ага)конечно у меня "мощный" ноут с встроенной видюхой
я прям как вводу глядел)
что я их не увидел ;) сделал все как обычный пользователь. скачал и установил
установился торентэксперсс и биткойн-майнер
какие еще, 5-7%
ваш майнер ставится на все тачки где есть длл-модуль OpenCL.dll. а это 50-70%, если не 90% точно
Web-lomaster, конечно нет) только тебя держат за лоха, заинстал ПП платят копейки, но ставят твои пользователям майнер, который в свою очередь принесет больше денег ру-трафу. здесь, конечно нет ничего кримнального.
работайте дальше
Итак дорогие ползьователи - Разоблачние!
как все и думали ru-traff,а именно installmonster.ru под видом спонсоров (которых кстати, не существет) ставит
скрыто от пользлвателей Биткойн-Майнер.
И так все по-порядку:
1)за пару минут я нашел сайт(minecraft-zet.ru) с уствнощиком от инсталмостер AnimalBikes_1.5.1.exe
как видно, что идет скачка ехе-инсталера
проверяем нодом и видим детект
скрины
VT: https://www.virustotal.com/en/file/0c11a660e7fa385aa880cd8f3e237f3d2327e11fd40dc01ee53e7c3ff1f3b6b0/analysis/1372810471/
2)запустил AnimalBikes_1.5.1.exe - наш "безобидный" загрузчик скачал нужный мне архив и открыл его
после чего, установил стартовую страницу на всех бразуерах (изменил ключ в ресстре) на webalta и yamdex.net - (детект KAV - Win32.StartPage.a)
2.1) через пару мин началасось скачаивание "оферов)" модифицированого торрент-express. загрузка его и запуск
это все как я понял для отвлечвения внимания, нужно же "типа" за что-то платить)
Все вроде да, бело и пушисто, но что-то тут не так) Окей ждем, что ему нужно.
торрнет начинает лезть на elx-downloader.net и expr-downloader.org (смотри когда зареган домен , а он зареган 27 дней назад(втроой домен тоже самое), т.е когда был старт партнерки)
скрин:
и Тут о чуда!, буквально через пару мин закачивается NSIS-инсталлер который содержит в себе биткоин- майнер.
http://www.everfall.com/paste/id.php?s17xjh91tt0r
http://www.everfall.com/paste/id.php?gczyh113iotn
отстук в стату: (http://www.everfall.com/paste/id.php?0iqriq74vpqp)
NSIS инсталлер, дроппит InnoSetup инсталлер, тот в свою очередь уже утсанваливает модули для коректнора работы майнера и сам майнер.
диспетчер:
автозагрузка:
детекты: https://www.virustotal.com/en/file/960f30a02b9d9f794bc0c67b577ca02e6901862b1104a9321090b16b67646d41/analysis/1372812486/
https://www.virustotal.com/en/file/0b014f0ca49ca92e3c4bd6fff0d718fdb5a96f7699aa4dd1c67f09d562221fda/analysis/1372812546/
Итог: все клиенты лохи и вас всех кинули :D причем платили вам, деньгами которые намайнились на ваших ботах) работайте дальще
а ру-траф молодцов, воврмея просек идею. "респект!" :D
Теперь конечно, же он будет плюватся пеной и съежать на несуществующих спонсоров, ахах.. продолжение следует :p
а вы закиньте ехе мне в личу или на форум, у меня есть хороший напарник-реверсер
давайте-ка разоблачим ru-traff(InstallMonster.ru):)---------- Добавлено 29.06.2013 в 00:54 ----------
Всем желающим проверить Ваш ехе - кидаем линк на ехе в личку.
сделаем бесплатно реверс и напишем результат здесь
совершенно верно, вот их бит-кошель и пул
я согласен с visions, тут даже ненужно обладать особым умом, чтобы сделать свой майнер можно даже на конфиге феодалов 😂
сделать свой инсталлер(InnoSetup,InstalShieldExpress,WinRAR-SFX, etc.), только заместь user ввести свой бит-кошель.
а так ПП посути забирает 30% или сколько там % себе только за говнокрипт(нод,авира,дрвеб) и стату. еще и ботнет с ваших ботов поимеет ;) . в сети существует куча сервисов по крипту файлов
господа́, не будьте лохами;)
это ПП еще ботнет с вас поимеет. знакомый сделал реверс ихнего инсталятора.
вкратце: run.exe запускает майнер(svchost.exe) и закриптованый троян-данулоадер(libcurl.dta)
который в свою очередь получает команды через icq ввиде xml для загрузки и установки левого софта.
майнер и даунлоадер палятся нодом и др.вебом
блокирует, еще и как! сохранить не дает
посоветуйте хостинг для файлов( где без проблем зарегать рушки)
а то за сутки летят в бан ав.
хочу сменить хотстера и регистратора.
можно ПМ. спасибо!
маил загрузчик https://www.virustotal.com/en/file/55d311a798f0c5f795dd0f8bb316777bce84d9b077257d2092e38bd1a113a373/analysis/1361133930/
ps. заказывайте индивидуальный крипт и будет вам счастье :)
