« Rev
@proasm   303
Fwd »


Artem
если я щас увижу почту автора это будет полная победа
KosBeg
кстати, как ты деобфусцировал программу?
de4dot от того же автора https://github.com/0xd4d/de4dot https://ci.appveyor.com/project/0xd4d/de4dot/build/artifacts
Artem
да
как ты узнал?
KosBeg
потому что Detect It Easy показал с++
он может ошибаться
KosBeg
как ты узнал?
встретил в строках compiled by autoit 🌚
KosBeg
по поводу детекта DIE - в файликов скомпиленых autoIt entry point такой же как и у бинарей VisualStudio
Artem
Artem
Artem
нихто не знает почему тут зарегиться нельзя http://www.winasm.net/ ?
Artem
деобфусцированный крашится при выполнении
Artem
почту бы выудить
­
почту бы выудить
Вечером подключусь с расковыриваеию.
Artem
но судя по исходникам она вводится в текстбоксе
Artem
попробую в иде посмотреть
Artem
ldfld string Form1::string_1
Artem
вот она, родненькая
­
но судя по исходникам она вводится в текстбоксе
Трейсить пакеты к smtp серву гугла. Там чуть ли не плэйнтекстом логин отсылается.
­
wiresharkом?
Да хоть им. Точнее, даже лучше им.
Artem
GOTCHA!
🦥Alex Fails
А что вы ковыряете? Я тож хочу
­
А что вы ковыряете? Я тож хочу
Вирусню. Точнее, стилер.
Artem
Artem
да вы серьезно что ли?
­
https://support.google.com/a/answer/3726730?hl=ru
Artem
Response: 220 smtp.gmail.com ESMTP e11sm117578ljf.44 - gsmtp\r\n
­
да вы серьезно что ли?
Угу. Яж говорил, почти плэйнтекстом. А пасс уже вроде в tls идёт.
Artem
ну что
Artem
это победа
Artem
добро восторжествовало
­
Писать ему будешь?
KosBeg
Писать ему будешь?
а что это даст? вирусне уже больше полгода, хз рабочая ли она(и вирусня и почта и тд)
­
Яб на твоём месте увёл почту, сменил пароли, контрвопросы и ответы на них.
🦥Alex Fails
Сделать свой стилер, кек
🦥Alex Fails
Да. Но спросонья на больную голову оригинальные мысли не приходят(
Artem
хммм
Artem
а я же могу накатать на него заяву
­
Бессмысленно. Вряд ли он свои данные там оставил. Да и выяснится, что он через vpn с выходом в Камбодже сидел.
Artem
да тут какое дело
Artem
автора этого вируса знает тот, кто рассказал мне об этом вирусе
Artem
впрочем
Artem
хер с ним
Artem
он и так морально унижен
­
Ты уже рассказал ему, что вскрыл это поделие?
KosBeg
но перед этим скинь на паст, и сюда ссылку
Artem
скажите, а код второго ехешника как-то в нативный транслирован или IL и требует фреймворк?
Artem
Итак: Инжектор.exe написан на AutoIt и собран с помощью aut2exe. Детектируется как VS C/C++ из-за entry point как у бинарников студии. Инжектор.exe не обфусцирован и не запакован. Исходный код особо не изучал, но основное действие происходит в rc4 и runbin. По сути, Инжектор.exe сам по себе безвреден, но шифрует/дешифирует вредоносный бинарник, записывает его в sdat.exe (steal data, определенно) по пути C:\Users\имя_пользователя\AppData\Roaming\sdata.exe, выполняет его, после выполнения удаляет файл. Хоть selfdelete и так называется так, но я так понимаю, что это просто реализация задержки через вызов пинга. Теперь, sdat.exe - собственно сам стилер - "SilexStealer by Fast". Написан на Visual Basic, обфусцирован с помощью Confuser v.1.9. Деобфусцировать не составляет труда. Судя по всему, стилер с графическим интерфейсом. Обернут в Инжектор. При запуске sdat запускаются ещё четыре процесса - WebBrowserPassView от 1 до 4 с соответствующими иконками браузеров. В итоге ищет пароли от: Firefox (с помощью PasswordFox), Internet Explorer, Chrome, Opera, Messenger (Windows Live), Steam (в случае стима ищет в регистре HKEY_CURRENT_USER\\SOFTWARE\\Valve\\Steam значение SteamPath, то есть собственно путь до установленного стима. В найденной директории ищет SteamAppData.vdf) и Filezilla (в случае файлзиллы ищет хосты, логины и пароли в \FileZilla\\recentservers.xml, предварительно найдя путь до аппдаты). Все полученные данные вредонос отправляет с указанной почты на ту же указанную почту по протоколу SMTP, тема письма - "SilexStealer - By Fast". Адрес, введеный в этот экземпляр вредоноса - e11sm117578ljf.44@gmail.com Встроенным антивирусом Windows 10 детектируется как PasswordFox.
