About Teletype
Join
Marshal STRIMER (Official)
@greedywillfuckurmum
June 29, 2023

Как проверить файл и защититься от активного заражения?

Шалом! Хотел скачать крутой софт с форума, но боишься троянских коней? Прислушайся к этой статье.

Взято с https://endway.su/, вводи STRIMER в поле «рефер».

Итак, начнём. Лазал я по забугорным тг каналам в поисках софта для форума и нашел сие чудо:

Дай, думаю, проверю. Загрузил на VirusTotalответ убил.

Сам отчёт

Мдаа, детектов как у немытой тайской шлюхи… ну да ладно, бывают же и ложно детектящиеся софтинки aka AIO Checker, так что идём дальше.

В папке нас встречает вот такая картина:

Итак, разметим сразу интересное:

  1. *.exe файл.
  2. Папка lib.

Отчёт VirusTotal нас не интересует просто потому что у самих прямые ручки и мы можем сами проверить, но если хотите проверить совесть автора, то можете сверить детекты.

Начнём с файла Freedom FoxY — Uplay Account Generator.exe. Для начала загрузим его на VirusTotal:

Ага, в Behavior по виртуалкам все пусто, значит есть AntiVM. Интересно-интересно.

О, а вот, собственно, папочка lib себя показала.

Мы выяснили, что это ничто иное как лоадер, давайте разберем его и заглянем в код — проверим на наличие остальной черти в коде. Для этого нам понадобится DnSpy.

Открываем Launcher:

Ага, помимо Launcher.exe наш лоадер грузит ещё и lite.exe:

А Launcher.exe он у нас запускает от админа. Обязательно посмотрим

На этом с Freedom FoxY — Uplay Account Generator.exe мы закончили, перейдем к Launcher.exe:

Ссылка на отчёт

Заглянем-ка в Behavior

Догадываетесь что это у нас с таким Behavior и весом 53Кб?)))

Верно, это Redline Stealer с обфусцированными[?] строками.

А вот и хосты, на которые стучит стилер:

fp2e7a.wpc.2be4.phicdn.net fp2e7a.wpc.phicdn.net

На хосты жалобы я уже скинул + запустил репортбот, но они, к сожалению, абузоустойчивы.

Итак, мы поняли что тут точно есть вирусы, давайте-ка проверим на виртуалках есть ли в этой вирусне вообще что-то похожее на генератор аккаунтов.

Я загрузил на AnyRun и проанализировал. Итак, разберём:

Короче, глянь сам: Analysis Uplay Account Generator — Freedom FoxY.rar (ANY.RUN)

Подведем итоги, мы научились детально проверять на вирусы ПО и защищаться от активного заражения путем исследования древа процессов. Также мы смогли узнать почту и домены владельца вредоносного ПО. Также я опустил кое-что — помимо стилера, софт подгружает ещё и майнер Монеро. Вот такие пироги.

Если хотите сделать из этого рубрику, то сделайте хороший фидбек данной теме. Всем удачи и чистых ПК ;)

Greedy Life — твой кошерный канал об онлайн-андеграунде!

Strimer's Weekdays — мысли контент-менеджера, инсайды, преждевременная публикация постов из Greedy Life.

Если тебе нравится контент, задонать рогатке по кнопке ниже. От тысячи рублей хорошая скидка на рекламу!

Marshal STRIMER (Official)
June 29, 2023, 16:46
1 reaction
0 views