Ога ;) ,апрель 2014:
"Устанавливая плагин eTranslator вы соглашаетесь с его пользовательским соглашением"
https://www.virustotal.com/ru/file/2f8d0979d9d2eab23cb55ae1a707a501444f22e74fa5276c05f1593f7f34d2a6/analysis/1398158863/
aka http://drw.sh/zfptmw
"Устанавливая Click-n-Mark вы соглашаетесь с пользовательским соглашением и политикой конфеденциальности"
https://www.virustotal.com/ru/file/5bcfb48040ee94831d28526f6bf89f53c5d024852e01bfe1a633dc308f421b94/analysis/1398159187/
"Нажав "Далее" вы принимаете Пользовательское соглашение и соглашаетесь установить 1placeGames"
https://www.virustotal.com/ru/file/3cc14e108d6e690a3635bffe3da193e46df0a72952dd41b0588a113b414f691c/analysis/1398158644/
https://www.virustotal.com/ru/file/44984694a0467172fbc22b31e2552937dd26b4ee4d69b1845a46c73f09e25142/analysis/1398160376/
https://www.virustotal.com/ru/file/9595261b675619562b8b82cb93dbb7fd7c4c81efd20c4059ca2626918a74c7e3/analysis/1398160504/
...
"Белый", ну просто "прозрачный" загрузчик
и чего все возмущаются ;)
http://news.drweb.com/?i=4238&c=5&lng=ru&p=0
А становится всё интереснее и интереснее 🍿
http://news.drweb.com/?i=4237&c=5&lng=ru&p=0
Да у Вас там прям конвейер какой-то ;)
http://news.drweb.com/show/?i=4229&lng=ru&c=9
тут с картинками, так интереснее :)
http://news.drweb.com/?i=4169&c=5&lng=ru&p=0
"Ай, вы сегодня красавцы!!!!" 🍿
нуб детектед.
что и требовалось доказать.
Вау: "дизасамблер: IDA Pro", "хексредактор: HVIEW", "реверс-инжинеринг", да тут прямо гуру реверсер... ☝ обращусь ка я за помощью к нему
Качаем самую свежую версию:
http://stat.zippro.ru/setup-zippro-beta.exe
Выбираем любую "обложку", например unzip_7zip.sfx (md5: e9c9ebaf304830aaa266a15e2443e8a5)
отстук в партнерку и получение полезной нагрузки 0x004BEA5C: "Запуск коммуникационного потока" (коммент авторов) 0x004BED2B: "Подготовка запроса" (коммент авторов) 0x004BED3E: "Запрос" (коммент авторов) 0x004BED5D: непосредственно исполнение запроса и получение результата 0x004BF13F: cmp esi, 1000h ;проверяем сколько пришло, если < 0x1000 байт, то ничего "интересного" не прислали 0x004BF157: call 004900A4 ; расшифровываем полученые данные 0x004BF190: mov edx,[ebp-3c] ; получили указатель на расшифрованные данные 0x004BF1CF: попытка распаковки данных (TZDecompressionStream) 0x004BF1E5: сохраняем размер распакованных данных (PAYLOAD_SIZE)
вызывается на завершении процесса 0x004CCBA4: 0x004CCC22: инсталл тулбара (неинтересно) 0x004CCCB9: проверка (PAYLOAD_SIZE), а удалось ли скачать payload 0x004CCCC2: call 004BE66C ; идем запускать payload (троя)
запускалка троя 0x004BE66C: 0x004BE6D8: проверяем ветку реестра HKCU\SOFTWARE\ZIPPRO, если есть, то наш партнер, не будем ставить троя 0x004BE6EB: проверяем ветку реестра HKCU\SOFTWARE\ZIPPRO2, если есть, то наш партнер, не будем ставить троя 0x004BE746: Sleep(1200000) ; "спим" 20 минут перед инсталляцией троя 0x004BE802: call ShellExecuteW ; запуск троя
Взываю к тебе великий гуру, прокомментируй, plz, с высоты своих знаний! 🤪
P.S. владельцы партнерки внимательно читают тред в отличие от юных гуру, а именно про тест размера ответа их сервера и начали слать
80Кб мусора с каждым ответом. Архиву это не страшно, при попытке распаковать данные (TZDecompressionStream) он обломится и PAYLOAD_SIZE не
заполнится, а значит и попытки доп.установки не будет
P.P.S. в обложку вшит не рабочий домен для отстука, поэтому создавайте полноценный архив или сами пропишите актуальный домен отстука (например через hosts)
Ууу как всё запущено... полная некомпетентность
но учится никогда не поздно:
- Для начала ознакомьтесь /ru/forum/comment/10762974
- Вижу в списке есть Ollydbg: скажите архив с какой обложкой "изучаете", я скажу адрес где поставить бряк и ждать "чуда"
(правда судя по гонору и категоричности такие скилы у вас отсутствуют)
- Ну и самый простой способ, для мастера-"снифера", смотрите ответ на самый первый запрос архива в сеть. Вот в нем-то и приходит заветный
трой, пожатый и покриптованый. Соответственно, если ответ маленький ( < 10 байт) то облом, если большой (>10Kb) то можно его расшифровать
Да, трой раздается не всегда (есть периоды затишья) и не для всех (для хорошо раздаваемых архивов)
P.S. такая любовь к ZIPPRO отлично объясняет "разоблачение" InstallMonsters ;)
https://www.virustotal.com/en/file/1a61a46212233fb6b44a1c03163eab5b9387ac17a6a6dc6765eaef8668abd238/analysis/1373520349/
/ru/forum/735608
только Вам то это зачем?
/ru/forum/comment/10748158
p.s. Пользуясь случаем, передаю привет овнерам в Саратов...
