@ny4rlk0 => @neptune1881
Download Source Code
This is a attempt to reverse engineering a virus.
Do not download it if you dont know what you doing.
Virus origin / Virüs kaynağı ülke: Russia / Moscow
Tied up organizations / Bağlı organizasyon: BOSSDATA
Virus Total URL: https://www.virustotal.com/gui/file/48d6b6f99e3be38045825a714b6672dc537903d31d4d776d297dbb64a55c4301/detection
Domain Nameservers: chin.ns.cloudflare.com , tony.ns.cloudflare.com
PW:12345
Bu bir zararlı yazılımın tersine mühendislikle kaynak kodunun okunup ne yaptığını ve hangi ip adreslerini kullandığını tahmin etmeye yönelik bir repodur.
Ne yaptığınızı bilmiyorsanız indirmeyin.
Şifre: 12345
File 1:
C:\Windows\Temp.net\tasklogbfj\GupvexkK5h6CtBiSoOQWqihC_0LsQQc=\BossBotnet.Client.Shared.dll
File 2:
C:\Users\username\AppData\Roaming\taskulsokprooe\tasklogbfj.exe
Kaldırma / Uninstall
CMD => Administrator
sc stop tasklogbfj.exe
sc delete tasklogbfj.exe
Sonra dosya 1 ve 2'yi silin.
Then delete file 1 and 2.
Reboot / Yeniden Başlat
To unhide:
attrib -s -h tasklogbfj.exe
Gözlemler/ Observations
(?) Emin olmadığım kısımlar. Kodların birazına göz attığım için çıkarımlarım.
Bilgisayardaki twitch hesaplarına erişiyor, bot ekliyor, küçük ve büyük twitch hesaplarına farklı davranışlarda bulunuyor.
Visual studio 2010 C# ile yazılmış.
Kendisini sistem başlangıcına servis olarak ekliyor.
Yönetici seviyesinde komut satırı erişimi var (?)
Tarayıcıdan auth toxenlerini çalarak hesaplarınızın şifrelerin bilmeseler bile başka cihazda oturum açıp hesabınıza erişiyor.
Outlook hesabınızı farklı vpn ve zombi bilgisayarlarla bruteforce ile kırmaya çalışıyorlar.
Bulaştıran muhtemel zararlılar
www.pushbane.online (?)
https://discord.gg/2tPhNKDc
------------------------------
cheat global
cheatglobal.com (?)
https://discord.gg/774MKHjZ
------------------------------
Bilinmeyen 3. aktör (?)
Orjinal Github hesabımı mahveden kısım buydu sanırım.
Github da virüs gibi çoğalan repolar
3. Aktörün IP Adresi (VPN):
46.8.202.228 Amsterdam, North Holland, Netherlands
46.8.202.51 Amsterdam, North Holland, Netherlands
IP Details For: 46.8.202.228
Decimal: 772328164
Hostname: 46.8.202.228
ASN: 44477
ISP: Netart LIR K.S.
Services: VPN Server
Assignment: Likely Static IP
Country: Netherlands
State/Region: Drenthe
City: Meppel
URL connection attempts / URL bağlantısı yapılan adresler::
https://gist.githubusercontent.com:443/viewerboss/23497da5f0dbbb90f1fb227e8228050e/raw/con.txt
=> İçeriği / Content: ws://bossdata.pro/ws
Github account tied to it / Hedef github hesabı: https://github.com/viewerboss/
Secondary Github account tied to it / ikincil hedef github hesabı: https://github.com/pierrozocker
Tries to access to / bu web adresine erişmeye çalışıyor: https://bossdata.pro/ws
Who Is: bossdata.pro
Repo açıklamaları birbirine benziyor.
Repo explanation is all similiar its not just for point blank for varius game's name.