HimeraLoader многофункциональный downloader со статистикой на iplogger

[Matanbuchus]

Чекать рантайм лоадера без интернета, умно

Если вы готовы арендовать данный лоадер то можете сами без труда чекнуть его на рантайм и скинуть скан сюда. В теме есть отзыв с тестами на популярных аве. Я считаю этого достаточно.

 

[Triada]

Если вы готовы арендовать данный лоадер то можете сами без труда чекнуть его на рантайм и скинуть скан сюда. В теме есть отзыв с тестами на популярных аве. Я считаю этого достаточно.

Ну деньги он тратить не хочет, там скан дороже лоадера твоего

 

[Matanbuchus]

Лоадер обновлен до версии 1.2

- Добавлена возможность запускать файлы в зависимости от разрядности системы (x86 на 32 бит системах x64 на 64 бит)
- Улучшена защита от запуска на дедиках и песочницах
- Добавлена антиэмуляция (задержка на 1 минуту)

 

[Matanbuchus]

Работаем!

 

[Paramedic]

Вообщем, получил я билд лоадера. Вес - 161 килобайт. Собран в студии 2008.
Статически слинкован с CRT, тащит в себе кучу разного мусора. Возможно в этом и есть смысл, некоторые АВ легче реагируют на подобное.
Заглянул в импорт, там вижу так-же кучу разного мусора, и дефолтную связку:

InternetOpenA
InternetOpenURLA
InternetReadFile
CreateFileW
ShellExecuteA

По логике автора при записи на диск на азиатской тачке всё будет ок, однако после записи файл не сможет запуститься из-за использование ShellExecuteA.
Но окей, следуем дальше.
В процессе работы лоадера вызываются некоторые апи со странными параметрами. Хз, походу трешкод, или типо того.
Логика автора мне по прежнему не понятна, но приложу это сюда:

push offset ModuleName ; "YU7R.dll"
call ds:GetModuleHandleW

mov esi, offset aCWindowsSystem_0 ; "C:\\Windows\\System32\\urlmon.dll"
lea edi, [ebp+var_44]
rep movsd
movsw
lea eax, [ebp+var_44]
mov [ebp+pszPath], eax
mov ecx, [ebp+pszPath]
push ecx ; pszPath
call ds:PathFileExistsW

mov esi, offset aCWindowsSystem ; "C:\\Windows\\System32\\attrib.exe"
lea edi, [ebp+var_44]
rep movsd
movsw
lea eax, [ebp+var_44]
mov [ebp+pszPath], eax
mov ecx, [ebp+pszPath]
push ecx ; pszPath
call ds:PathFileExistsW

push offset a7tkd99xvdyfabu ; "7tkd99xvdyfabu.dll"
call ds:GetModuleHandleW

call ds:GetSystemTime
call ds:GetLastError
push offset FileName ; "jhngfvd.exe"
call ds:GetFileAttributesW
mov ecx, [ebp+var_4]

Антимуляции я никакой не нашёл, мб я слепой. Позднее отпишу по реальному рантайму лоадера.

 

[Matanbuchus]

Вообщем, получил я билд лоадера. Вес - 161 килобайт. Собран в студии 2008.
Статически слинкован с CRT, тащит в себе кучу разного мусора. Возможно в этом и есть смысл, некоторые АВ легче реагируют на подобное.
Заглянул в импорт, там вижу так-же кучу разного мусора, и дефолтную связку:



По логике автора при записи на диск на азиатской тачке всё будет ок, однако после записи файл не сможет запуститься из-за использование ShellExecuteA.
Но окей, следуем дальше.
В процессе работы лоадера вызываются некоторые апи со странными параметрами. Хз, походу трешкод, или типо того.
Логика автора мне по прежнему не понятна, но приложу это сюда:











Антимуляции я никакой не нашёл, мб я слепой. Позднее отпишу по реальному рантайму лоадера.

Как работает лоадер вы не поняли мне конечно приятно что я смог защитить код что часть функционала не было найдено но не надо являть свои неверные предположения за факты и уж темболие удалять мои ответы пытаясь выставить свой бред за авторитет.
еще раз отвечаю:
1) Собран он в студии 2017 вот пруф https://ibb.co/VNT436r
2) Сборка происходит в mt дабы не зависеть от dll visual c++
3) Я не использую CreateFileW этой функции вообще нет в коде а ShellExecuteA используеться немного для другова а не для запуска файла.
4) Да треш код присутсвует
5) В лоадере есть тайминг атака которая и являет собой антиэмуляцию. Она скрыта и через иду вы её не найдете.

 

[doggi]

нууу...как бы там не было, удалять не красиво, а то какая та херня получается...а удалили реально(

 

[Matanbuchus]

Выкладываю обновленый рантайм скан с фулл инетом https://dyncheck.com/scan/id/17ffc387277395c8b58ecc4c85289faf

Спойлер: Рантайм

 

[Matanbuchus]

Лоадер обновлен до версии 1.3

Спойлер: Список изменений

- Добавлена поддержка юникода в путях к файлам (для работы на азиатских машинах)
- Улучшена защита от запуска в изолированной среде (песочнице)
- Добавлена возможность отправки запросов на iplogger через редирект

 

[upgrade]

Приобрели лоадер у ТС, отрабатывает хорошо: подгружает и запускает два файла, отсукивает в логгер. Со всеми заявленными функциями справляется.
Насчет детектов точно сказать не могу, так как юзаем в основном на машинах без АВ (специфика работы) но пару раз запускал на машинах в нод32, так тот даже не пикнул ))

 

[cvv2f]

INTERESTED IN BUYING CHECK YOU TELEGRAM

 

[Matanbuchus]

ап

 

[Matanbuchus]

ап

 

[Matanbuchus]

HimeraLoader R.I.P

Именно с этого проекта началась моя история как разработчика лоадеров. Именно с этого проекта начался TriumphLoader и все остальное.

Возможно HimeraLoader был одним из лучших нерезидентный лоадеров на рынке за свои деньги.

Приятно вернуться туда откуда начинал. Надеюсь впереди будет еще не мало успешных проектов. Cтаричкам новой дамаги привет!