Почему кряки определяются как вирусы

Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь.

Плата STM32F103C8T6. Ложное срабатывание кнопки
Подключаю матричную клавиатуру. Ножку B6 в кубе делаю на вход и вешаю на нее одну из кнопок.

Listbox ложное срабатывание onClick при прокрутке
Приложение под Android. В общем ситуация такая: когда пальцем крутишь список Listbox'a.

Ложное срабатывание DVD привода на ноутбуке HP dv6 7052sr
Ни с того ни с сего начал срабатывать оптический привод в ноутбуке!Что уже ни делал-систему.

Почему антивирус так видит - ответят только разработчики этого антивируса.

Кряк, кейген может быть упакован, криптован, и антивирус может реагировать.

Когда вы ставите антивирус, и он пишет "обнаружена угроза", а вы не верите антивирусу (верите, что это не угроза) , то тогда зачем ставили ??

Как я заметил, Нод, касперский и доктор веб обычно не ругаются на такой софт, если этот софт не совершает деструктивных действий (ворует пароли из браузера, шифрует файлы и требует выкуп за расшифровку и т.д.)

антивирус на такие действия и должен срабатывать.
Нормальный антивирус должен не срабатывать, если программа не вредоносная. Если эвристический анализ ошибся - это ещё простительно, но когда выключаешь эвристику и антивирус все равно пишет "троянская , вредоносная программа" - лично мне хочется поставить другой антивирус. Трояна там нет с 99% гарантией .

Товарщиц SonyK. про что говорил - про сигнатурный, эвристический анализ или проактивную/превентивную/мониторинг активности ? Я так понимаю, что он говорил про сигнатурный и эвристический анализ.

Кстати, baskspace2014 видимо хотел сказать, что антивирус ругается, когда трейнер ещё не запустили. И трейнер ничего ещё не изменил или "заморозил" в ОЗУ, а антивирус уже ругается (я так понимаю, файловый антивирус) .

Denis Nikonov
И трейнер ничего ещё не изменил или "заморозил" в ОЗУ, а антивирус уже ругается (я так понимаю, файловый антивирус) .

А Вы лично пробовали хотя бы 1 трейнер добавить в исключения, но только файлового антивируса? И для примера, реагирует ли Ваш антивирус на АртМани (в смысле проактивка)? По идее, если реагирует на Артмани, то должен был бы и на трейнер. Но, наверное, трейнер ничего не замораживает, а только активирует встроенные читы игры.

По идее, если реагирует на Артмани, то должен был бы и на трейнер. Но, наверное, трейнер ничего не замораживает, а только активирует встроенные читы игры.

Уважаемый, читайте внимательно, что я написал. Повторяю. Есть файл "game_trainer.exe" . Его скачали в папку "Трейнеры". Просто скачали файл. Компонент "файловый антивирус" просканировал файл и этому компоненту померещилась угроза. Файл добавили в исключения компонента "файловый антивирус" ! Теперь разрешен запуск.

Запускаем трейнер , и теперь работает ПРОЦЕСС (это не файл уже) . Это процесс тоже пока ничего не делает и проактивка молчит. Игра запущена, нажимаем в трейнере кнопку "вечные патроны", и процесс "game_trainer.exe" внедряет код в процесс "game.exe" (то есть в игру) . Если проактивка контролирует внедрение в другие процессы , то она может
- разрешить и записать событие в журнал
- запросить действие "разрешить внедрить код в другой процесс ?"
- запретить внедрение кода в другой процесс

Denis Nikonov
- разрешить и записать событие в журнал
- запросить действие "разрешить внедрить код в другой процесс ?"
- запретить внедрение кода в другой процесс

Если бы я у себя нашел журнал таких разрешенных угроз. Не хотите проверить на трейнере Кризис 2 или Кризис 3?

лично я ни разу (туфутьфу) не цеплял что то вроде баннера или чего нить критичного

Просто вам повезло, и в этих программах не было "баннера или чего нить критичного". Кому то везет, и его вирусня не беспокоит. А кому то не везет.

Если бы я у себя нашел журнал таких разрешенных угроз.

Поставь касперского (контроль программ, интерактивный режим), или Malware Defender и все там будет контролироваться - хочешь, внедрение в процесс отслеживай, хочешь - прямой доступ к HDD и т.д. Запусти игру, трейнер и всё сам увидишь что трейнер делает, когда делает, и что он не делает .

