Дело о Поддельном Лоадере

load

В редакцию "красных боевых медведей" (по хакерскому XMPP-протоколу) прилетела радостная весть: наши боевые товарищи слили убер-приватный Loader, названный самим автором как H1N1.

Cчастью не было предела, пока 7zip не распаковал архив с исходниками:

file

файлы илитного лодера

Количество файлов илитного лодера было явно меньше ожидаемого, кроме того автор забыл удалить бесполезный ncb файл в 15 мегабайт, что придавало посылочке солидный вес.

Снимок с места происшествия

Автор лоадера приложил скриншот процесса написания сего чуда, в момент когда оно наконец скомпилировалось. Рискну предположить, что успешная компиляция не была частым событием в его жизни, раз удачную сборку он запечатлел подобным образом.

zz

Этот парень кое что знает о конспирации

Какие хакерские выводы мы можем сделать об этом скриншоте? Первое что бросается в глаза, то что он хранит свой проект в папке \WORK\2015\h1n1 на truecrypt-разделе. Похоже мы поймали тот самый лоадер! Или нет? Копаем дальше.

latitude

Автор имеет хакерский ноутбук марки DELL E6410

Экспертиза исходного кода

В архиве представлено 4 си-плас-плас файла, поражающих нас глубиной опыта автора. Например возьмём функцию ID_HARD:

Видимо, он точно не знал, какой диск системный, но посмотрев какие диски смонтированы у него, сделал вывод что этого спискам вполне достаточно.

В коде захардкожен адрес сервера "aucanyurt.com" и путь "/j86ba/gate.php?xxx=%x&name=%s&inf=%s&pf=%s_%s".

Запуск скаченного файла не всегда происходил гладко, поэтому юный подаван предусмотрел запасные варианты:

Так же имеет место хакерская технология "фильтрации" интересующих машин:

С последующим

Алгоритм настолько красив, что заставил меня рыдать кровью всю следующую неделю, в связи с чем RedBear отпаивал меня стратегической водкой. Сначала я не хотел делится с вами этой технологий, но раздобрев от водки, передумал:

Не палите, по бротски.

Код для base64 и CaptureBMP был мастерски спизжен, правда композиция подвела и в GDI.cpp оказалась функция SendPostRequest.

Заключение эксперта

Предоставленный исходный код никаким образом не может быть настоящим H1N1 лоадером, хотя бы по той причине что последний написан на MASM, а вышеназванный хакерский код на Языке Си. Исходя из комментариев помощника боевых медведей, этот исходный код был продан как лоадер H1N1, с введением покупателя в заблуждение. Пока не ясно, кто стоит за этим резонансным делом, возможно печально известный "Satsura Techology" или иной криминальный синдикат.

Мы продолжаем следить за развитием событий.