Анализ "крипта" от Helex (SupremeSellerr)

Привет. Вся история начинается с того, что Гл. Модератор попросил меня проверить "крипт", который продавал один пользователь.

И пересылает мне файл:


У меня сразу возникли 2 вопроса:

• Как можно закриптовать файл, сжав 6 мб до 44 кб?
• Почему файл называется loader1.exe

Первое, что приходит в голову, что это лоадер. Но я точно знаю, что лоадер и крипт - это разные вещи.
Естественно нужно подтвердить свою теорию.

Смотрим анализ DiE (Detect It Easy):

Но даже наличие Confuser(Ex), нас не остановит. Прогоняем файл через de4dot mod by kao и открываем в dnSpy. И сразу открою точку входа (функция main):

Видим вызов 4 функций, Q4 -> Q1 -> Q3 -> Q2 , правильный порядок для корректной работы.

Q4 - генерирует путь до файла, в папке temp, с расширением .tmp, а потом меняет его на .vbs:


Q1 - запись из ресурса в файл .vbs:


Q3 - Запускает .vbs скрипт (о нем позже):


Q2 - ждет окончания выполнения скрипта и удаляет его (WaitForExit прописан в Q3):


А теперь перейдем к тому самому vbs скрипту:

VBS - Visual Basic, выполняются такие скрипты в оболочке PowerShell.
Честно скажу: этот язык я не знаю. Но просто просматривая названия функций, очень не сложно догадаться, что это загрузчик.

Так же там находится какая-то форма, но в точке Main и в других функциях это форма не вызывается.

Посмотрим же на саму тему:



Подведу итог:
За 10$ вы получаете даже не крипт, а просто лоадер. Лоадер с зависимостью и где половина функционала не соответствует описанию (не говоря о том, что предлагается крипт, а дают лоадер).

Почему написал эту статью

Другая версия: https://telegra.ph/Analiz-kripta-ot-Helex-SupremeSellerr-09-02