Короче говоря, в реп мне доступ не дали поглядеть сорцы, но это собственно вряд ли бы что-то поменяло.
У него есть всё, чтобы вас наебать. Собственно он и наебал. Вот почему:
Открытый реп, по которому он прогружает обнову юзерам и видимо лоадит все, что надо при запуске:
--Ссылка удалена--
Опять же то, что видели наверное уже все. Троян запускает майнер с параметрами каждый запуск ПК (скорее всего), получая ответ от сервера по этому адресу:
http://api.boosting.online/u3bO8YL0WR/getConfig, где вместо "u3bO8YL0WR" может стоять любой айдишник, который он вам выдал и который хранится в открытом репозитории.
Пруфы того, что исполняемый файл получает эти конфиги. Собственно понятно, какие параметры он там юзает, смотря на мой скрин выше. У всех его клиентов такой конфиг проставлен.
Ну и пару ключей, что он вам выдавал. Легко подставляются в URL выше. Валяются в репозитории на гитхабе. Внутри билды.
Посмотреть вложение 64325
Едем дальше. Даже если он вас ещё не кинул, что в принципе невозможно, слишком для этого много "совпадений" + у всех резко наебнулись дешборды на майнергейте (ага). У меня лично было ~700 юзеров полгода назад на другой сборке, там конечно дешборд ебучий до ужаса, но лаги там проявлялись только в пяти видах:
1) 0 хешрейт
2) Пустая страница дешборда
3) OFFLINE майнер
4) Отклонение от хешрейта до 30% (в виде скачков, при этом шары не падают, то бишь профит в норме, лаги чисто визуальные)
5) Отклонение от кол-во майнеров. Та же история.
Но когда извините меня юзеры улетают, при этом вместе с шарами - это уже ебала какая-то охуевшая.
Собственно детальнее о том, почему он вас может в любой момент кинуть (и уже это сделал):
Находим у него:.
Посмотреть вложение 64334
Какой ответ от сервака? Прально, адрес репозитория на гитхабе, где лежат все "системные" файлы (по факту файлы для нормального функционирования его трояна). В любой момент он просто меняет ответ на другой репозиторий и вы идёте накуй, при этом даже новый реп не найдёте))
Пруф ответа:
Посмотреть вложение 64333
Что же даст ему смена репозитория, скажете вы? Да всё. Потому что у него есть метод для обновления вашего билда на ваших клиентах. Не знаю, как там у него это реализовано, но у меня как минимум несколько вариантов.
Посмотреть вложение 64335
Как это работает? Троян делает запрос на сайт по адресу, например такому:
Посмотреть вложение 64337
И здесь он легко может скачать ваш билд, а вернее не ваш, а например свой, где он просто в любой момент может поменять обращение к другому домену например и брать конфиг там. Согласен, бессмысленно. Но обретает смысл, если кто-нибудь реверснет этот домен и начнет его ддосить, тогда хуй кто из юзеров заберёт конфиг. Он просто заменит обращение и всё, пока. Пруфы того, что билд качается: