Как стать автором
Обновить

Разбор одного вируса с ТГ канала peekbot

Уровень сложностиПростой
Время на прочтение5 мин
Количество просмотров18K

Эту заметку я решил написать чтобы помочь потенциальными жертвам подобных раздач вирусов, люди пытаются найти способы смотреть ютуб, а находят майнер в свою ОС. Здесь будут приведены все пруфы которые я смог собрать специально заражая этим вирусом отдельную машину с Windows 10.

На ТГ канале peekbot при поддержке его ютубканала peekbot, с видеоинструкциями по установке и настройке, раздаётся файл с вирусом-майнером, внедренный в известный многим пакет zapret.zip с гитхаба, который меняет формат пакетов tcp/ip чтобы "ускорить" старые "медленные сервера" googlevideo и не только. Заранее просьба ко всем - подайте жалобы на эти TG и Youtube каналы с указанием на вирус-майнер. Жертв вируса будет намного меньше если эти каналы исчезнут, там сейчас очень много незадачливых подписчиков (30к на ТГ и 61К а Ютубе).
UPD: на данный момент канал в ТГ заблокирован или удалён, а канал на ютубе в статусе продан.

скрин с его ТГ канала peekbot
скрин с его ТГ канала peekbot
Скрин с его ЮТ канала @peekbot
Скрин с его ЮТ канала @peekbot

Разберём свежую (14.12.2024) вариацию его поделки с вирусами. Распакуем архив FixDPI_.zip и сравним с оригинальным запретом без вирусов. Оригинальный, чистый (слева) занимает 3,3 Мб. Зараженный, справа - 19,4 Мб

Оригинальный zapret слева, зараженный FixDPI__.zip - справа
Оригинальный zapret слева, зараженный FixDPI__.zip - справа

Кроме cygwin1.dll (который есть в оригинале) появился cygwin.exe и libсurl.dll которые являются дальнейшими загрузчиками самих зловредов. Также видим что WinDivert64.sys находится в 7z-архиве (3) с паролем. Так делают чтобы избежать срабатывания антивирусов. Этот файл распаковывается при первом запуске .cmd файла, в нем никаких вирусов нет, это немного хакнутый драйвер, на который всегда агрятся антивирусы, он полная копия того что есть в чистом запрете. Пример из russia_all.cmd, распаковка с паролем windivert64.sys

IF EXIST "WinDivert64.sys" GOTO startwithoutpackage "%~dp07zip.exe" e -pwindivert WinDivert64.7z -o"%~dp0" WinDivert64.sys

Заражаем. Копируем на свежеустановленную win 10, на отдельной машине чтобы надёжно её заразить и проанализировать способы и результат заражения. Запускаем russia_all.cmd и ожидаем пару минут, видим это, и удивляемся.

SteamUpdate.exe
SteamUpdate.exe

Естественно на ОС никакого стима не было и его замаскированный "апдейт" скачался и выполнился загрузчиком вирусов, это можно сказать второй слой заражения. Подтверждение тому что файл только что скачался смотрим в логе вновь созданных файлов который у нас ведёт утилита мониторинга файловой системы. Вот он:

Ловим этот файл в Temp-е и закидываем в вирус-тотал: https://www.virustotal.com/gui/file/74c888e6bdb61ca60e3f91b160a4d6087217443c3da092b77c39faebecf1cd49

Так же в temp создаётся и другой файл OriginPlayer.exe который позже будет переименован в ddxdiag.exe, это тоже компонент вируса майнера или его менеджер. По сути основная часть заражения уже произошла, теперь будем разбираться с тем, как это все работает и маскируется. А для чистоты эксперимента перезагрузимся и больше не будем запускать сами функциональные файлы запрета, ради которых люди и попадаются на майнер. Всё работает уже без них.

После загрузки винды, буквально через пару минут кулеры раскручиваются, растёт температура процессора, загрузка на полную. Пробуем посмотреть в менеджер задач винды, а загрузки - нет, подозрительных процессов тоже. Закрываем таск-менеджер, через минуту вентиляторы разгоняются снова. Классика.

Запустим сторонний диспетчер процессов (process explorer) и наконец увидим 3-й слой заражения, собственно сам работающий майнер, который жрёт ресурсы процессора и занимается отправкой данных по сети.

