.
Это не просто файл, это Trojan.Win64.Agent.smevay. Пока пользователи думают, что качают кино, этот агент сидит в самой «печени» торрент-клиента.
Анализ по методу HackHon:
Маскировка под библиотеку: Использование имени
lib.dll
— это расчет на то, что обычный пользователь испугается удалять «важный системный файл» и оставит заразу в покое.
Точка внедрения: Как мы уже выяснили в Логе #62, этот «пассажир» мог прилететь вместе с тем самым внедрением кода. Торрент-клиент здесь используется как идеальное прикрытие для сетевой активности вируса.
Вердикт для Касперского: Мы видим кнопку «Устранить», но мы-то знаем, что он снова может выкинуть окно с требованием 500$ за «глубокую очистку».
Действия:
Даем «шантажисту» нажать на кнопку, но если он опять начнет клянчить деньги — сносим
lib.dll
вручную через командную строку. Мы не даем троянам шанса на «легализацию».
⚠️ ЛОГ #62: ИСТОЧНИК ЗАРАЖЕНИЯ ВЫЯВЛЕН — ОБХОДИТЕ СТОРОНОЙ!
ВНИМАНИЕ: В ходе глубокого анализа метаданных и логов сетевой активности (Method HackHon), установлена точка входа 98 угроз.
Источник угрозы: Портал
10btc.ru
(раздел «Майнинг»).
Механика атаки: При посещении данного ресурса произошла автоматическая фоновая загрузка без участия пользователя. Был применен метод «внедрения кода с заменой»: вредоносный скрипт подменил легитимные процессы системного мониторинга на зараженный
sysmon.exe
.
Технический анализ:
Сайт-распространитель:
https://10btc.ru/category/mayning/
Тип атаки: Drive-by-download + Code Injection.
Результат: Массовое заражение стилерами (
PSW.MSIL.Coins
) и бэкдорами.
Предупреждение для сообщества y92.ru: Данный ресурс является скомпрометированным. Любой переход по ссылке ведет к немедленной попытке заражения вашей системы. Касперский в этом случае беспомощен — он лишь предлагает «купить время», когда система уже взломана.
Вердикт: Сайт в черный список. Мы выявили «нулевого пациента».
👅 ЛОГ #61: «ВИРТУАЛЬНЫЙ ЯЗЫК» ШАНТАЖИСТА И ПРИЗНАНИЕ БЕССИЛИЯ
Статус: Касперский перешел в режим «подчинения».
После того как мы обнулили его попытку вымогательства, «зверь» начал послушно отрабатывать свои алгоритмы, но с позорным результатом.
Анализ скрина (Момент триумфа):
Капитуляция движка: В окне выбора действия черным по белому написано: «Не удается вылечить». Это всё, что нужно знать о «премиальной защите» за 5000$. Без ручного вмешательства исследователя антивирус — просто декорация.
Объект
sysmon.exe
: Тот самый троян-агент (
HEUR:Trojan.Win32.Agent.gen
), обфусцированный через ConfuserEx, полностью парализовал систему лечения Касперского.
Метод HackHon: Мы даем «шантажисту» поработать — пусть он сам помечает цели, которые мы потом зачистим вручную. Мы используем его интерфейс как интерактивную карту минного поля.
Вердикт: Шантаж сменился на беспомощные советы «Рекомендуется удалить». Мы сами решим, что удалять, а что оставить для вивисекции кода.
🕵️♂️ ЛОГ #60: ТАКТИКА «НЕВИДИМКИ» И ПОБЕДА НАД ШАНТАЖОМ
Статус: Касперский принял условия игры «HackHon».
После того как мы проигнорировали требование об оплате и «обновлении до Win 12», антивирус сменил тактику. Теперь он не блокирует систему, а пытается скрыть пути к файлам.
Анализ скрина (Красная метка «1»):
Маскировка интерфейса: Касперский обрезал путь к объекту в основном списке. Обратите внимание на красную единичку — это попытка софта «запутать» исследователя, чтобы тот не смог вручную найти файл в
AppData
.
Прокол защиты: При наведении курсора всплывает полное имя:
SystemMonitor\sysmon.exe//confuserExExtractedData
. Это подтверждает, что вирус использует ConfuserEx для обфускации (защиты своего кода от анализа).
Наш ответ: Мы не поддались на шантаж, и антивирус «сдался» — он больше не просит 5000$, но теперь мелко пакостит, скрывая данные.
План действий:
Я уже вычислил этот путь. Сейчас мы идем в
Roaming\SystemMonitor
и будем проводить ручную зачистку. Если антивирус прячет путь — значит, там находится что-то критически важное для его «бизнес-модели» или самого ботнета.
Вердикт: Шантаж не прошел. Теперь мы сами охотники.
