Разбор Supreme Mine Studio — все очень плохо

AKASHI

Разбор Supreme Mine Studio — все очень плохо


Сегодня посмотрим на яркий пример агрессивного маркетинга и безграмотности обитателей серых СНГ паблик форумов — Supreme Mine Studio. Как заявляет разработчик, это «лучший майнер за последнюю тысячу лет!» — предлагаю по традиции взять билд, разобрать и сравнить с описанием на форумах.

Создание ожидания
Скрин продажника не поместился, поскольку теста ну очень много. Первый урок — если в продажнике тонна текста, а описанию функционала уделен минимум — вас пытаются развести на деньги. Нормальный софт не выгораживают FAQ и прочим шлаком, а просто расписывают функционал. К сожалению, на подобных бордах большинство никогда в жизни не юзали что-то сложнее брутов, либо просто доверчивые (в сером бизнесе быть бы доверчевым, ох лол).

Из всей каши в продажнике нас интересуют следующие пункты:
— Миниатюрный размер сборки ( ~200 KB)
— Полная безопасность ваших данных, все данные зашифрованы
— Майнер скрывается от Диспетчера Задач, Process Hacker и др.
— 2 версии майнера [Downloader Version / Portable Version] — Первая скачивает все файлы майнера с серверов. Вторая — уже имеет в себе все нужные файлы. [Разница в весе: 1 версия — 150 КБ / 2 версия — 5МБ]

Декомпиляция билда
ВНИМАНИЕ
На этом этапе прошу вас собраться с силами и осознать, что дальше будут примеры очень плохих реализаций функций, так что если вы являетесь клиентом «лучшего майнера за последнюю тысячу лет» и не выдерживаете критики продукта, который вы поддержали рублем, прошу закрыть вкладку.


Первым делом я попросил прислать билды прямиком из бота-билдера, реакция всей конфы на вес файла была очевидной.


А теперь посмотрим на анпакнутый и отчищенный от ресурсов билд.


Открываем наш любимый dotPeek, декомпилим билд и получаем следующее:


Таскаем с собой в ресурсах майнеры значит?


Анализ кода
Кодер долго обещал НАТИВ, ПЕРЕПИСАТЬ НА C++ и вот это вот все, но что же мы видим:


За автозапуск отвечает schtasks, причем функция либо copy-paste из сети, либо софт дебажится прямо в релизе — зачем тогда делать вывод В КОНСОЛЬ В РЕЛИЗЕ, еще и с описанием ошибки. Спасибо кодеру, изи сигнатура для антивирусов.


Ребята обещали сделать динамик детект таск менеджеров, причем релизу я даже подсказал как. Но винапи сложная штука видимо и поэтому решили по старинке — проверять по именам процессов. Изи лишняя нагрузка на процессор. И, опять таки, ЗАЧЕМ ДЕЛАТЬ ВЫВОД В КОНСОЛЬ, ЕСЛИ ТЫ ЕЁ СКРЫВАЕШЬ? В дебаге дебажить для лохов?


Максимально настраиваемая фейк-ошибка:


Куда уж там Rarog’у до таких технологий то:


Автозапуск через CurrentVersion\\Run — идеально(нет) для скрытого майнинга


Храним майнеры на гитхабе, красиво.


Ну раз решили дропать конфиги на хард, может хотя бы прикрутили бы json-библиотеку, не?


Имена майнеров так же статичны, изи сигнатурка. Назвать менее палевно религия не позволила?


Все ваши данные надежно шифруются (нет). Для тех, кто не понял — прямо сюда пишется ваш конфиг с вашим юзернеймом или почтой, если вам хватило ума майнить на Minergate.


Спасибо что оповестили, при скрытом майнинге ведь нужно оповещать юзеров, верно?


ОЙ! А знаете откуда этот код? Это же LiteHTTP! Как так то, неужели просто форк паблик-бота? Пруф









Выводы
Весьма иронично выглядит пункт в топике о продаже — «Исполняемый файл билда — exe файл, а не SFX архив с BAT и VBS скриптами» — за ваши 1500 рублей вы получаете переписанный на C# VBS-скрипт, который совершенно не умеет скрывать активность на ПК. Используются статичные имена файлов, поведение никак не рандомизировано, весь код представляет собой либо скопированные из первой строки поисковой выдачи решения вопросов в стиле «добавление задания в планировщик C#», «Добавление записи в реестр C#», etc, либо позаимствованный из LiteHTTP функционал.

Крайне позабавили разбросанные по коду слипы (Thread.Sleep), весь смысл которых — умышленно тормозить выполнение кода, поскольку другая часть кода ЕЩЕ НЕ УСПЕЛА ЧТО-ТО СДЕЛАТЬ. Многопоток? Не, не слышали.

Так же по коду разбросаны выводы в консоль либо ошибок, либо нули и единицы (дебаг уровня лучшего майнера за последнюю тысячу лет), что делает детект данного «софта» максимально простым.

Автор же этого «чуда» преследует лишь одну цель — как можно больше заработать на «хомяках», о чем сам признался в одной из переписок. Сливать её я не буду, не хочу подставлять людей, переславших сообщения. Причем цель разработчика «лучшего майнера за последнюю тысячу лет» достигается достаточно успешно благодаря агрессивному маркетингу (баннеры закуплены на практически всех бордах, на коих представлено это «ПО») и откровенной компьютерной безграмотности пользователей данных площадок — ребята совершенно не понимают, что они покупают и как это должно работать. Почти восемь мегабайт билд — куда вы его распространять собрались?

Единственное — стоит помнить, что селлер тут не виноват, если желаете высказать негодования, то пишите разработчику — @VaMPPP
 
Reactions: KATMAX and Frank