Реверс вируса, распостраняемого тру хацкером (школьником, как и многие пользователи) на этом форуме.

Всем привет. На днях попросил у человека личный в теме, на что он мне выдал exe-шник.
Ссылка на профиль человека - https://zelenka.guru/members/131545/

Скачиваем exe - файл, видим -SFX архив, замаскированный под какой - то плеер.
Требующий прав администратора для запуска. Странно, что он решил распостранять свой вирус именно под видом плеера.
Я думаю, что любой здравомыслящий человек не будет запускать подобное у себя на компьютере.

Открываем архив и видим следующее

Комментарий обозначает, что при запуске архива, в скрытом режим произойдёт распаковка (в случае, если такой файл уже существует - перезапись).
И запустятся оба файла, которые распакуются - это Shit.exe и start.exe. Распакуем их вручную.

Видим, что start.exe - опять таки -SFX архив, но на этот раз без иконки. Открываем его и видим следующее

При запуске этого архива, батник start.exe распаковываются в папку, из которой производится автозагрузка любых файлов.
Т. е., при запуске компьютера, каждый раз будет запускаться батник, содержащий команду для перехода во временную папку и запуска Shit.exe (файла из предыдущего архива). На самом деле, не понятно, для чего это сделано, ведь у эвриала и так есть более адекватная установка в автозагрузку

Зачем человек, который создавал этот батник, указал в нём ID своего профиля - не понятно.

Этот архив мы рассмотрели, теперь переходим к файлу Shit.exe. Как видим, он ничем не упакован.

Смотрим исходный код и видим, что это крякнутый Evrial

Про него, я думаю, рассказывать нечего. Было уже множество тем, в которых люди (адекватными их назвать нельзя) под видом кряков чекера от Старлея или кряка Антипаблика соло выкладывали этот вирус.
Единственное, с чего я угарнул - с названия его сайта, на который идут ****

Заливаем шелл и получаем полный доступ к его логам.

#моястатья