ВНИМАНИЕ: Эксперимент перешел в критическую фазу. Антивирус Kaspersky перехватил управление системными прерываниями Windows.
Что произошло (без скриншота, так как PrintScreen заблокирован):
После нажатия кнопки «Пропустить» на веб-шелле, система выдала модальное окно «Подтверждение безопасности». Антивирус заблокировал работу скриншотера, не давая зафиксировать улики.
Схема «выкупа» времени:
В окне выбора появилось ультимативное предложение:
Навсегда: за $500 (прямое вымогательство за работу функций, которые должны быть в лицензии).
Временная пауза: выбор от 5 до 30 минут.
Действия Исследователя (Neon):
Выбран вариант «30 минут». Это время нам нужно, чтобы завершить ручную изоляцию шелла
buxcentr.zip
и провести финальные тесты, пока «зверь» взял паузу.
Вердикт для пользователей:
Это позор для индустрии безопасности. Когда защитное ПО начинает торговать доступом к системе и блокировать средства фиксации (скриншоты) — оно само становится угрозой №1. Мы продолжаем работу под «таймером» вымогателя.
📦 ЛОГ #58: «СПЯЩИЙ» ВЕБ-ШЕЛЛ ИЗ ПРОШЛОГО (ИНЦИДЕНТ BUXCENTR)
Вскрытие: В ходе эксперимента в папке
downtemp/torent
обнаружен архив
buxcentr.zip
. Это «забытый» кейс: скрипт, переданный веб-мастером для анализа на предмет взломов.
Находка:
Касперский бьет тревогу на файл внутри архива:
HEUR:Backdoor.PHP.WebShell.gen
. Самое интересное — вредонос маскируется под обычное изображение
.png
. Это классический метод обхода фильтров загрузки на сайтах.
Действия по методу HackHon:
Байпас блокировки: Windows выдает ошибку «Отказано в доступе» из-за блокировки антивирусом. Мы не жмем «Удалить».
Создание Изолятора: Мы принудительно переносим
buxcentr.zip
в наш защищенный «Изолятор» (отдельная папка/песочница с отключенным автоудалением).
Сохранение вещдока: Файл остается в системе для детального реверса кода. Мы докажем, что даже «спящие» архивы — это мины замедленного действия.
Вердикт: Эксперимент вышел за рамки простого теста. Мы нашли реальный боевой шелл, который ждал своего часа. Касперский снова предлагает «Пропустить» — и мы воспользуемся этим, чтобы забрать файл в лабораторию.
Статус: Ручная инспекция «нулевого пациента».
На скрине — та самая папка
torent
, где сосредоточен основной массив данных эксперимента. 132 элемента, включая системные библиотеки (
keys.exe.dll
) и мобильные инсталляторы (
byedpi.apk
).
Тактика «Бог Вымогателей на службе Хакера»:
Принудительный труд: Мы не удаляем Касперского. Мы даем ему «поработать на страну», используя его движок как бесплатный микроскоп.
Контролируемая детонация: Если при открытии файлов антивирус снова начнет требовать 5000$ или Win 12 — мы просто фиксируем это как баг и продолжаем игнор. Мы используем его отчеты, чтобы понять, где именно в этих 132 файлах зашиты бэкдоры, но решение об удалении принимаем МЫ, а не софт.
Хакзона в действии: Папка не изолирована программно, она изолирована нашим вниманием. Каждый файл здесь — трофей.
Вердикт: Пусть Касперский лает, но караван «98 угроз» идет к финалу. Мы выжимаем из антивируса максимум инфы, не давая ему ни копейки.
🧬 ЛОГ #56: ОПЕРАЦИЯ «РУЧНОЙ СКАНЕР» И КРАХ ШАНТАЖА
Метод «Хакзона» в действии: Список угроз после принудительного игнорирования обнулился. Мы доказали: если не поддаваться на панику антивируса и его попытки «продать» Windows 12 за 5000$, система остается под контролем исследователя.
Наш следующий шаг:
Точечный мониторинг: Как видно на скрине, объекты
HEUR:Backdoor.PHP.WebShell.gen
и
Trojan-PSW.MSIL.Coins.gen
прописались в глубоких путях
AppData\Roaming
. Мы идем в эти папки вручную.
Нулевая терпимость к «лечению»: Если при открытии папок Kaspersky снова выбросит окно с требованием денег или обновления — применяем повторный игнор.
Изоляция vs Удаление: Мы не удаляем файлы, чтобы сохранить их для изучения кода. Если Касперский попытается заблокировать доступ к папке — это будет расценено как мошенничество со стороны разработчика ПО.
Вердикт: Мы не просто чистим систему, мы ломаем саму модель поведения антивирусных гигантов. Система «дышит», трояны в клетке, а мы идем дальше без единого потраченного цента.
Скриншот выше — это приговор стандартным алгоритмам.