Меня больше раздражают ложные срабатывания (из-за этого у меня мало доверия к антивирусам), когда компонент "Файловый антивирус" пишет "троян" , ругается на кряк, трейнер. К Авасту доверия нет, он может и битую "вирусню" детектить (нерабочие вирусы) .

Кстати, Нод пишет обычно "Keygen", "Trainer" , потенциально опасное ПО. Этим мне он нравиться. А Аваст всё называет Malware .

baskspace2014 написал
Что это значит?Неужели на этом сайте есть вирусы?

Кто-то верит, что есть, кто-то верит, что нет вирусов. Во что хочет, в то и верит.

Denis Nikonov
он может и битую "вирусню" детектить (нерабочие вирусы) .
Их может детектировать и мой антивирус, и Касперский. Проблема именно в том, что только 1 из 1000 таких файлов вообще запускается. Если Касперский найдет в трейнере что-то из такого набора:
1) IRC-Worm.DOS;
2) Virus.DOS;
3) Virus.Win16;
4) VirTool.DOS (кто-то словом VirTool:WinNT/Ldpinch называет драйвер);
5) Trojan.DOS.

То Вы точно не верьте, так как его наверное даже DosBox не запустит.

Если бы я у себя нашел журнал таких разрешенных угроз.

В касперском в компоненте "Контроль программ" это есть. Можешь контролировать всё, что угодно. Журнал там тоже есть.
И в Malware Defender тоже есть журнал, и тоже контролируй всё, что пожелаешь.
А если антивири ругаются - не просто так ? Может там стилер есть (аккуанты ворует например) в трейнере, кряке. Обратите внимание, что я написал "может быть есть стилер", а не "точно есть".

Если касперский стоит, можно просто трейнеры помещать в группу "Сильные ограничения" в контроле программ, разрешив "внедрение кода" на вкладке "права" . Даже если трейнер вирусованнный, он вряд ли сможет навредить.

У меня антивирус аваст 2011 оффлайн установки, он ловит всё, он мне помогает ловить файлы заражённые xpack gen trojan это вирус который тянет из интернета вирусы, которые порой попав на комп через кеш браузера мозиллу файрфокс создают у меня синий экран, так вот этот вирус не только в трейнерах и кряках попадается но ещё и во время установки распаковающихся пережатых репаков игр, в начале установки порой репак ради распаковки выгружает precomp, unarc и другие файлы, они порой заражены, но не всегда, важно вычищать вирус со своего компа после установки игры или лучше скачать торрент игру (лицензия) с чистым без вирусов креком или nodvd и спокойно жить без синих экранов.

avira antivir personal en Antivirus (2011) Ловит всё, прост и держится целый год не надоедая призывом к регистрации или покупке. Другие версии или антивирусы ничто по сравнению с ним. Касперский свежей свежести скажет что у вас всё чисто даже когда у вас синий экран и вирусы в кеше мозиллы, но аваст 2011 сотрёт все вирусы даже из кеша и синие экраны исчезнут из вашей жизни, качайте репаки и лицензии с креками и трейнерами сколько угодно он всё увидит и поможет найти чистый вариант игры или программы.

Всем создателям трейнеров и кряков с вирусами желаю убиться бошкой об стену и сделать тем самым мир чище.

Как проверять кряки и кейгены?

Вроде все говорят, что если антивирус ругается на очередной крак или кейген, то это может оказаться ложным срабатыванием.

Как показал мой горький опыт, вирус во взломанной программе, скачаной с инета, может быть даже в том случае, если антивирус молчит.(У меня был лицензионный др. веб). По крайней мере до установки программы.

В то же время много раз сталкивался с кряками, которые, несмотря на очень агрессивный интерфейс были совершенно безобидны (и ооочень полезны. )

Какими средствами можно ДОСТВЕНО проверить очередной кряк или кейген сразу после закачки? Посоветуйте что-нибудь пожалуста!

