Всем привет. На днях попросил у человека личный в теме, на что он мне выдал exe-шник. Ссылка на профиль человека - https://zelenka.guru/members/131545/ Скачиваем exe - файл, видим -SFX архив, замаскированный под какой - то плеер. Требующий прав администратора для запуска. Странно, что он решил распостранять свой вирус именно под видом плеера. Я думаю, что любой здравомыслящий человек не будет запускать подобное у себя на компьютере. Открываем архив и видим следующее Комментарий обозначает, что при запуске архива, в скрытом режим произойдёт распаковка (в случае, если такой файл уже существует - перезапись). И запустятся оба файла, которые распакуются - это Shit.exe и start.exe. Распакуем их вручную. Видим, что start.exe - опять таки -SFX архив, но на этот раз без иконки. Открываем его и видим следующее При запуске этого архива, батник start.exe распаковываются в папку, из которой производится автозагрузка любых файлов. Т. е., при запуске компьютера, каждый раз будет запускаться батник, содержащий команду для перехода во временную папку и запуска Shit.exe (файла из предыдущего архива). На самом деле, не понятно, для чего это сделано, ведь у эвриала и так есть более адекватная установка в автозагрузку Зачем человек, который создавал этот батник, указал в нём ID своего профиля - не понятно. Этот архив мы рассмотрели, теперь переходим к файлу Shit.exe. Как видим, он ничем не упакован. Смотрим исходный код и видим, что это крякнутый Evrial Про него, я думаю, рассказывать нечего. Было уже множество тем, в которых люди (адекватными их назвать нельзя) под видом кряков чекера от Старлея или кряка Антипаблика соло выкладывали этот вирус. Единственное, с чего я угарнул - с названия его сайта, на который идут **** Заливаем шелл и получаем полный доступ к его логам. #моястатья