Вирус на C#

[DildoFagins]

Ой, как так. Склейка
Думаю продолжать смысле нет

Вообще забавно канеш, если отключить логику скрипткидиса и подумать немного. Файл весит 160кб, накрыт вмпротектом, рантайм которого сам по себе будет весить килобайт 150. Да канеш это склейка с малварью размеров в 8кб.

Если серьезно, то проприетарный дотнетовский код в принципе может быть накрыт протектором, тк он легко декомпилируется в общем случае.

 

[UseExploit]

Вообще забавно канеш, если отключить логику скрипткидиса и подумать немного. Файл весит 160кб, накрыт вмпротектом, рантайм которого сам по себе будет весить килобайт 150. Да канеш это склейка с малварью размеров в 8кб.

Если серьезно, то проприетарный дотнетовский код в принципе может быть накрыт протектором, тк он легко декомпилируется в общем случае.

Вряд ли опен сурс либу будет кто-то накрывать вмп) Хотя я могу ошибаться

 

[UseExploit]

Конечно нет смысла продолжать потому, что это не сорсы. Я как бы так и думал, тут кроме скрипткидского отношения ко всему мало, что можно увидеть. Особенно от человека, который на ровном месте пытается кого-то оскорблять. Еще раз, если ты не понимаешь, человек пришел учится. В сорсах есть все, чтобы человек учился. Если тебе плевать там на свои знания и тд, ты просто готов собирать любой код с интернетов в надежде, что это заработает и ты сможешь поднять баблица - это твоя проблема. Не зачем было придераться.

А чем метод запуска зараженной длл-ки не исходный код?

 

[DildoFagins]

Вряд ли опен сурс либу будет кто-то накрывать вмп) Хотя я могу ошибаться

Так а где ее сорсы, я чет не могу найти? Открой ее в dnSpy и увидишь, что там образно два класса, остальное это рантайм вмпротекта, судя по всему. Я не утверждаю, что это не малварь, но для малвари, закрытой вмпротектом - это слишком мало кода.

Это мог сделать автор библиотеки, чтобы исключить возможность декомпиляции. Это мог сделать автор СтормКитти, чтобы увести от антивируса (как бы api anonfile - такое себе, в легитимном софте очень вряд ли будет использоваться). Канеш вмпротект тоже будет палится несколькими аверами, но хотя бы не будет api anonfile в чистом виде.

А чем метод запуска зараженной длл-ки не исходный код?

Человек просил учится, я выдал ему проект с исходниками всего, что он просил изучить. При чем тут длл вообще? Кто просил его использовать эту длл? Берешь исходники, читаешь, изучаешь, профит.

 

[UseExploit]

Так а где ее сорсы, я чет не могу найти? Открой ее в dnSpy и увидишь, что там образно два класса, остальное это рантайм вмпротекта, судя по всему. Я не утверждаю, что это не малварь, но для малвари, закрытой вмпротектом - это слишком мало кода.

Это мог сделать автор библиотеки, чтобы исключить возможность декомпиляции. Это мог сделать автор СтормКитти, чтобы увести от антивируса (как бы api anonfile - такое себе, в легитимном софте очень вряд ли будет использоваться). Канеш вмпротект тоже будет палится несколькими аверами, но хотя бы не будет api anonfile в чистом виде.


Человек просил учится, я выдал ему проект с исходниками всего, что он просил изучить. При чем тут длл вообще? Кто просил его использовать эту длл? Берешь исходники, читаешь, изучаешь, профит.

Мое мнение, что бы изучать нормально код, нужно как минимум использовать дебаггер. Правильно? Дойдет он дебаггером да вредоносного метода, и все, его пк заражен. А кто будет виноват? Правильно-ты

 

[DildoFagins]

Мое мнение, что бы изучать нормально код, нужно как минимум использовать дебаггер

Я прекрасно читаю код без его исполнения и не вижу никакой необходимости в отладчике.

Дойдет он дебаггером да вредоносного метода, и все, его пк заражен. А кто будет виноват? Правильно-ты

Ну во-первых весомых доказательств о том, что эта библиотека заражена нет. Во-вторых, код использующий эту библиотеку еще надо найти. В модулях, связанных со стиллером, эта библиотека не используется.

 

[UseExploit]

Я прекрасно читаю код без его исполнения и не вижу никакой необходимости в отладчике.


Ну во-первых весомых доказательств о том, что эта библиотека заражена нет. Во-вторых, код использующий эту библиотеку еще надо найти. В модулях, связанных со стиллером, эта библиотека не используется.

Смысле нету?) там склейка. Можешь вытащить склееный файл и посмотреть что это. Интрига тебе?
Так причём тут ты? Ты же это другому челу кидал. Несвязанные какие-то у тебя мысли...

 

[UseExploit]

Я прекрасно читаю код без его исполнения и не вижу никакой необходимости в отладчике.


Ну во-первых весомых доказательств о том, что эта библиотека заражена нет. Во-вторых, код использующий эту библиотеку еще надо найти. В модулях, связанных со стиллером, эта библиотека не используется.

Бля, сука. Как ты читал код, если не видишь что это либа юзается

 

[akloskol]

Бля, сука. Как ты читал код, если не видишь что это либа юзается

Я прекрасно читаю код без его исполнения и не вижу никакой необходимости в отладчике.


Ну во-первых весомых доказательств о том, что эта библиотека заражена нет. Во-вторых, код использующий эту библиотеку еще надо найти. В модулях, связанных со стиллером, эта библиотека не используется.

Что за хрень тут происходит и что такое вмп?
вм- виртуальная машина? п - протектор?
если да , то зачем протектор?
Возможно лезу куда не надо)

Мое мнение, что бы изучать нормально код, нужно как минимум использовать дебаггер. Правильно? Дойдет он дебаггером да вредоносного метода, и все, его пк заражен. А кто будет виноват? Правильно-ты

И если честно , то скачивать и открывать какие либо исходники от вирусодела не самая лучшая идея и , к счастью , даже я это понимаю)

И даже если б я сглупил - это же гребаный даркнет , чему удивлятся-то?
Один раз чуть майнер не скачал руторе , в конце загруки подозрительного файла одумался)))

И , наверное , последние вопросы:
- Как проверить свои знания?
- Что думаете насчет codewars?

 

[DildoFagins]

Как ты читал код, если не видишь что это либа юзается

В модулях стилера эта библиотека не используется. Она выкачивается с гитхаба и используется, когда стиллер отправляет данные.

 

[DildoFagins]

Можешь вытащить склееный файл и посмотреть что это.

https://www.virustotal.com/gui/file...d4b6c60c072da8c58ad7a4d67e4c173e1fe9/behavior - заимбеженный файл, VT говорит, что дропает jvm.exe в APPDATA (на самом деле видимо копирует себя) и добавляет в шедулер, затем сам себя удаляет, выходит на 195.2.92.64:80. Анализ в кукушке: https://malwr.ee/analysis/1878407/summary

 

[UseExploit]

Вот са

В модулях стилера эта библиотека не используется. Она выкачивается с гитхаба и используется, когда стиллер отправляет данные.

Вот скажи, ты реально дурак?

 

[DildoFagins]

Вот скажи, ты реально дурак?

Да с тобой нет смысла разговаривать и что-то объяснять, всего хорошего.

 

[UseExploit]

https://www.virustotal.com/gui/file...d4b6c60c072da8c58ad7a4d67e4c173e1fe9/behavior - заимбеженный файл, VT говорит, что дропает jvm.exe в APPDATA (на самом деле видимо копирует себя) и добавляет в шедулер, затем сам себя удаляет, выходит на 195.2.92.64:80. Анализ в кукушке: https://malwr.ee/analysis/1878407/summary

это ботнет, называется еще Qudox.

 

[UseExploit]

Да с тобой нет смысла разговаривать и что-то объяснять, всего хорошего.

Если бы ты еще что-то нормально объяснял...

 

[Quake3]

Общайтесь без мата и взаимных минусов, это технический форум а не конфа по религии. Тут можно доказать тот или иной тезис.

 

[уруру]

я украинец)

А с какого города можешь сказать? Просто следователи КП злые приходят на обыск, если пришлось долго тебя искать.

 

[What So Not]

DildoFagins так по итогу какой вердикт был вынесен? а то очень интересно стало)
п.с. если не затруднит

 

[DildoFagins]

так по итогу какой вердикт был вынесен? а то очень интересно стало)
п.с. если не затруднит

Всмысле вердикт?

 

[What So Not]

Всмысле вердикт?

я про обсуждение Storm Kitty и что мол там ботнет