П.С.: отказаться от использования пиратского софта не могу.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

Это зря - пиратство есть зло.
Для запуска подозрительных программ выход есть - купить KIS 2010 и запускать все подозрительное в его "песочнице". Или поставить виртуалку - и запускать на ней

Я инженер-автомеханник. Не востребованный, разумеется, в нынешней ситуации в России. Но заниматься своим делом все равно хочу. Иногда смотрю на компе чертежи и модели своих знакомых. Есть куча своих интресных идей, и как-то продвигать их хочется.

И что мне, поставить на домашнем компе Автокад за 100000 руб, СолдВоркс за 200000 руб, МатКАД (не знаю даже порядок стоимости, но он наверняка такой же..), Компас и т.д.? При том, что прибыли от всех моих фантазий в ближайшие годы ждать не приходится.

Кроме того, частенько работю в музыкальных редакторах: Аудишшон(50000 руб.), СаундФорш (100000 руб.), хочу освоить Cubase (тоже дорогой, собака. )

Вообще, вряд ли человек, интересы которого выходят за рамки его профессиональной деятельности, сможет довольствоваться лицензионным и бесплатным/дешевым софтом.
Надеюсь, вы меня понимаете.

я понимаю только то, что это - не подходящий форум.

есть бесплатные аналоги. Почему бы не пользоваться ими?
Но, нет же. Если обрезать картинку - так фотошопом, прибавить громкость - так в Audition, обязательно последних версий.

Последний раз редактировалось Damien; 04.04.2010 в 21:22 .

Audition люблю за удобный и точный спектральный анализ, а также за достаточное количество средств обработки звука типа "исправить клиппирование","удалить щелчки", "удалить шум", "расширить динамический диапазон", разные эквалайзеры и т. п., с которыми вполне может работать дилейтант, такой, как я.

За уровень "прибавить громкости" я в музыке ушел довольно далеко. И слушать то, что получится после удаления шумов или, скажем, расширения стереопанорамы какой-нибудь бесплатной/дешевой "Nero wave editor" просто не могу.

А вот фото/видео никогда не увлекался и даже не интересовался всерьез. И для всех задач с которыми сталкиваюсь мне вполне хватает встроенных в windows средств вроде paint.

А так к слову, может подскажете бесплатную/дешевую программу для верстки нот, способную работать как с компьютерной, так и с MIDI клавиатурой? Нужно для нашего церковного хора. И ужасно сложный Cubase не пришлось бы осваивать. Как-то искал, спрашивал, ничего не нашел. Вероятно потому, что любой мало-мальски музыкально грамотный человек, даже с начальным уровнем клавирной техники, сразу возьмется за Cubase, не тратя времени на прочие недоделки.

А вообще хотелось бы детальную инструкцию, как проверить какую-нибуть конкретную программу взлома на предмет вирусных гадостей. Желательно ничего не покупая, или, хотя бы, много не платя. И насколько опасно с такими вещами иметь дело. Может есть какие-то каталоги "опасных" и "безопасных" кряков, какие либо признаки, видные до установки программы. кроме стандартных антивирусных продуктов, которые почему-то с этим типом файлов слишком часто ошибаются.

Нехотите отвечать - не надо, оффтоп - переносите, редактируйте, удаляйте - как хотите, вы хозяева.

Последний раз редактировалось Chainick; 05.04.2010 в 00:03 .

Вопрос:как отличить кряк,кейген по сигнатуре других антивирусов на Вирус тотал от реального вредоноса, который на них часто клеят? Не хочется посылать лишний мусор в вирусный мониторинг.

Взять и посмотреть, что программа делает :-D

Взять и посмотреть, что программа делает :-D

Дык она честно может и показать окно кейгена
А в это время тихо делать свое черное дело.

Вопрос:как отличить кряк,кейген по сигнатуре других антивирусов на Вирус тотал от реального вредоноса, который на них часто клеят? Не хочется посылать лишний мусор в вирусный мониторинг.

Взять и посмотреть, что программа делает :-D

Если серьезно: когда пишут "Patch" это понятно.Или четких критериев нет?

Если серьезно: когда пишут "Patch" это понятно.Или четких критериев нет?

Вопрос:как отличить кряк,кейген по сигнатуре других антивирусов на Вирус тотал от реального вредоноса, который на них часто клеят? Не хочется посылать лишний мусор в вирусный мониторинг.

Только детальный ручной анализ, в общем случае.

кстати есть достаточно простой вариант: пользоваться лицензионным софтом, тогда кряки не нужны

кстати есть достаточно простой вариант: пользоваться лицензионным софтом, тогда кряки не нужны

Вам просто раздобыть несколько килобаксов на AutoCAD? Мне - нет.

Keep yourself alive

кстати есть достаточно простой вариант: пользоваться лицензионным софтом, тогда кряки не нужны

Вам просто раздобыть несколько килобаксов на AutoCAD? Мне - нет.

Всегда встаёт вопрос о его (AutoCAD) необходимости
Если что-то стоит дорого, то обычно не спроста.

Вопрос:как отличить кряк,кейген по сигнатуре других антивирусов на Вирус тотал от реального вредоноса, который на них часто клеят? Не хочется посылать лишний мусор в вирусный мониторинг.

Пользоваться проверенными ресурсами .

кстати есть достаточно простой вариант: пользоваться лицензионным софтом, тогда кряки не нужны

Вам просто раздобыть несколько килобаксов на AutoCAD? Мне - нет.

кстати есть достаточно простой вариант: пользоваться лицензионным софтом, тогда кряки не нужны

Вам просто раздобыть несколько килобаксов на AutoCAD? Мне - нет.

Всегда встаёт вопрос о его (AutoCAD) необходимости
Если что-то стоит дорого, то обычно не спроста.

Сюда же можно отнести Адоб.
Неспроста дорого. Но жизненно необходимо тем, кто работает в сфере полиграфии (около 60 тыщ минимальный комплект).
А, например, шрифты? Паратайповская полная коллекция стоит 120 тыщ (. ).

Про по-проще вопрос спорный..Как правило не используете и 30 % возможностей (на примере офиса/ов это очень видно,про акады/сапр вообще молчу). А узко-специализированное ПО вам все равно придется или покупать или крякать(ну или писать самому,что маловероятно).

Например. В техникуме учили спец. ПО для вырезания на листе метала опред фигуры (соответственно фигуры строились благодаря мат.функциям),далее нужно было разместить необходимые вырезки для наибольшей экономии(меньше резки,меньше отходов). Аппаратура специфическая, ПО тоже. Стандарты нашего оборудования и западного соответственно не совпадали. ПО вообще разное было(хотя все команды на русском ).

Keep yourself alive

скажем я отношусь с подходом, что если мне нужно чтото(для работы во всяком случае), то либо это чтото стоит достаточных денег чтобы преобрести соответствующее по или нужно подберать по попроще, подешевле или вообще бесплатное, вместо автокада можно попользовать компас, вместо фотошопа к примеру гимп, или вы предлагаете пользоваться ломаным(или хз как это правильно назвать, не в названии дело) докторвебом?

Подход этот хорош, пока не приходится выполнять достаточно специфические задачи
А доктор стоит вполне посильных денег.

Я знаю конторы, приобретшие автокад, и адоб. Но еще больше контор их не приобретали, я уже не говорю о частниках, ибо - непосильно. Есть такая вещь, как промышленные стандарты. Там работы в таких поделках, как корел, компас, гимп - просто не прокатят.

Компания BitSight, которая занимается оценкой уровня кибербезопасности, опубликовала отчет по контенту торрент-сервисов. Исследователи установили, что 43% приложений и 39% игр, распространяющихся через торрент-трекеры, содержат в себе вирусы.

Авторы отчета подчеркнули, что пиратские программы и игры гораздо опаснее для компьютера, чем музыка или видео.

А что пираты-пикабушники думают на этот счет? Были ли у вас случаи, когда пиратский контент оказывался "троянским конем"?

ахххахаха.. причём как правило вирус сам себя предлагает установить в виде: "яндекс бар Ннннадааа?"

Для того, чтобы поиграть в пиратскую игру, её нужно взломать. А для того, чтобы взломать, как бы вирус и нужен. И ничего удивительного в том, что в играх содержатся вирусы, большинство из них безвредны для самого компьютера.

посоны я тут тоже поискал, покачал, а может и не покачал, короч 90% игр имеют вирусы. Верьте мне.

80% пользователей называют системник "процессором", а монитор "телевизором". Им срать на вирусы в компе, лишь бы не платить ни за что, а в случае краха системы, всегда найдётся сосед кулхацкер 80лвл.

