Artem
но пока не особо получается
Artem
тормозит просто пиздец
Artem
у меня опять антималваре сожрал 100% цпу
Artem
без запущенной малвари
KosBeg
на виртуалке же? так отключи его к чертям
Artem
что с 100% загруженным цпу сделать непросто
Artem
все
Artem
отпустило
KosBeg
-_-
https://www.oo-software.com/en/shutup10
Artem
так
Artem
вроде уже не так тормозит
Artem
@KosBeg что выбрать?
Artem
KosBeg
я беру remote thread(extended)
Artem
хммм
Artem
похоже, что процесс сразу убивается
Artem
жму на ок
Artem
процесс появляется
Artem
и через пару секунд (terminated)
KosBeg
главное что-бы ты нужные функции похукал(выбрал)
KosBeg
или все бери, просто нужно будет работать с кучей лога
Artem
каждый раз то же самое
Artem
пару секунд работает и terminated
KosBeg
ну значит так зловред работает
Artem
значит как тогда логи посмотреть?
Мб детект дебаггера?
Artem
save capture
Artem
в output
Artem
https://0bin.net/paste/sAd30rw6x6csMk2h#r6NQY7697EEapKacPVnTpbNKNFQ3PXhDY-rMFediC1B
Artem
малварь создает и запускает какой-то бинарь
Artem
после выполнения бинаря она его удаляет
KosBeg
у меня такой лог - https://gist.github.com/KosBeg/2bbec94b0cc87a643c909d7afd69926b
Artem
Func runbin($binary)
$handle = FileOpen(@AppDataDir & "\Sdat.exe", 16 + 2)
$w = FileWrite($handle, $binary)
FileClose($handle)
Run(@AppDataDir & "\Sdat.exe")
EndFunc
Artem
потом FileDelete(@AppDataDir & "/Sdat.exe")
Artem
runbin(_rc4($split[1], $split[3]))
Func runbin($binary)
$handle = FileOpen(@AppDataDir & "\Sdat.exe", 16 + 2)
$w = FileWrite($handle, $binary)
FileClose($handle)
Run(@AppDataDir & "\Sdat.exe")
EndFunc
Это похоже на дешифровку и извлечение тела зловреда в бинарик.
KosBeg
ща скину этот файлик, тот запущу виртуалку
Artem
у меня такой лог - https://gist.github.com/KosBeg/2bbec94b0cc87a643c909d7afd69926b
как такие логи получить?
KosBeg
поставить хуки на все функции
Artem
KosBeg
слева вверху натыкать галочок
Artem
Func _selfdelete($iwait)
ShellExecute(@ComSpec, "/c ping 0.0.0.1 -n 1 -w " & $iwait & " & del " & @ScriptName, @ScriptDir, "open", @SW_HIDE)
Exit
EndFunc
KosBeg
вроде оно
KosBeg
пароль 12345
Artem
все интереснее и интереснее
KosBeg
Artem
Artem
KosBeg
KosBeg
деобфусцированый, более симпатишный вариант(пароль тот же)
Artem
в рефлекторе его посмотреть?
KosBeg
как вариант, я юзаю dnSpy
KosBeg
это декомпиль и дебагер для .NET
KosBeg
https://github.com/0xd4d/dnSpy
Artem
угу, уже качаю
Artem
просто скриншоты со студии на гитхабе увидел
KosBeg
последнюю сборку качать тут - https://ci.appveyor.com/project/0xd4d/dnspy/branch/master/artifacts
KosBeg
или можно последний релиз
KosBeg
последнюю сборку качать тут - https://ci.appveyor.com/project/0xd4d/dnspy/branch/master/artifacts
*но тут свежее 🌚🌚🌚*
Artem
mailMessage.Subject = "SilexStealer - By Fast";
Artem
хобача
Artem
Artem
Artem
Artem
деобфусцированый, более симпатишный вариант(пароль тот же)
кстати, как ты деобфусцировал программу?
Artem
и ещё
Artem
значит основной экзешник был написан на autoit?
Artem
хмм
Artem
aut2exe
Artem
значит он транслирует autoit в с++?
Artem
потому что Detect It Easy показал с++