн авторан не проверить)
 
ViCode сказал(а):
В общем озадачился конкуренцией, точнее от проливщиков которые льют в 10 рук со смока.
Но сам не когда да же билд не щупал.
Собственно и вопрос.
А еще лучше билд :smile83: :oops: хотя бы в лс. Буду весьма благодарен.
Лично не проверял , руки не дошли . ----->>> Забрать тут

hghhhhhh.jpg



sdssds.jpg
 
Последнее редактирование:
Пожалуйста, обратите внимание, что пользователь заблокирован
Пожалуйста, обратите внимание, что пользователь заблокирован
Pernat1y сказал(а):
А вообще интересная идея сделать "антивирус"
Делали такое когда-то для ддос ботов (мб помнишь, на факаве были войны, оптима vs gbot и т.п.).
Так то идея интересная, - ищем все, что в автозагрузке, проверяем подпись, сканим подозрительные процессы. Проблема в том, что щас мало резидентного софта, больше говно вида стиллеров / лохиров, которые , понятное дело, удалять нет смысла.
 
Quake3 сказал(а):
Так то идея интересная, - ищем все, что в автозагрузке, проверяем подпись, сканим подозрительные процессы.
Интересная только для бинарной малвари и примитивного способа автозагрузки(currentversion/run). Такой способ не сработает при атаках с помощью powershell, поскольку вредонос выполняется в контексте легитимного powershell.exe имеющего подпись MS.
+ даже если обьект прогрузки - ехе, ничего не мешает с помощью powershell заинжектить базонезависимый loadpe шеллкод в себя же или куда то ещё.
Так что по подписям и процессам вести поиск это такое себе.
 
mugwort сказал(а):
Вас ничего не смущает?
Смущает конечно-же.
Смущает,что ТС горит желанием пощупать билд , а вы отвечаете за него.
А Вам , простите , какого годика выпуска нравится билдер ?

11111111.jpg

***********************************

222222222.jpg


****************************

333333333333.png
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх