SHurk Steal - ******* за 3000 рублей в 5 строк кода и XOR-защитой | Самый малофункциональный *******

https://app.any.run/tasks/93fdc90a-1066-4737-9242-c72141412642/ Засветился 6 авг. 2021.

Ревёрс-инжиниринг SHurk Steal / Первый взгляд​

Скомпилирован MSVC++, 32-х битный.
Импорт-таблица не защищена.


Строки тоже не защищены, защищён только один IP адрес, дальше узнаете как.

Ревёрс-инжиниринг SHurk Steal / Динамический, статический анализ​

Сразу при открытии мы встречаем огромный минус - зависимость от переменных среды:

Это ужасно, потому что для этого есть специальные функции WinAPI - GetTempPathA, и др.
Так что если вы измените переменную %APPDATA%, %TEMP%, %LOCALAPPDATA%, или просто удалите их - ******* работать не будет...

Далее, после получения путей, ******* в одном потоке собирает ****. Хорошо, что сначала не расшифровал нам IP, как делал это Mars *******.

**** собирает в порядке: Atomic Wallet, Electrum Wallet, Ethereum Wallet, ZCash Wallet, Exodus Wallet, Telegram, Mozilla Firefox


Автор использует STL (что естественно, это же С++), это может, хоть и не на много, но сказаться на размере исполняемого файла, и его скорости исполнения.

А теперь интересное - шифрование IP в SHurk ******* используется банальное XOR-шифрование.


Мы видим strcpy в строку -> "%-':%& :\" :'$"
И видим снизу цикл с XOR. Всё, что написано в середине этого - мусор, всего-лишь запугивание для ревёрсеров.

Как я уже проанализировал, IP выглядит так - 193.124.64.30, в ASCII -> 31 39 33 ...
А теперь возьмём строку, и переведём её в HEX -> "%-':%& :\" :'$" -> 25 2D 27 ...
А теперь берём ключ выше - 0x14

Ксорим 0x25 ^ 0x14, и получаем 0x31, т.е "1"
0x2D ^ 0x14 -> 0x39 -> "9"
0x27 ^ 0x14 -> 0x33 -> "3"
= 193
И так далее...

Данные он отправляет, через WS2_32, т.е сокетами.

Ну больше ничего и нет...На самом деле не хотел писать эту статью, потому что этот ******* банально сделан новичком.

Плюсы:
- Работает?

Минусы:
- Отсутствие многопоточности
- XOR-шифрование
- Зависимость от системных переменных
- Малофункциональный (Mozilla Firefox, Telegram и кошельки)
- Абсолютно никакого обнаружение виртуальной среды
- Сбор на диске
Написать такой же ******* сможет абсолютно каждый, функционала особенного нет, даже подозрения что это копирайт

Скачать рассматриваемый билд SHurk Steal -> https://dl.uploadgram.me/6124ad94ed3bbh


Читайте так же:
* Ревёрс-инжиниринг *******а RedLine -> https://zelenka.guru/threads/2866730/
* Ревёрс-инжиниринг DC-RAT -> https://zelenka.guru/threads/2878088/
* Ревёрс-инжиниринг *******а X-FILES -> https://zelenka.guru/threads/2884957/
* Пишем полиморфный код на ассемблере с шифрованием (обход VirtualBox, AnyRun, дампа памяти, 5 блоков кода) -> https://zelenka.guru/threads/2881723/
* Ревёрс-инжиниринг MarsStealer -> https://zelenka.guru/threads/2888161/
* Ревёрс-инжиниринг SHurk Steal -> https://zelenka.guru/threads/2889104/