• XSS.stack #1 – первый литературный журнал от юзеров форума

Разбираем склейки софта от школьников, барыг и вредителей

Отслеживать
Fedor22 сказал(а):
Лучше ищи хорошую и нормальную альтернативу, а не вот этот троян.
Согласен, но не думаю, что хорошая альтренатива вот так вот запросто будет раздаваться направо и налево. За это как минимум попросят пару-тройку эфиров.
Разверну виртуалку в изолированном пространстве, Брандмауэром убью выход на 88.99.66.31, если выживу - дам знать, как оно.
 
Fedor22 сказал(а):
Итак, после запуска этого софта в директорию C:\Users\admin\AppData\Local\Temp дропается файл VkBrute by DarkSHA v0.3.exe, что уже вызывает подозрение
Это не подозрение , это обычная практика распаковки зверья в темпоральную директорию .
Файл VkBrute by DarkSHA v0.3.exe - есть чистый файл + всё что приклеено распаковалось рядышком ..

IAUQv.gif


Прямая ссылка на видео (формат mp4) ----- >>>> https://i.yapx.ru/IAUQv.mp4


Fedor22 сказал(а):
вместе с ним в ту же директорию запускается дропнутый этим же файлом start.exe
Этот файл пингует твой айпи - ну тоесть стучит сюда : 88.99.66.31 .
Скопируй и вставь ето в браузер и ты попадёшь на ************ :)

fgfgfgfgf.jpg


Fedor22 сказал(а):
C:\Users\admin\AppData\Roaming\Microsoft\Windows файл Helper.exe,
Всё верно , кто то освоил AUTOIT :D---
Но проблем , декомпилим :

fgfgfgfgfававва.jpg



поглянем во внутрь :

fgfgfgfgfававвапппп.jpg



Fedor22 сказал(а):
start.exe, который тоже начинает запускать множество процессов самого себя

fgfgfgfgfававваппппмммм.jpg


*********************
далее ,
c0exist_ - проверь путь ----- C:\users\Хакер всея руси \appdata\roaming\microsoft\windows\tor\tor.exe
Файл щимиться в сеть , это всё из этой склейки .

*********************

вообщем банальный майнер .
Ник ТС-а Kerimhan
Мыльник в скрипте - "nadzhapov1@gmail.com"
, что с вероятностью в 99% процентов говорит о том что ТС и есть склейщик и албанец ,
котрый спалился по полной .

0ddf2a0e6620246d8aacacf5641e8ae0.jpg




fgfgfgfgfававваппппммммаавв.jpg

********************************
дальше раскручивать не стал , время позднее , да и желание отбивают дети ---->>>

https://xss.pro/threads/38046/post-237272

fgfgfgfgfававваппппммммааввееекеке.jpg


fgfgfgfgfававваппппммммааввееекекеоорор.jpg


nullptr - здесь своё веское слово скажи ... завтра посмотрю )
 
Последнее редактирование:
Установил на VMWare 15.5 Windows 10 Enterprise x64, запустил эту красоту.
  1. Жму "Старт" - говорит "дай базу" и ищет именно файл "БАЗА.txt". Окей, создал, засунул ссылку на Бузову, выбрал.
  2. Снова жму "Старт" - говорит "дай прокси", делаю ему "ПРОКСИ.txt", сую одну из бесплатных проксей с 200 мс пингом, рабочую.
  3. Жму "Старт" - анимация загрузки на курсоре и ничего более.
Как верно происследовал выше Fedor22, все симптомы трояна отлично себя проявили. svchost и start легли в диспетчер задач, молотя по порогу мощностей, выделенных виртуалке. Сама программа при этом так ничего и не сделала. Закрытие VkBrute, ясное дело, ни на что не повлияло. Скам, не работает, содержит вирус.

2020-06-24 23_36_55-Window.png
 
Bard сказал(а):
Это не подозрение , это обычная практика распаковки зверья в темпоральную директорию .
Файл VkBrute by DarkSHA v0.3.exe - есть чистый файл + всё что приклеено распаковалось рядышком ..

IAUQv.gif


Прямая ссылка на видео (формат mp4) ----- >>>> https://i.yapx.ru/IAUQv.mp4



Этот файл пингует твой айпи - ну тоесть стучит сюда : 88.99.66.31 .
Скопируй и вставь ето в браузер и ты попадёшь на ************ :)

Посмотреть вложение 11423


Всё верно , кто то освоил AUTOIT :D---
Но проблем , декомпилим :

Посмотреть вложение 11424


поглянем во внутрь :

Посмотреть вложение 11425




Посмотреть вложение 11426

*********************
далее ,
c0exist_ - проверь путь ----- C:\users\Хакер всея руси \appdata\roaming\microsoft\windows\tor\tor.exe
Файл щимиться в сеть , это всё из этой склейки .