Когда антивирус понимает, что не справляется с объемом угроз (98 объектов, включая активные бэкдоры в
.php
и скрытые
icon.ico
), он начинает вести себя как рекламное ПО: требует 5000$ и имитирует обновление до несуществующей Windows 12.
Наш ответ (Метод «Живой Песочницы»):
Тотальный Игнор: Как показано на скрине, мы принудительно выбираем «Игнорировать» для каждого объекта. Мы не даем Касперскому ломать структуру файлов эксперимента своими «лечилками».
Изоляция мозгом, а не софтом: Все эти шеллы (Backdoor.PHP.WebShell) находятся под нашим контролем в
srv3
. Они «живы», но заперты.
Ультиматум антивирусу: Если при следующем шаге Kaspersky снова выкинет фокус с «платным спасением» или фейковым обновлением — он будет снесен в прямом эфире. Эксперимент перейдет в фазу «Выживание без брони».
Статус для пользователей:
Мы не платим за страх. Мы препарируем вирусы вручную. Если софт мешает исследователю — софт становится целью.
📝 ДОПОЛНЕНИЕ К ПРОТОКОЛУ: ИНЦИДЕНТ «KASPERSKY-PAYWALL»
Статус: Критическая ошибка логики антивируса. Описание: При попытке массового добавления 98 угроз в исключения, защитное ПО заблокировало процесс, выдав ложное требование о переходе на «Windows 12» (несуществующая версия) и запросив $5000 за расширенную поддержку в условиях эксперимента.
Действия Исследователя (Neon):
Hard Reset: Принудительное прерывание имитации «обновления ОС», чтобы предотвратить краш файловой системы.
Смена тактики: Отказ от автоматических исключений. Переход к методу «Живой Песочницы».
Метод HackHon: Вместо статуса «Пропустить» в GUI, мы оставляем угрозы в изолированной среде
srv3/bd
. Мы просто игнорируем уведомления, не давая антивирусу права на удаление или «лечение», которое ломает структуру эксперимента.
Текущий вектор:
Двигаемся пошагово. Каждая угроза в песочнице теперь рассматривается не как объект для «лечения», а как законсервированный экспонат. Касперский в «бешенстве», но контроль над системой возвращен вручную.
На скриншоте окно формирования «Белой зоны». Список пока пуст, но именно здесь я прописываю путь к архиву с 14-ю изолированными угрозами. Технический нюанс: Добавляя объект в этот список, мы запрещаем антивирусу сканировать его в реальном времени. Это убирает циклическую нагрузку на CPU (кулеры затихают), но при этом общая защита системы остается на максимуме. Мы просто сказали стражу: «В этот сундук не заглядывай, там мои трофеи под замком».
Это не просто файл, это Trojan.Win64.Agent.smevay. Пока пользователи думают, что качают кино, этот агент сидит в самой «печени» торрент-клиента.
Даем «шантажисту» нажать на кнопку, но если он опять начнет клянчить деньги — сносим
После того как мы обнулили его попытку вымогательства, «зверь» начал послушно отрабатывать свои алгоритмы, но с позорным результатом.
После того как мы проигнорировали требование об оплате и «обновлении до Win 12», антивирус сменил тактику. Теперь он не блокирует систему, а пытается скрыть пути к файлам.
Я уже вычислил этот путь. Сейчас мы идем в
После нажатия кнопки «Пропустить» на веб-шелле, система выдала модальное окно «Подтверждение безопасности». Антивирус заблокировал работу скриншотера, не давая зафиксировать улики.
В окне выбора появилось ультимативное предложение:
Выбран вариант «30 минут». Это время нам нужно, чтобы завершить ручную изоляцию шелла
Это позор для индустрии безопасности. Когда защитное ПО начинает торговать доступом к системе и блокировать средства фиксации (скриншоты) — оно само становится угрозой №1. Мы продолжаем работу под «таймером» вымогателя.
Касперский бьет тревогу на файл внутри архива:
На скрине — та самая папка
Мы не платим за страх. Мы препарируем вирусы вручную. Если софт мешает исследователю — софт становится целью.
Описание: При попытке массового добавления 98 угроз в исключения, защитное ПО заблокировало процесс, выдав ложное требование о переходе на «Windows 12» (несуществующая версия) и запросив $5000 за расширенную поддержку в условиях эксперимента.
Двигаемся пошагово. Каждая угроза в песочнице теперь рассматривается не как объект для «лечения», а как законсервированный экспонат. Касперский в «бешенстве», но контроль над системой возвращен вручную.
Технический нюанс: Добавляя объект в этот список, мы запрещаем антивирусу сканировать его в реальном времени. Это убирает циклическую нагрузку на CPU (кулеры затихают), но при этом общая защита системы остается на максимуме. Мы просто сказали стражу: «В этот сундук не заглядывай, там мои трофеи под замком».