Оба процесса системные, просто так убить их нельзя. Но найдем где живут их файлы в винде, оказывается все живёт в \Public\Libraries\
UPD: есть ещё третий процесс-копия, который живет тут c:\ProgramData\DirectX\graphics\directxutil.exe)

ddxdiag.exe, directxutil.exe - процессы всегда висящий в памяти, наверняка управляющий запуском основного майнера, запускаются планировщиком задач.
SppExtFileObj.exe - и есть сам майнер, проанализируем его на вирус тотал. https://www.virustotal.com/gui/file/07a4afd0b7b8c22d2279dc335bc4392a40383ad3a0ab9bd24193ccfcfeb0a6c3

Посмотрим с каким хостом он соединяется:

С ip: 51.222.12.201, port: 10343 наверное шлёт свои результаты работы майнинга, но может быть и не только, трафик надо проанализировать отдельно. Найдём данные мудилы, который впихнул в запрет этот вирус, они в ini-шке, рядом с самим майнером: c:\Users\Public\Libraries\AMD\openc\config.ini:

[RandomX]
coin = xmr
wallet = 45wjbEoJWy9ZBJtXRQJSvdfx2U3q8FvCwjPNZrPSJCjwZCu3GrNtskPPbcbE18sWHENTxG23xPwPwg1DabVnPFRE2eiqLDq
rigname = XMR
email = LOVE@proton.me

Рядом лежит файл с логами майнера: c:\Users\Public\Libraries\AMD\opencl\logs\log_2024-12-19_17-13-27.log 

Connected to pool: xmr-us-east1.nanopool.org:10343 | IP: 51.79.71.77
Connected to pool: xmr-us-east1.nanopool.org:10343 | IP: 51.79.71.77

Заключение. Майнер грузит полностью весь CPU/GPU, не сильно, но мешает нормально использовать ОС на слабых процах, жрет энергию и майнит для паразита крипту. По отзывам ощутимо заметен по лагам в играх. Он пытается скрываться, но при использовании альтернативных менеджеров задач например anvir task manager или process explorer вычисляется и в последствии удаляется с ОС.

Структура архива с зараженными файлами может отличаться от версии к версии, он часто её немного меняет, однако конечный майнер и процесс заражения +- одинаковые.

Вредитель который использовал zapret с гитхаба внедрив туда вирус, раскрутив свой Ютуб и ТГ каналы, заразив много десятков тысяч пользователей, надеюсь потеряет эти каналы и возможность майнить на всех зараженных ПК.

Жертвы которые заразились - пренебрегают элементарной логикой. Качать файлы с ТГ групп и чатов, из недоверенных источников, запускать, отключая антивирусы - это полнейшая глупость. Такой майнер - хороший им урок на будущее.

Лечение - вполне вероятно хватит удалить все процессы из памяти например через anvir task manager, удалить все файлы и директории причастные к вирусу, проверить автозапуск, прошерстить реестр и диски разными антивирусами и поисковиками подобного контента.

anvir task manager
anvir task manager

Вопросы, осуждения, одобрения на тему этого вируса можно обсудить в чате телеги, в котором совместно ищем разные версии вируса, дополняем и изменяем гайд по его удалению. https://t.me/keepbot_chat (группу с таким названием, чтобы жертвы скачавшие вирус могли найти решение по удалению) Аавтор канала peekbotcsgo отключил всем пользователям возможность общаться и задавать там вопросы, удалял все упоминания и вопросы о наличии вирусов

UPD: статус его ютуб канала на данный момент:

Его ютуб и TG каналы теперь удалёны. (60к + 30к подписоты было)
Его ютуб и TG каналы теперь удалёны. (60к + 30к подписоты было)

UPD#2: Так получилось что за это время появилось много интересной инфы по этой и другим версиям вируса. С момента общения с пострадальцами, написании гайда появлялись новые версии, доизучались старые, найдены новые места обитания вредосносов и т.д. но об этом позже.

А ещё мне удалось связаться с разработчиком утилиты MinerSearch, которая на момент тестирования не находила ни одного компонента этого майнера и его даунлоадеров. Так что после некоторых тестов, вышла новая версия и сейчас она справляется с вирусом и всеми его последствиями (вирус блокирует запуск нескольких важных файлов системы и известные антивирусы/утилиты через очень древний хак реестра винды Image File Execution Options). Так что кому удалось поймать майнер, и не охота чистить руками - качаем на гитхабе v1.4.7.8 и выше. Утилита опенсорс, находит и киляет кучу разных майнеров, автор открыт к общению. Выражаю респект за подобный качественный софт и подход к вопросам программирования.

Теги:
Хабы:
Всего голосов 40: ↑40 и ↓0+46
Комментарии14

Публикации