Эту заметку я решил написать чтобы помочь потенциальными жертвам подобных раздач вирусов, люди пытаются найти способы смотреть ютуб, а находят майнер в свою ОС. Здесь будут приведены все пруфы которые я смог собрать специально заражая этим вирусом отдельную машину с Windows 10.

На ТГ канале peekbot при поддержке его ютубканала peekbot, с видеоинструкциями по установке и настройке, раздаётся файл с вирусом-майнером, внедренный в известный многим пакет zapret.zip с гитхаба, который меняет формат пакетов tcp/ip чтобы "ускорить" старые "медленные сервера" googlevideo и не только. Заранее просьба ко всем - подайте жалобы на эти TG и Youtube каналы с указанием на вирус-майнер. Жертв вируса будет намного меньше если эти каналы исчезнут, там сейчас очень много незадачливых подписчиков (30к на ТГ и 61К а Ютубе).
UPD: на данный момент канал в ТГ заблокирован или удалён, а канал на ютубе в статусе продан.

скрин с его ТГ канала peekbot
скрин с его ТГ канала peekbot
Скрин с его ЮТ канала @peekbot
Скрин с его ЮТ канала @peekbot

Разберём свежую (14.12.2024) вариацию его поделки с вирусами. Распакуем архив и сравним с оригинальным запретом без вирусов. Оригинальный, чистый (слева) занимает 3,3 Мб. Зараженный FixDPI__ справа - 19,4 Мб

Оригинальный zapret слева, зараженный - справа
Оригинальный zapret слева, зараженный - справа

Кроме cygwin1.dll (который есть в оригинале) появился cygwin.exe и libсurl.dll которые являются дальнейшими загрузчиками самих зловредов. Также видим что WinDivert64.sys находится в 7z-архиве (3) с паролем. Так делают чтобы избежать срабатывания антивирусов. Этот файл распаковывается при первом запуске .cmd файла, в нем никаких вирусов нет, это немного хакнутый драйвер, на который всегда агрятся антивирусы, он полная копия того что есть в чистом запрете. Пример из russia_all.cmd, распаковка с паролем windivert64.sys

IF EXIST "WinDivert64.sys" GOTO startwithoutpackage "%~dp07zip.exe" e -pwindivert WinDivert64.7z -o"%~dp0" WinDivert64.sys

Заражаем. Копируем на свежеустановленную win 10, на отдельной машине чтобы надёжно её заразить и проанализировать способы и результат заражения. Запускаем russia_all.cmd и ожидаем пару минут, видим это, и удивляемся.

Естественно на ОС никакого стима не было и его замаскированный "апдейт" скачался и выполнился загрузчиком вирусов, это можно сказать второй слой заражения. Подтверждение тому что файл только что скачался смотрим в логе вновь созданных файлов который у нас ведёт утилита мониторинга файловой системы. Вот он:

Ловим этот файл в Temp-е и закидываем в вирус-тотал: https://www.virustotal.com/gui/file/74c888e6bdb61ca60e3f91b160a4d6087217443c3da092b77c39faebecf1cd49

Так же в temp создаётся и другой файл OriginPlayer.exe который позже будет переименован в ddxdiag.exe, это тоже компонент вируса майнера или его менеджер. По сути основная часть заражения уже произошла, теперь будем разбираться с тем, как это все работает и маскируется. А для чистоты эксперимента перезагрузимся и больше не будем запускать сами функциональные файлы запрета, ради которых люди и попадаются на майнер. Всё работает уже без них.

После загрузки винды, буквально через пару минут кулеры раскручиваются, растёт температура процессора, загрузка на полную. Пробуем посмотреть в менеджер задач винды, а загрузки - нет, подозрительных процессов тоже. Закрываем таск-менеджер, через минуту вентиляторы разгоняются снова. Классика.

Запустим сторонний диспетчер процессов (process explorer) и наконец увидим 3-й слой заражения, собственно сам работающий майнер, который жрёт ресурсы процессора и занимается отправкой данных по сети.

Оба процесса системные, просто так убить их нельзя. Но найдем где живут их файлы в винде, оказывается все живёт в \Public\Libraries\

ddxdiag.exe - процесс всегда висящий в памяти, наверняка управляющий запуском основного майнера.
SppExtFileObj.exe - и есть сам майнер, проанализируем его на вирус тотал. https://www.virustotal.com/gui/file/07a4afd0b7b8c22d2279dc335bc4392a40383ad3a0ab9bd24193ccfcfeb0a6c3

Посмотрим с каким хостом он соединяется:

С ip: 51.222.12.201, port: 10343 наверное шлёт свои результаты работы майнинга, но может быть и не только, трафик надо проанализировать отдельно. Найдём данные мудилы, который впихнул в запрет этот вирус, они в ini-шке, рядом с самим майнером: c:\Users\Public\Libraries\AMD\openc\config.ini:

[RandomX]
coin = xmr
wallet = 45wjbEoJWy9ZBJtXRQJSvdfx2U3q8FvCwjPNZrPSJCjwZCu3GrNtskPPbcbE18sWHENTxG23xPwPwg1DabVnPFRE2eiqLDq
rigname = XMR
email = LOVE@proton.me

Рядом лежит файл с логами майнера: c:\Users\Public\Libraries\AMD\opencl\logs\log_2024-12-19_17-13-27.log 

Connected to pool: xmr-us-east1.nanopool.org:10343 | IP: 51.79.71.77
Connected to pool: xmr-us-east1.nanopool.org:10343 | IP: 51.79.71.77

Заключение. Майнер грузит полностью весь процессор, мешает нормально использовать ОС, жрет энергию и майнит для паразита крипту. Он пытается скрываться, но при использовании альтернативных менеджеров задач например anvir task manager или process explorer вычисляется и в последствии удаляется с ОС.

Структура архива с зараженными файлами может отличаться от версии к версии, он часто её немного меняет, однако конечный майнер и процесс заражения +- одинаковые.

Вредитель который использовал zapret с гитхаба внедрив туда вирус, раскрутив свой Ютуб и ТГ каналы, заразив много десятков тысяч пользователей, надеюсь потеряет эти каналы и возможность майнить на всех зараженных ПК.

Жертвы которые заразились - пренебрегают элементарной логикой. Качать файлы с ТГ групп и чатов, из недоверенных источников, запускать, отключая антивирусы - это полнейшая глупость. Такой майнер - хороший им урок на будущее.

Лечение - вполне вероятно удалить все процессы из памяти например через anvir task manager, удалить все файлы и директории причастные к вирусу, проверить автозапуск, прошерстить реестр и диски разными поисковиками подобного контента, например https://github.com/BlendLog/MinerSearch

Вопросы, осуждения, одобрения на тему этого вируса можно обсудить в чате телеги https://t.me/keepbot_chat Пришлось создать группу с таким названием потому что автор зловреда отключил недавно всем пользователям возможность общаться и задавать там вопросы, а также удалял все упоминания и вопросы о наличии вирусов.

UPD: статус его ютуб канала на данный момент:

TG канал его тоже уже уделён

Комментарии (1)


  1. tigra1686
    23.12.2024 12:29

    Кайф, перенесло на 15 лет назад, как защищал дипломную по вирусам, накатилась ностальгическая слеза