💥 НЕ СКАЧИВАЙТЕ ВИРУСЫ! SKEBOB или же fixskebob DiscordFix.exe | Zapret (Запрет: обход блокировки Дискорда и Ютуба)
Продолжаем наблюдать за тем как Фиксик распространяет вирусы по старой схеме.
Ему лень менять название поста поэтому он выглядит также как и раньше:
Для тех, кто не знает, zapret это аналог GoodbyeDPI, но круче)
Обходятся блокировки только от РКН, айпи не меняется.
Всё максимально просто:
1. Отключаем антивирус
2. Кидаем файл в любую свободную папку и запускаем. Если после запуска ,что-то высветится то нажимаем да.
3. Запускаем файл DiscordFix.exe ОТ ИМЕНИ АДМИНИСТРАТОРА!!
4. Правой кнопкой по start_now.cmd -> Отправить -> Рабочий стол (создать ярлык)
5. Запускаем ярлык с рабочего стола и радуемся! Пока открыто окно zapret, все блокировки РКН будут обходиться!
(Пароль:1234)
Архив также запаролен. Но прежде чем что-то говорить давайте посмотрим что внутри.
В папке систем снова всё чисто:
А вот к основной папке несколько вопросов:
Файл start_now.cmd чистый и его можно запускать:
Файл же openglmodfix.bat бесполезен, он просто запускает exe файл. Зачем автор его оставил? Возможно чтобы скрыть обнаружение антивирусами?
Касперский определяет его как банкир, и это уже сильное заявление так как он определил его не просто как "подозрительный объект" или "троян неизвестной наружности" а смог определить его чёткий класс:
Скрипт создаёт файл wms temp.exe, который соединяется с неким айпишником:
Что любопытно никакого интерфейса я не вижу, тогда зачем этот ехе файл здесь вообще нужен? Это задаёт некоторые вопросы...
После небольшого поиска информации мы можем найти что это url=stratum — так называемый майнинг биткоинов.
Судя по всему эти параметры определяют как майнинг будет происходить:
--keepalive=true --nicehash=false --cpu-max-threads-hint=40 --cpu-affinity=0x1 --threads=1 --randomx-init=1 --pass=conf --tls --donate-level=1 --cpu-priority=5 --cpu-memory-pool --huge-pages --randomx-mode=auto --randomx-1gb-pages --randomx-cache-qos=false --randomx-numa=false --http-enabled=false --background --autosave=false --print-time=60 --health-print-time=60 --retries=5 --retry-pause=5 --watch=true --pause-on-battery=false --pause-on-active=false --verbose=0
Также видно что он пернаментно грузит ЦП:
Он также блокирует папку Temp, но после повышения прав можно заметить вот такие ехе файлы:
Анализ вирустотал не просто показывает что это вирус А ПРЯМО ГОВОРИТ ЧТО ЭТО БИТКОИН МАЙНЕР!
Сам же оригинальный файл DiscordFix.exe определяется как стиллер:
Но даже если это вас не убедило, мы продолжим смотреть что создаёт этот майнерю
В первую очередь он загружает powershell скрипты через onenotem.exe
Далее видно адрес по которому он загружает файл:
Перейдя по адресу мы найдём тот самый вирусный файл: http://github.com/ferst-100s52/gfdhhtrth
Позже в аккаунте мы также находим другие вирусы:
Далее он создаёт папку под названием биткоин:
И последний гвозд в крышку гроба — он пытается прочитать куки файлы браузеров и телеграм аккаунтов. Зачем запрету это делать?
После чего он пытается украсть ключи шифрование для биткоин кошельков и различных расширений:
Также он пытается заместить свои следы и удаляет все файлы которые только что создал:
Никакое НЕвирусное приложение не будет записывать неизвестные файлы в папку microsoft и косить под taskhostw.exe!
Сам файл зашифрован поэтому проверить его код нельзя:
Полный отчёт тут: https://hybrid-analysis.com/sample/b390b1d068d207826aebd1b27f3e84f287e1c1eb823bb3ff2e91ee7efbfea4c9/68ac99b2977d65ae8002c5b8