ану постчитайте, сколько пиратских антивирусов содержат вирусы

И так, антивирус жалуется на кряки в почти любой игре или программе, из-за измененного экзешника.

К моему счастью антивирус удалял сразу файл при закачке. 1 раз такое с Dragon Age:Inquisition было, а так всегда без вирусов.

Мне вот интересно, при чем тут на картинке справа, ассемблерный код на ДОС ?

Дважды со свежими игрушками ловил. Один вирусячий шёл явным, второй шёл скрытым - нарисовал мне папку в документах, но прописался в автозапуске и тем самым сдал себя с потрохами. Учитывая, что никаких финансовых операций на домашнем ПК не совершаю, винда забэкапена - никакого вреда с раздачами пока не получил. Качал, качаю и буду качать.

Конечно были, и часто, но я хз из игор ли или интернета, порой утилита Касперского выцепляет какой-нибудь троян или майнер.

Как ни странно, но когда я лет 10 назад был пиратом, то постоянно то винду переустанавливал, то чистил комп от всего. Сейчас, когда из пиратского у меня остались только редкие фильмы и сериалы, винда держится уже много лет. Есть тут связь, нет – не важно. Можно считать, что с 2000 по 2010 год был бум вирусов, когда люди не шарили, хакеры хотели захватить мир. Хз, хз, может и так.

Тут дело в изменении типа популярных вирусов, раньше часто встречались черви, а сейчас большинство трояны, которые винде не вредят.

чувак ты случаем не депутат? нимб срать не мешает? такой бл*адь бреедддд.

Такое ощущение, что мой личный выбор тебе всю жизнь испортил. Я ж не веган какой-то, просто покупаю игры и использую либре офис =(

твое утверждение звучит как "у меня лицуха, я не переустанавливал винду уже много лет. на пиратках одни вирусы" и это никак не связано с реальностью.

у меня например одни пиратки, я тоже винду давно не переустанавливал, никаких проблем нет. причем у меня антивирус не стоит даже.

ты просто меньше порнухи смотреть с 2010 стал.

Вообще-то, если бы внимательно прочитал, то в твоей трактовки я написал:

"У меня лицуха, и я не переустанавливал винду уже много лет. Есть тут связь, нет связи – не суть важно"

самое смешное, что в реалиях, в конторах которые занимаются борьбой с лицензиями, лицензиями и не пахнет в силу нехватки людей разбирающихся в лицензиях))

Когда я работал в гос. конторе, у нас был полный сейф закупленных лицензий винды, офисов и других нужных программ. Только использовались они лишь один раз, при самой первой установке, а дальше всегда было проще диск с собственноручно сделанным "зверем" накатить со всеми нужными программами. Раз в пару лет перед проверкой чистили, а потом всё равно возвращались к диску. Лень и удобство делает своё дело.

Не помню уже что бы что-то скачаное было без вирусни)

Из репакеров только у Seyter косяки были. В свои репаки пихать стал бит-койнт майнеры.

Есть проверенные репакоделы.

На одну игру есть штук 10 вариантов раздачи. Очевидно, что среди них есть вирусы.

при чем тут репакоделы? не они ексешник крякают.

Раздачи проверяются перед тем, как их выкладывают в общий доступ. Не везде, конечно, но тем не менее.

Пока нет, хотя лицушный нод появился у меня тока год назад =) Нод не орал, до этого вирусни у себя не помню.

нет. качаю у проверенных и признанных репакеров.

ну и что? ексешник игры они же не из пальца высасывают, они берут их из релизов команд крякеров, которые в свою очередь могли пихнуть туда чего захотят (как это было с биткоин майнером в кряке к watch dogs)

что значит самое лучшее и подозрительное? и как они это проверяют?

по твоему они ексешник этот дебажат, чтобы выловить "подозрительные моменты"? им что делать больше нечего?

чем сильнее степень коррекции екзешника, тем подозрительнее.

например, nop-коррекция явно самая безопасная, а выяснить что изменено можно простым бинарным сравнением исходного(или исходного распакованного) и результирующего файла.

также достаточно сравнить загрузку процессора на разных версиях крякнутой программы.

фаервол даст информацию о том, куда взломанная программа ломиться.

process explorer даст информацию об открываемых файлах.

