Shurk Steal - ******* for 3000 rubles in 5 lines of code and XOR protection | The least functional styler

LLCPPC_inactive4415647 · Aug 24, 2021

https://app.any.run/tasks/93fdc90a-1066-4737-9242-c72141412642/ Засветился 6 авг. 2021.

Ревёрс-инжиниринг SHurk Steal / Первый взгляд

Скомпилирован MSVC++, 32-х битный.
Импорт-таблица не защищена.

Строки тоже не защищены, защищён только один IP адрес, дальше узнаете как.

Ревёрс-инжиниринг SHurk Steal / Динамический, статический анализ

Сразу при открытии мы встречаем огромный минус - зависимость от переменных среды:

Это ужасно, потому что для этого есть специальные функции WinAPI - GetTempPathA, и др.
Так что если вы измените переменную %APPDATA%, %TEMP%, %LOCALAPPDATA%, или просто удалите их - ******* работать не будет...

Далее, после получения путей, ******* в одном потоке собирает ****. Хорошо, что сначала не расшифровал нам IP, как делал это Mars *******.

**** собирает в порядке: Atomic Wallet, Electrum Wallet, Ethereum Wallet, ZCash Wallet, Exodus Wallet, Telegram, Mozilla Firefox

Автор использует STL (что естественно, это же С++), это может, хоть и не на много, но сказаться на размере исполняемого файла, и его скорости исполнения.

А теперь интересное - шифрование IP в SHurk ******* используется банальное XOR-шифрование.

Мы видим strcpy в строку -> "%-':%& :\" :'$"
И видим снизу цикл с XOR. Всё, что написано в середине этого - мусор, всего-лишь запугивание для ревёрсеров.

Как я уже проанализировал, IP выглядит так - 193.124.64.30, в ASCII -> 31 39 33 ...
А теперь возьмём строку, и переведём её в HEX -> "%-':%& :\" :'$" -> 25 2D 27 ...
А теперь берём ключ выше - 0x14

Ксорим 0x25 ^ 0x14, и получаем 0x31, т.е "1"
0x2D ^ 0x14 -> 0x39 -> "9"
0x27 ^ 0x14 -> 0x33 -> "3"
= 193
И так далее...

Данные он отправляет, через WS2_32, т.е сокетами.

Ну больше ничего и нет...На самом деле не хотел писать эту статью, потому что этот ******* банально сделан новичком.

Плюсы:
- Работает?

Минусы:
- Отсутствие многопоточности
- XOR-шифрование
- Зависимость от системных переменных
- Малофункциональный (Mozilla Firefox, Telegram и кошельки)
- Абсолютно никакого обнаружение виртуальной среды
- Сбор на диске
Написать такой же ******* сможет абсолютно каждый, функционала особенного нет, даже подозрения что это копирайт

Скачать рассматриваемый билд SHurk Steal -> https://dl.uploadgram.me/6124ad94ed3bbh

Читайте так же:
* Ревёрс-инжиниринг *******а RedLine -> https://zelenka.guru/threads/2866730/
* Ревёрс-инжиниринг DC-RAT -> https://zelenka.guru/threads/2878088/
* Ревёрс-инжиниринг *******а X-FILES -> https://zelenka.guru/threads/2884957/
* Пишем полиморфный код на ассемблере с шифрованием (обход VirtualBox, AnyRun, дампа памяти, 5 блоков кода) -> https://zelenka.guru/threads/2881723/
* Ревёрс-инжиниринг MarsStealer -> https://zelenka.guru/threads/2888161/
* Ревёрс-инжиниринг SHurk Steal -> https://zelenka.guru/threads/2889104/

RazDva · Aug 24, 2021

ждём твой ******* с блэкджеком и шлюхами

Лапки · Aug 24, 2021

LLCPPC_inactive4415647 Сбор в памяти
Click to expand...

Я может что-то не понимаю, но сбор в памяти не должен же писать на диск файлы

G0odDay · Aug 25, 2021

я этот ****** разбирал с другом когда он только вышел, как я считаю главные минусы в данном ******е это:
Сборка лога на диске (рантайм привет как делишки?)
STL
ну и getenv("APPDATA")
(ну и само сабой хром на дедике он не брал xD)

csgopubglol · Aug 25, 2021

ждём реверс неверлуза

Rovilov · Sep 18, 2021

блет требую софт от тебя

The post was merged to previous Sep 18, 2021
поддержал бы монеткой есди бы написал что-то годное

MR_PENCOL · Oct 13, 2021

блет требую софт от тебя

Help open the ports

How to sew a virus in the application?

Malware: distribution methods, types of attacks, etc.

How to make an infected PowerShell command that activates your virus

(Click Fix) PowerShell Code in Windows activation and not only: how IEX and IWR methods help hackers

SMS theft virus on Android - Description of the problem, Sample project

We bypass smartkrin, chrome Alert and antiviruses without SMS and loans

We create our signature of code in ten minutes

winlocker for android

Who fumbles how dangerous it is?

How to get a digital code signature?

We get a clean OXI Joiner without glues from the official site.

Making a non-existent BOTA (RAT nickname) for iOS

Spy software for android (up to 10th) Observer

Flipper Zero

Blank-Grabber

How to remove a styller without demolition of Windows?

How to make a working *** with sending to discord.

AI can generate malware that evades detection 88% of the time

How to access another person PC

Android Malware - VNC - AC Node

Gray screen at DCRAT REMOTE Desktop, what to do?

Android Malware - Seed Phrase ******* / OCR / - Source Code

Intezer is a powerful tool for finding hidden threats

Analysis of the old Red Petya virus and other families of this virus

Making a secure webhook for ******* tapping in tg

What miner can be pumped up to a person to drip my grandmas?

New virus gradually exciting Lolz

We put the Redline crack socket in 5 minutes

Multifunctional Android RAT with web panel, no ports.

Shurk Steal - ******* for 3000 rubles in 5 lines of code and XOR protection | The least functional styler

Help open the ports

How to sew a virus in the application?

Malware: distribution methods, types of attacks, etc.

How to make an infected PowerShell command that activates your virus

(Click Fix) PowerShell Code in Windows activation and not only: how IEX and IWR methods help hackers

SMS theft virus on Android - Description of the problem, Sample project

We bypass smartkrin, chrome Alert and antiviruses without SMS and loans

We create our signature of code in ten minutes

winlocker for android

Who fumbles how dangerous it is?

How to get a digital code signature?

We get a clean OXI Joiner without glues from the official site.

Making a non-existent BOTA (RAT nickname) for iOS

Spy software for android (up to 10th) Observer

Flipper Zero

Blank-Grabber

How to remove a styller without demolition of Windows?

How to make a working ******* with sending **** to discord.

AI can generate malware that evades detection 88% of the time

How to access another person PC

Android Malware - VNC - AC Node

Gray screen at DCRAT REMOTE Desktop, what to do?

Android Malware - Seed Phrase ******* / OCR / - Source Code

Intezer is a powerful tool for finding hidden threats

Analysis of the old Red Petya virus and other families of this virus

Making a secure webhook for ******* tapping in tg

What miner can be pumped up to a person to drip my grandmas?

New virus gradually exciting Lolz

We put the Redline crack socket in 5 minutes

Multifunctional Android RAT with web panel, no ports.

Shurk Steal - ******* for 3000 rubles in 5 lines of code and XOR protection | The least functional styler

How to make a working *** with sending to discord.