*********************

вообщем банальный майнер .
Ник ТС-а Kerimhan
Мыльник в скрипте - "nadzhapov1@gmail.com"
, что с вероятностью в 99% процентов говорит о том что ТС и есть склейщик и албанец ,
котрый спалился по полной .

Посмотреть вложение 11434



Посмотреть вложение 11428
********************************
дальше раскручивать не стал , время позднее , да и желание отбивают дети ---->>>

https://xss.pro/threads/38046/post-237272

Посмотреть вложение 11429

Посмотреть вложение 11430

nullptr - здесь своё веское слово скажи ... завтра посмотрю )
Благодарю, спасибо за поправки и дополнительную информацию.
mikezexter сказал(а):
Установил на VMWare 15.5 Windows 10 Enterprise x64, запустил эту красоту.
  1. Жму "Старт" - говорит "дай базу" и ищет именно файл "БАЗА.txt". Окей, создал, засунул ссылку на Бузову, выбрал.
  2. Снова жму "Старт" - говорит "дай прокси", делаю ему "ПРОКСИ.txt", сую одну из бесплатных проксей с 200 мс пингом, рабочую.
  3. Жму "Старт" - анимация загрузки на курсоре и ничего более.
Как верно происследовал выше Fedor22, все симптомы трояна отлично себя проявили. svchost и start легли в диспетчер задач, молотя по порогу мощностей, выделенных виртуалке. Сама программа при этом так ничего и не сделала. Закрытие VkBrute, ясное дело, ни на что не повлияло. Скам, не работает, содержит вирус.

Посмотреть вложение 11431
Тебе тоже спасибо.
 
DarkSHA сказал(а):
Опять какой то даун делает склейку с моим софтом.
И да, чекер я вырезал и вернул 1 первую, тк не учел ограничения на кол-во запросов к api vk в секунду.
Регистрация 24.06.2020
Сообщения 1

А откуда этот даун твой софт взял?
 
Осторожно, склейка со стиллером Echelon. После запуска файл Echelon.exe дропается в директорию C:\Users\admin\AppData\Local\Temp и начинает красть данные. После этого в ту же директорию и в C:\ProgramData дропается файл Decoder.exe, который, вероятно, является клиппером. Об этом нам говорит путь файла проекта, который находится внутри него:
Код: 
D:\важное\ShinobuClipper-master\Новая папка (3)\Clipper\Clipper\bin\Release\Obfuscated\Inc.Infrastructur Host driver.pdb
Потом запускается планировщик задач, который выполняет следующую команду, а именно создаёт папку systems32_bit и дропает в неё файл systems32.exe:
Код: 
"C:\Windows\System32\schtasks.exe" /create /sc MINUTE /mo 1 /tn "Windows Services" /tr "\systems32_bit\systems32.exe" /f
Также в директорию C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup дропается файл windows driver update.exe, т.е. вписывается в автозагрузку. У обоих этих файлов один и тот же путь файла проекта, что и у Decoder.exe, и один и тот же хэш.
Скриншоты дропа и путей файлов проекта:
1.png

2.png

3.png

4.png

5.png

6.png
 
Последнее редактирование:
Пожалуйста, обратите внимание, что пользователь заблокирован
Последнее редактирование:
Пожалуйста, обратите внимание, что пользователь заблокирован
2all.png

Offline Paradise Ransomware

Сканирование всех локальных дисков и всех доступных сетевых путей;
Высокая скорость: для каждого диска и сетевого пути работает отдельный поток;
Пропуск системных каталогов Windows и каталогов браузеров;
Генерация дешифровщика на основе зашифрованного файла;
Корректная работа на всех ОС;
Локер не имеет зависимостей, не использует сторонние библиотеки.
Повышение привилегий - CVE-2018-8453 , CVE-2019-1069
Завершение некоторых процессов для освобождения открытых файлов;
Удаление точек восстановления;
Установлена защита от запуска в СНГ сегменте;
вес оригинального файла: 20кб;
Возможность менять записку как вам будет удобно.

У вас должно быть более 20 сообщений для просмотра скрытого контента.
Продажник ссылка forum.exploit.in скачать https://anonfiles.com/N3P2b6b7pc/C_rar склейка!
 
Последнее редактирование модератором:
Пожалуйста, обратите внимание, что пользователь заблокирован
Спасибо за то что выложил, деш сделали на эту версию?
 
Последнее редактирование:
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх