Проверяем файл на вирусы и чистим систему от активного заражения

Введение

Итак, начнем. Лазал я по забугорным Telegram-каналам в поисках софта для форума и нашел сие чудо:

Первичный анализ

Дай, думаю, проверю. Загрузил на VirusTotal. Отчет с архива доступен по ссылке.

Мдаа, детектов как у немытой тайской шлюхи.. Ну да ладно, бывают же и ложно детектящиеся софтинки АКА AIO Checker, так что идем дальше.

В папке нас встречает вот такая картина:

Разметка содержимого папки

Итак, разметим сразу интересное:

1. exe файл

2. Папка lib

Отчет VirusTotal нас не интересует просто потому, что у самих прямые ручки и мы можем сами проверить. Но если хотите проверить совесть автора, то можете сверить детекты.

Первый файл: Freedom FoxY - Uplay Account Generator.exe

Начнем с файла Freedom FoxY - Uplay Account Generator.exe. Для начала загрузим его на VirusTotal:

Отчет с Freedom FoxY - Uplay Account Generator.exe доступен по ссылке.

Ага, в Behavior по виртуалкам все пусто, значит, возможно, есть AntiVM. Интересно-интересно.

Папка lib

О, а вот, собственно, папочка lib себя показала. Мы выяснили, что это не что иное как лоадер. Давайте разберем его и заглянем в код - проверим на наличие остальной черти в коде. Для этого нам понадобится DnSpy.

Ага, помимо Launcher.exe наш лоадер грузит еще и lite.exe. Посмотрим, что он запускает от админа.

Второй файл: Launcher.exe

На этом с Freedom FoxY - Uplay Account Generator.exe мы закончили, перейдем к Launcher.exe. Отчет о Launcher.exe доступен по ссылке.

Заглянем в Behavior

Догадываетесь, что это у нас с таким Behavior и весом 53Кб?

Верно, это Redline Stealer с обфусцированными строками. Чтож, попробуем вскрыть его интереса ради. Попробуем открыть его через DnSpy.

Насколько вы могли заметить, DnSpy не смог деобфусцировать код программы, но на это есть решение - dotPeek.

Пробуем открыть с его помощью и он справился!

Правда, кроме вычислений мы ничего не увидим, идем дальше.

Третий файл: lite.exe

Теперь проверим lite.exe.

Отчет о lite.exe доступен по ссылке.

Тут мы видим, что он инжектится в запущенный процесс, а также майнит XMR и открывает YouTube.

Ура, мы собрали комплект: майнер + стиллер. Если стиллер с АнтиСНГ не запустится у большинства, то за майнер мы пока ничего сказать не можем. Давайте пороемся в его коде. И опять при открытии через DnSpy все зашифровано, пробуем через dotPeek.

В целом тут мы тоже ничего своими глазами не увидим.

Подведение итогов

Итак, мы поняли, что тут точно есть вирусы. Давайте-ка проверим на виртуалках, есть ли в этой вирусне вообще что-то похожее на генератор аккаунтов. Я загрузил на AnyRun и проанализировал.

Итак, разберем:

• Древо стиллера: Freedom FoxY - Uplay Account Generator.exe -> Launcher.exe -> Windows Services.exe

• Древо майнера: Freedom FoxY - Uplay Account Generator.exe -> lite.exe -> audiodg.exe -> RegAsm.exe

Разбор майнера

Майнер поинтереснее, поскольку о работе Redline все осведомлены, а майнер похоже что приватный. lite.exe является тем самым генератором, но при нажатии кнопки Generate lite.exe дропает по пути C:\Users\<USER>\AppData\Roaming\Microsoft файл audiodg.exe с перезаписью, после чего его запускает. audiodg.exe, в свою очередь, инжектит код майнера в RegAsm.exe (системный процесс) со следующей конфигурацией:

-B --donate-level=0 -t 2 -a cryptonight --url=xmr.pool.minergate.com:45700 -u aslamsahon8@gmail.com -p x -R --variant=-1 --max-cpu-usage=50

Разберем каждый из аргументов по отдельности:

• -B: Этот флаг, вероятно, включает режим фонового выполнения (background mode), что позволяет программе продолжать работу даже после закрытия терминала или сеанса SSH.

• --donate-level=0: Этот параметр указывает уровень доната программы. Значение 0 означает, что донат отключен. Обычно программы для майнинга криптовалюты имеют встроенную опцию для пожертвования небольшой доли вычислительной мощности разработчикам.

• -t 2: Этот параметр указывает количество потоков (или ядер процессора), которые будут использованы для выполнения майнинга. В данном случае указано использование 2 потоков.

• -a cryptonight: Этот параметр указывает на алгоритм майнинга, который будет использоваться. В данном случае указан алгоритм cryptonight, который используется для майнинга Monero.

• --url=xmr.pool.minergate.com:45700: Этот параметр указывает адрес пула майнинга, на котором будет выполняться майнинг. В данном случае указан адрес xmr.pool.minergate.com и порт 45700.

• -u aslamsahon8@gmail.com: Этот параметр указывает идентификатор (адрес) вашего аккаунта или кошелька на пуле майнинга. В данном случае указан адрес электронной почты aslamsahon8@gmail.com.

• -p x: Этот параметр указывает имя воркера на пуле майнинга. В данном случае установлен как x.

• -R: Этот флаг, вероятно, указывает на использование режима перезапуска (restart mode), который позволяет программе перезапускаться в случае ошибок или проблем.

• --variant=-1: Этот параметр указывает вариант алгоритма майнинга. Значение -1 обычно означает автоматический выбор варианта.

• --max-cpu-usage=50: Этот параметр указывает максимальное использование процессора в процентах. В данном случае установлено ограничение в 50%, что означает, что майнинг не будет использовать более половины доступной вычислительной мощности процессора.

Заключение

Мы научились детально проверять ПО на вирусы и защищаться от активного заражения путем исследования древа процессов. Также мы смогли узнать почту владельца вредоносного ПО. Если хотите сделать из этого рубрику, то оставьте хороший фидбек данной теме, а также кидайте ПО на проверку. Я же, в свою очередь, рассмотрю все заявки на проверку и из самых интересных создам новые проверки, если вы захотите.

Всем удачи и чистых ПК :3