всё довольно просто и не требуется бегать по ассемблеру.

т.е. по твоему репакеры этим занимаются?

И не только этим.

а где пруфы? какие трекеры исследовались и т.д.?
Последние

20 лет пользую бесплатную Avira Antivirus и отключенный автозапуск с флешек и прочего. На всех новых компах (дома, друзья, работа) первая операция - всё нахрен отформатировать и установить винду по своему (да, лицензию сношу и ставлю скачанное на торрентах). Жалоб нет.
Я не оспариваю наличие вирусов, но как-то всё это мимо идёт.

вводить номер карты только с телефона ios, на компе максимум профукаете контакт, больше нечего трояны не сопрут, если вы не агент

Решение проблемы с пропажей места на жестком диске

С пару недель я страдал от постоянной нехватки места на компьютере на Windows 10. Стоило мне что-то удалить, как через какое-то время свободное место на диске становилось равно нулю. Поиски по интернету далеко не сразу привели меня к решению этой проблемы, по этому решил поделиться с вами вот здесь, мало ли кому пригодится.

Запустив программу SpaceSniffer (от имени Администратора), я увидел, что папка c\windows\temp занимает около 50% объема диска. Внутри обнаружилось десятки тысяч файлов под названиями Appx. и тд. И вы сейчас скажете, что всего лишь то нужно было почистить Temp, а я тут целый пост развожу. Я тоже так думал, но после удаления файлов - проблема не решилась - файлы опять начали генерироваться с бешенной скоростью. А вот теперь перейдем к корню проблемы.

Идем в Настройки, Конфиденциальность и во вкладках Фоновые приложения и Диагностика приложения - сверху переключаем триггер в состояние Отключить.

Вот и все. Если подробнее, то какие-то службы винды, а именно магазина создавали кучу ошибок, логи которых как раз и забивали место не диске.

Надеюсь, кому-то спасу много часов :)

Криптоджекинг. Разбор случайного вируса-майнера под Windows.

Как-то раз на неделе обратился ко мне коллега из офиса, говорит, что его домашний компьютер вдруг начинает жутко лагать, самопроизвольно перезагружается, и т.п.
Я взялся посмотреть, что же это было.
Первым делом была проверена автозагрузка процессов и служб, как обычно делает большинство "мастеров", думая, что они при отключении там чего-либо полностью излечили компьютер от вирусов. Может быть раньше, со всякими WinLocker'ами или рекламными баннерами этот трюк и прокатывал, но времена меняются, и теперь технологии другие. В винде любых версий есть старые дыры, но вполне функциональные. Итак, первое, что видно при включении ЭВМ - открывается вот такое вот окошко (скрин не было сделать возможности с него, звиняйте, скрины пойдут дальше):

В автозагрузке, повторюсь всё в порядке:

После того, как компьютер был штатно заштопан двумя разными антивирусами, возникла идея исследовать этот файл, который система начала загружать. Но не всё оказалось так просто.
Итак, дальше расписано по шагам, каким образом работает этот вирус, и к какому конечному результату это приводит.

Шаг 0. Попадание первичного файла в систему.
Для того, чтобы в системе MS Windows инициировался какой-либо процесс, что-то должно его запускать. В первых версиях вирусов - ярлык вируса просто кидался в папку автозагрузки программ, в Windows 7 она находится по адресу:
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Потом вирусы стали добавляться в ветви реестра [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] и то же самое в разделе HKEY_LOCAL_MACHINE, откуда удалить их было уже не так просто. Но оказалось, что в автозагрузку эти файлы можно и не добавлять, чтобы не провоцировать простенькие антивирусы. В системе существует "Планировщик заданий" (mmc.exe), куда прекрасно можно добавить задачу автозапуска какой-либо программы, и даже целую исполняемую часть командной строки (сценарий):

В таком случае на действия начинают реагировать лишь единицы антивирусов, никакие а**сты, макаффи и т.п. фри версии антивирей туда по большей части даже не суются.
Итак, я попытался зайти на тот адрес из окна (http://f******r.com/) в веб-браузере. Но, попробовав ввести тот адрес, да и вообще, какой бы адрес я не открывал, я получал заглушку на nginx:

Дальше я стал копать и выяснил, что бирюзовое окно - это рабочее окно системы BITS (Background Intelligent Transfer Service). Изначально он предназначен для быстрой передачи данных по специальному протоколу через команды приложений. Как оказалось, именно этот протокол (с 2016 года, по версии xakep.ru) стал часть использоваться для загрузки вирусов. Поэтому я подключился через этот протокол, используя команды PowerShell по оригинальному адресу:

И, вуаля, я получил какой-то файл, весом гораздо больше пустой веб-страницы:

Видимо, на сервере специальным образом настроены порты, чтобы при обращении именно от BITS был отправлен экземпляр этого файла. При этом, как выяснилось, неважно, какое название у архива - всегда будет получен тот же файл. Давайте исследуем его.
Шаг 1: Первичный файл загружен. Что это?
Я открыл файл в Hex-редакторе, чтобы распознать тип. Начинается он с MZP, значит файл исполняемый. В файле была обнаружена сигнатура Inno Setup, стало ясно, что это - файл инсталлятора чего-либо:

Шаг 2. Вместо установки этого файла я воспользовался утилитой Inno Unpacker, которая дала мне следующие файлы, содержащиеся внутри проекта:

Собственно, как оказалось, программа никаких файлов в себе не содержала - только скрипт install_script с описанием установщика, а так же скомпилированный фрагмент кода, выполненного на паскале. Вот файл скрипта:

Обратите внимание на параметры [Setup], а именно название программы, и выходное имя файла OutputBasenameFile (оно совпадает кое с чем на первой картинке).
Шаг 3. Также неизвестным оставался код программы CompiledCode.bin. Для того, чтобы расшифровать его, я воспользовался декомпилятором паскаль-фрагмента кода:

Шаг 4. Стало ясно, что данные внутри кода немного зашифрованы (обфусцированы) от посторонних глаз. Немного видоизменив код, я интерпретировал его на FreePascal'е, и получил следующий результат:

Внутри инсталлятора (MSICEE2.msi) оказались два файла: unzip.exe и vcruntime140.lib.zip. Во втором архиве ещё два файла, но он запаролен. Для начала я исследовал файл unzip.exe:

Оказалось, что этот файл является неизмененной копией утилиты для систем Windows 2005 года, которая называется "Info-Zip UnZip", и являющейся простым распаковщиком zip-файлов. Вот, что будет, если её запустить:

Шаг 6. В одной из строчек виден пароль от архива: IBM644. Но обычный архиватор этот пароль не принимает - распаковываются файлы только оригинальным UnZip'ом при помощи этой команды.
Все файлы внутри архива - исполняемые библиотеки для системы типа dll или lib. Написаны они на C, декомпилировать их я смысла не видел. Возможно, именно в них содержится блок, занимающийся копированием вируса в системе, но так глубоко я их не копал. В песочнице после их регистрации в системе (папка TEMP) появился следующий файл: [612A9A]. Смотрим, что у него внутри:

Этот файл представляет собой json - конфиг, в котором видно ключевое слово CryptoNight и URL, логин и пароль от майнинг-сервера. Данный майнер майнит монету "Monero". Данный файл подозрительно совпадает с конфиг-файлом для Windows-версии майнера "****Rig":

Скормив этот конфиг исполняемому файлу майнера (оконной версии), загруженному из интернета, действительно компьютер получил настоящую "работу", и видео при этом стало жутко лагать. В оригинальном конфиге прописано также исполнение без gui (фоновым процессом - никаких окон).

Собственно, это и есть конечный результат. Помайнил 10 секунд для него, чтобы сделать вам скрин, надеюсь, что вырученных за это время денег автору хватит как минимум на два билета до Канарских островов. Итого имеем сложный файл, прописывающий себя в нескольких местах системы, работающий на языках Pascal и C++, в итоге приводящий к запланированному запуску майнера. Берегите свои компьютеры. С вами был Kekovsky, специально для pikabu.

Читайте также:

• Аденовируса крупного рогатого скота
• Хочу с тобою вирус
• Атипичный вирус пситтакоза вызывает развитие
• Вирусный конъюнктивит и соэ
• Помогает ли настойка из прополиса от гепатита с

Пожалуйста, не занимайтесь самолечением!
При симпотмах заболевания - обратитесь к врачу.