Artem
ну вроде все
KosBeg
Детектируется как VS C/C++ из-за entry point как у бинарников студии. чет не нравится это предложение, как-то оно не так. В любого собраного autoit скрипта EP как в VS. Написан на Visual Basic я кстати не знаю, VB.NET - это отдельный синтаксис VB(типа как PascaABC.NET 😁) или просто другой компилятор для обычного VB?
🦥Alex Fails
ну, в MSVS since 2003 VB работает на .NET
Artem
так что можно считать его овижуал бейсиком
KosBeg
ясно-понятно, значит тут всё в порядке. по поводу EP - тоже все ок
Ruslan
Итак: Инжектор.exe написан на AutoIt и собран с помощью aut2exe. Детектируется как VS C/C++ из-за entry point как у бинарников студии. Инжектор.exe не обфусцирован и не запакован. Исходный код особо не изучал, но основное действие происходит в rc4 и runbin. По сути, Инжектор.exe сам по себе безвреден, но шифрует/дешифирует вредоносный бинарник, записывает его в sdat.exe (steal data, определенно) по пути C:\Users\имя_пользователя\AppData\Roaming\sdata.exe, выполняет его, после выполнения удаляет файл. Хоть selfdelete и так называется так, но я так понимаю, что это просто реализация задержки через вызов пинга. Теперь, sdat.exe - собственно сам стилер - "SilexStealer by Fast". Написан на Visual Basic, обфусцирован с помощью Confuser v.1.9. Деобфусцировать не составляет труда. Судя по всему, стилер с графическим интерфейсом. Обернут в Инжектор. При запуске sdat запускаются ещё четыре процесса - WebBrowserPassView от 1 до 4 с соответствующими иконками браузеров. В итоге ищет пароли от: Firefox (с помощью PasswordFox), Internet Explorer, Chrome, Opera, Messenger (Windows Live), Steam (в случае стима ищет в регистре HKEY_CURRENT_USER\\SOFTWARE\\Valve\\Steam значение SteamPath, то есть собственно путь до установленного стима. В найденной директории ищет SteamAppData.vdf) и Filezilla (в случае файлзиллы ищет хосты, логины и пароли в \FileZilla\\recentservers.xml, предварительно найдя путь до аппдаты). Все полученные данные вредонос отправляет с указанной почты на ту же указанную почту по протоколу SMTP, тема письма - "SilexStealer - By Fast". Адрес, введеный в этот экземпляр вредоноса - e11sm117578ljf.44@gmail.com Встроенным антивирусом Windows 10 детектируется как PasswordFox.
какой то тупой стилер. сейчас уже не модно тырить тупо пароли. насчет самоудаления - задержка, чтобы процесс успел завершиться в большинстве случаев. но это тоже тупо, потому что обычно делают бесконечный цикл с проверкой файла, так надежнее
Ruslan
это если не говорить про то, что он на .net
­
это если не говорить про то, что он на .net
И скорее всего написан на шарпе.
Artem
а хер там, а не адрес
KosBeg
а хер там, а не адрес
я говорил что вирусу уже полгода, он уже полюбом давным-давно разобран, почта побанена, и всё другое тоже
Artem
хочется верить
Artem
в reponse же должен быть адрес?
Artem
Anonymous
а разве вирусы на vb.Net пишут??
KosBeg
ну... как видишь
KosBeg
их на всём пишут - начиная от чистого vb, VB.NET, delphi, .NET, заканчивая С, C++ и конечно же чистого АСМа, но сейчас это бооольшая редкость
JeisonWi
а разве вирусы на vb.Net пишут??
very popular, especially MSOffice malware
Artem
на питоне пишут майнеры которые заражают сервера по ssh
KosBeg
да на всём, ведь что такое компьютерный вирус? програма, которая делает что-то плохое, а реализовать это можно на любом языке
Anonymous
по ссх - просто тупо подобрав пароль?
« Rev
@proasm   303
Fwd »