Помогите, пожалуйста, привести к читаемому коду малваря, die определяет как confuser 1.9 & NET
Пробовал подсунуть к de4dot - распаковывает, но слишком много мусора на выходе получается, и думаю основное тело зловреда походу в ресурсах сидит. Кому не сложно или интересно посмотрите, хотелось бы понять что оно делает.

--> google_drive <--
pwd 123

| Сообщение посчитали полезным:

Sn, а с чего решили, что это зловред, если не знаете, что он делает?

| Сообщение посчитали полезным:

Привет, Ну хотя бы потому что добавляет (ДОБАВЛЯЛОСЬ 100%) в автозагрузку себя под видом известных программ.

| Сообщение посчитали полезным:

Sn

Читай тут --> Link <--

Но это всего лишь системные логгеры, они снимают сервисную активность(те ядерные интерфейсы). Но не всегда можно по этой инфе выяснить что делает апп. Комовские апп отлаживать не лучшая идея. Там отладки нет, забирается образ и на декомпиляцию.

-----
vx

| Сообщение посчитали полезным:

Sn пишет:
и думаю основное тело зловреда походу в ресурсах сидит
Нашел только, что в ресурсах запакована dll содержащая только ресурсы, среди которых куча каких то строк разной длины вроде "20KEV9gs1uusDY0zYb", пара картинок и какой то бинарный массив в 112Кб, предполагаю, что зашифрованный...
При запуске в отладчике и/или песочнице в автозагрузку ничего не пишет. При беглом просмотре кода нашел что -то похожее на проверку дебагера, но не разбирался как это работает и что делает. По крайней мере после запуска в отладчике ничего не происходит, просто висит в процессах без какой то визуально заметной активности.
И это похоже не только confuser, ну или какой то модифицированный мод.

| Сообщение посчитали полезным: Sn

Adler пишет:
среди которых куча каких то строк разной длины вроде "20KEV9gs1uusDY0zYb"
Возможно из этих строк формируется имя для копии exeшника зловреда с последующей пропиской в автозаугрузку, вот такая активность была замечена (скрин в аттаче), также видел копию в папке %TEMP% под именем что-то вроде "DIF.exe"...
Благодарю за помощь.

Пробовал запускал сие гуано через dnspy с bp на Assembly.Load(), получилось сдампить сборку AParcEngine.dll, не совсем пойму пока, что оно делает, тоже обфусцировано, каким то smart assembly на этот раз, как говорит die.

--> activity+apark <--

| Сообщение посчитали полезным:

Sn пишет:
AParcEngine.dll
Ее я тоже нашел, чуть позже. В dnspy половина методов не читабельны, надо в IL разбираться...

| Сообщение посчитали полезным:

Уже что-то проясняется...
--> pict <--

Adler пишет:
надо в IL разбираться...
Попробую, спасибо.

| Сообщение посчитали полезным:

Sn пишет:
Уже что-то проясняется... код - это уже совсем противоправное действие. Но это все таки подготовка, интересно что потом он делает

| Сообщение посчитали полезным:

Medsft пишет:
интересно что потом он делает
Подозреваю что-то нехорошее
(например загружает и исполняет другие сборки,

Adler, есть какието варианты привести к более дружественному виду данную сборку для анализа, или только ILDasm?

| Сообщение посчитали полезным:

Sn пишет:
Adler, есть какието варианты привести к более дружественному виду данную сборку для анализа, или только ILDasm?

Это у Medsft надо спрашивать, я не сильно шарю. Мне такие способы не известны.
P.S. IL там же в DnSpy смотреть можно выбрав его вверху вместо "C#"...

| Сообщение посчитали полезным:

Adler пишет:
P.S. IL там же в DnSpy смотреть можно выбрав его вверху вместо "C#"...
Кстати, да, спасибо за подсказку, я знал это, но благополучно забыл. (вместо этого пытался найти эту фичу в контекстном меню :s14

Medsft, не расскажете более подробно, как узнать что оно там делает дальше? или только IL копать?

| Сообщение посчитали полезным:

https://www.sendspace.com/file/dgkk49

Вот тебе пейлоад.
pass:111

dumped.exe получил подебажив в ольке, а дллку (raw.bin) уже из dumped.exe (дебажил DnSpy).

Добавлено спустя 2 минуты
Кстати, второй файлик (raw.bin) есть на --> ВТ <--

-----
ds

| Сообщение посчитали полезным: Sn

DimitarSerg-зазипуй твою находку и положи пож еще раз. Чето или сам туплю или они не нравятся даже отключенному АВ не могу их даже посмотреть)))

Sn ну довольно необычные концы блоков поэтому refactory не может их в читаемый C# перевести, можно занятся.Я бы сказал что хитрый кодер чтото позволяет смотреть в C# а чтото нет.Самый простой способ найти сырки dumbassembly на тутсях(они там на форуме были) и прогнать сборку через него.

Меня же интересует как он права админа получает (на уровне C#) для реализации содержимого метода который на вашей фото.Но не критично поэтому прогу не копал

| Сообщение посчитали полезным: Sn, Adler

Medsft пишет:
зазипуй
--> Link <--

Medsft пишет:
хитрый кодер чтото позволяет смотреть в C# а чтото нет.Самый простой способ найти сырки dumbassembly на тутсях(они там на форуме были) и прогнать сборку через него.

Интересно, спасибо за информацию.

Medsft пишет:
как он права админа получает
Никак вроде, от админа запускать самому надо.

DimitarSerg, огромная благодарность за помощь! без Вас не разобрался бы.
между прочим, именно вы меня опять выручили здесь, как и 6 лет назад ... жаль только, что я ничему так и не научился за это время.

| Сообщение посчитали полезным:

Medsft пишет:
Меня же интересует как он права админа получает
Не знаю как он там потом с автозагрузки запускается, а просто при запуске с UAC он запрашивает права стандартным способом, не знаю правда как, через манифест или через проверку прав и перезапуск, просто не смотрел.

| Сообщение посчитали полезным:

Adler пишет:
не знаю правда как спасибо но уже не интересно, я думал научились втихую это делать))))))))

Добавлено спустя 3 минуты
Sn пишет:
Medsft пишет:
зазипуй
--> Link <-- спасибо

Добавлено спустя 13 минут
посмотрел немножко еще код... загрузчик гораздо интересней тем то что он инжектит (потому и закрыт обфускатором), в bluestacks залезать умеет и похоже из virtual box вылезать(не умеет детект только))).Нормальный кодер похоже писал

Добавлено спустя 14 минут
и почему он тут незарегался) поболтали бы

Добавлено спустя 30 минут
Есть такие строки "Coded for ByteCrypter. Revision 6"
Но это уже наши ParCrypter заплагиатили похоже

| Сообщение посчитали полезным:

Medsft пишет:
Но это уже наши ParCrypter заплагиатили похоже
Не смею предположить кто для вас наши, знаю лишь, что тот, от кого "прилетело" сие чудо - точно не разговаривали на нашем.

Добавлено спустя 26 минут
Medsft пишет:
и почему он тут незарегался) поболтали бы
--> Link <-- Не оно случаем?

| Сообщение посчитали полезным: