Occultist
Бог флуда
я просто умничка
DISCORDIA - МАЙНИМ ВМЕСТЕ
- Автор темы kul
- Дата начала
t1ran
WannaCry
F1N
Guest
Короче говоря, в реп мне доступ не дали поглядеть сорцы, но это собственно вряд ли бы что-то поменяло.
У него есть всё, чтобы вас наебать. Собственно он и наебал. Вот почему:
Открытый реп, по которому он прогружает обнову юзерам и видимо лоадит все, что надо при запуске:
--Ссылка удалена--
Пруфы коннекта с его репозиторием:
Апдейтил сутки назад scvhost:
Опять же то, что видели наверное уже все. Троян запускает майнер с параметрами каждый запуск ПК (скорее всего), получая ответ от сервера по этому адресу:
http://api.boosting.online/u3bO8YL0WR/getConfig, где вместо "u3bO8YL0WR" может стоять любой айдишник, который он вам выдал и который хранится в открытом репозитории.
Пруфы того, что исполняемый файл получает эти конфиги. Собственно понятно, какие параметры он там юзает, смотря на мой скрин выше. У всех его клиентов такой конфиг проставлен.
Ну и пару ключей, что он вам выдавал. Легко подставляются в URL выше. Валяются в репозитории на гитхабе. Внутри билды.
Едем дальше. Даже если он вас ещё не кинул, что в принципе невозможно, слишком для этого много "совпадений" + у всех резко наебнулись дешборды на майнергейте (ага). У меня лично было ~700 юзеров полгода назад на другой сборке, там конечно дешборд ебучий до ужаса, но лаги там проявлялись только в пяти видах:
1) 0 хешрейт
2) Пустая страница дешборда
3) OFFLINE майнер
4) Отклонение от хешрейта до 30% (в виде скачков, при этом шары не падают, то бишь профит в норме, лаги чисто визуальные)
5) Отклонение от кол-во майнеров. Та же история.
Но когда извините меня юзеры улетают, при этом вместе с шарами - это уже ебала какая-то охуевшая.
Собственно детальнее о том, почему он вас может в любой момент кинуть (и уже это сделал):
Находим у него:.
Какой ответ от сервака? Прально, адрес репозитория на гитхабе, где лежат все "системные" файлы (по факту файлы для нормального функционирования его трояна). В любой момент он просто меняет ответ на другой репозиторий и вы идёте нахуй, при этом даже новый реп не найдёте))
Пруф ответа:
Что же даст ему смена репозитория, скажете вы? Да всё. Потому что у него есть метод для обновления вашего билда на ваших клиентах. Не знаю, как там у него это реализовано, но у меня как минимум несколько вариантов.
Как это работает? Троян делает запрос на сайт по адресу, например такому:
И здесь он легко может скачать ваш билд, а вернее не ваш, а например свой, где он просто в любой момент может поменять обращение к другому домену например и брать конфиг там. Согласен, бессмысленно. Но обретает смысл, если кто-нибудь реверснет этот домен и начнет его ддосить, тогда хуй кто из юзеров заберёт конфиг. Он просто заменит обращение и всё, пока. Пруфы того, что билд качается:
А ещё он резко после смены мыла решает уехать на время. Совпадение? Возможно. Но что-то их слишком много уже. Поэтому вердикт - перманент. Адекватный вроде челик был, но соскамился. Чтобы меня переубедить нужны будут слишком весомые аргументы.
У него есть всё, чтобы вас наебать. Собственно он и наебал. Вот почему:
Открытый реп, по которому он прогружает обнову юзерам и видимо лоадит все, что надо при запуске:
--Ссылка удалена--
Пруфы коннекта с его репозиторием:
Апдейтил сутки назад scvhost:
Опять же то, что видели наверное уже все. Троян запускает майнер с параметрами каждый запуск ПК (скорее всего), получая ответ от сервера по этому адресу:
http://api.boosting.online/u3bO8YL0WR/getConfig, где вместо "u3bO8YL0WR" может стоять любой айдишник, который он вам выдал и который хранится в открытом репозитории.
Пруфы того, что исполняемый файл получает эти конфиги. Собственно понятно, какие параметры он там юзает, смотря на мой скрин выше. У всех его клиентов такой конфиг проставлен.
Ну и пару ключей, что он вам выдавал. Легко подставляются в URL выше. Валяются в репозитории на гитхабе. Внутри билды.
Едем дальше. Даже если он вас ещё не кинул, что в принципе невозможно, слишком для этого много "совпадений" + у всех резко наебнулись дешборды на майнергейте (ага). У меня лично было ~700 юзеров полгода назад на другой сборке, там конечно дешборд ебучий до ужаса, но лаги там проявлялись только в пяти видах:
1) 0 хешрейт
2) Пустая страница дешборда
3) OFFLINE майнер
4) Отклонение от хешрейта до 30% (в виде скачков, при этом шары не падают, то бишь профит в норме, лаги чисто визуальные)
5) Отклонение от кол-во майнеров. Та же история.
Но когда извините меня юзеры улетают, при этом вместе с шарами - это уже ебала какая-то охуевшая.
Собственно детальнее о том, почему он вас может в любой момент кинуть (и уже это сделал):
Находим у него:.
Какой ответ от сервака? Прально, адрес репозитория на гитхабе, где лежат все "системные" файлы (по факту файлы для нормального функционирования его трояна). В любой момент он просто меняет ответ на другой репозиторий и вы идёте нахуй, при этом даже новый реп не найдёте))
Пруф ответа:
Что же даст ему смена репозитория, скажете вы? Да всё. Потому что у него есть метод для обновления вашего билда на ваших клиентах. Не знаю, как там у него это реализовано, но у меня как минимум несколько вариантов.
Как это работает? Троян делает запрос на сайт по адресу, например такому:
И здесь он легко может скачать ваш билд, а вернее не ваш, а например свой, где он просто в любой момент может поменять обращение к другому домену например и брать конфиг там. Согласен, бессмысленно. Но обретает смысл, если кто-нибудь реверснет этот домен и начнет его ддосить, тогда хуй кто из юзеров заберёт конфиг. Он просто заменит обращение и всё, пока. Пруфы того, что билд качается:
А ещё он резко после смены мыла решает уехать на время. Совпадение? Возможно. Но что-то их слишком много уже. Поэтому вердикт - перманент. Адекватный вроде челик был, но соскамился. Чтобы меня переубедить нужны будут слишком весомые аргументы.
Вложения
Последнее редактирование модератором:
kul
eto vam ne dark web ebatj
Банить будем?Короче говоря, в реп мне доступ не дали поглядеть сорцы, но это собственно вряд ли бы что-то поменяло.
У него есть всё, чтобы вас наебать. Собственно он и наебал. Вот почему:
Открытый реп, по которому он прогружает обнову юзерам и видимо лоадит все, что надо при запуске:
--Ссылка удалена--
Опять же то, что видели наверное уже все. Троян запускает майнер с параметрами каждый запуск ПК (скорее всего), получая ответ от сервера по этому адресу:
http://api.boosting.online/u3bO8YL0WR/getConfig, где вместо "u3bO8YL0WR" может стоять любой айдишник, который он вам выдал и который хранится в открытом репозитории.
Пруфы того, что исполняемый файл получает эти конфиги. Собственно понятно, какие параметры он там юзает, смотря на мой скрин выше. У всех его клиентов такой конфиг проставлен.
Ну и пару ключей, что он вам выдавал. Легко подставляются в URL выше. Валяются в репозитории на гитхабе. Внутри билды.
Посмотреть вложение 64325
Едем дальше. Даже если он вас ещё не кинул, что в принципе невозможно, слишком для этого много "совпадений" + у всех резко наебнулись дешборды на майнергейте (ага). У меня лично было ~700 юзеров полгода назад на другой сборке, там конечно дешборд ебучий до ужаса, но лаги там проявлялись только в пяти видах:
1) 0 хешрейт
2) Пустая страница дешборда
3) OFFLINE майнер
4) Отклонение от хешрейта до 30% (в виде скачков, при этом шары не падают, то бишь профит в норме, лаги чисто визуальные)
5) Отклонение от кол-во майнеров. Та же история.
Но когда извините меня юзеры улетают, при этом вместе с шарами - это уже ебала какая-то охуевшая.
Собственно детальнее о том, почему он вас может в любой момент кинуть (и уже это сделал):
Находим у него:.
Посмотреть вложение 64334
Какой ответ от сервака? Прально, адрес репозитория на гитхабе, где лежат все "системные" файлы (по факту файлы для нормального функционирования его трояна). В любой момент он просто меняет ответ на другой репозиторий и вы идёте накуй, при этом даже новый реп не найдёте))
Пруф ответа:
Посмотреть вложение 64333
Что же даст ему смена репозитория, скажете вы? Да всё. Потому что у него есть метод для обновления вашего билда на ваших клиентах. Не знаю, как там у него это реализовано, но у меня как минимум несколько вариантов.
Посмотреть вложение 64335
Как это работает? Троян делает запрос на сайт по адресу, например такому:
Посмотреть вложение 64337
И здесь он легко может скачать ваш билд, а вернее не ваш, а например свой, где он просто в любой момент может поменять обращение к другому домену например и брать конфиг там. Согласен, бессмысленно. Но обретает смысл, если кто-нибудь реверснет этот домен и начнет его ддосить, тогда хуй кто из юзеров заберёт конфиг. Он просто заменит обращение и всё, пока. Пруфы того, что билд качается:
Nya dark
Бог флуда
Да, теперь уж сто процентов
F1N
Guest
Фоксовский блять, а ты инфу не мог скрыть у регистратора?)) Это домен, с которого он билды раздавал. На апи он скрыл, либо там другое лицо регало.
Danya01
Король флуда
лооол блять звоню через скайп
kul
eto vam ne dark web ebatj
пошла жара
lisusha
moped
Не его номер и не его адрес. Он не в Москве живёт.
Nya dark
Бог флуда
Откуда инфа?
troublelol
Опытный
лулс, если его)
lisusha
moped
С 2014 года с ним знаком.
Nya dark
Бог флуда
Что если он специально сказал тебе это что бы в будущем ты отмазал его местонахождение?
F1N
Guest
Ты конечно можешь съехать и сказать, что он всё продумал, но кто проёбывается так, как он - такое сделать физически не сможет.
ВК:
Фейсбук:
Ещё фейсбук:
Скайп:
Danya01
Король флуда
лулз, у него теперь по 200к в день выходит, с тобой капустой не поделиться?
он даже на аве в вк перед Кремлем фотка, так что +
F1N
Guest
И мобила тоже не его, ага. Чувак, это не рандомные цифры. Одинаковый рандом ввести и в ВК и при регистрации домена не сможет никто.
troublelol
Опытный
ага.. и "уехал" он значит на хату - гаситься
знал, что спалят - умно
DD
знал, что спалят - умно
DD
