HennisonVsop
Опытный user
- Регистрация
- 12 Мар 2021
- Сообщения
- 711
- Реакции
- 25
Как мы все знаем проекты на Visual Studio сохраняются в формате sln и при открытии такого файла, открывается Visual Studio уже с готовыми редактируемыми файлами и ты с лёгкостью можешь ориентироваться между файлами проекта.
SLN-файл содержит текстовые сведения, используемые средой для поиска и загрузки параметров "имя-значение" для сохраненных данных, а файл VSPackage проекта ссылается на него.
Именно в таком формате недохацкеры создают репозитории с исходным кодом и файлом проекта sln. Но на самом деле это не файл sln, это исполняемый файл scr в котором прописан стиллер, и жертвой оказываешься уже ТЫ!
Обычно файлы SCR являются исполняемыми файлами скриптов соответствующей программы, которая их создала. Выполнение файла SCR приведет к выполнению системой определенного списка команд. Такие команды указаны в файле в определенном порядке. Большинство файлов SCR сохраняются в текстовом формате.
Рассмотрим репозиторий стиллера Exodus:
Заметьте как оформлен репозиторий, всё красиво с картиночками.
Парень даже указал свой BTC адрес для доната.
А что мы видим в файлах?
Вроде бы всё нормально весь исходный код с файлами:
Но обратите внимание на этот самый главный файл, который мы первым же делом после скачки репозитория запустим:
Обратите внимание на конец имени файла, почему же там две точки, и странное окончание в Loginrcs
Проверив файл в Virustotal, мы получим истинное лицо файла:
Неопытные пользователи подумают come on это же исходный код вируса, естественно Virustotal понял это. Но опытные пользователи точно знают, что в sln файл нельзя написать вирус и уж точно это не исполняемый файл Windows.
Скачав весь архив с репозиторием даже браузер ничего не заподозрит. И попасться на вирус в таком случае будет очень легко, ведь никто не будет скачивать каждый файл по отдельности.
SLN-файл содержит текстовые сведения, используемые средой для поиска и загрузки параметров "имя-значение" для сохраненных данных, а файл VSPackage проекта ссылается на него.
Именно в таком формате недохацкеры создают репозитории с исходным кодом и файлом проекта sln. Но на самом деле это не файл sln, это исполняемый файл scr в котором прописан стиллер, и жертвой оказываешься уже ТЫ!
Обычно файлы SCR являются исполняемыми файлами скриптов соответствующей программы, которая их создала. Выполнение файла SCR приведет к выполнению системой определенного списка команд. Такие команды указаны в файле в определенном порядке. Большинство файлов SCR сохраняются в текстовом формате.
Рассмотрим репозиторий стиллера Exodus:
Заметьте как оформлен репозиторий, всё красиво с картиночками.
Парень даже указал свой BTC адрес для доната.
А что мы видим в файлах?
Вроде бы всё нормально весь исходный код с файлами:
Но обратите внимание на этот самый главный файл, который мы первым же делом после скачки репозитория запустим:
Обратите внимание на конец имени файла, почему же там две точки, и странное окончание в Loginrcs
Проверив файл в Virustotal, мы получим истинное лицо файла:
Неопытные пользователи подумают come on это же исходный код вируса, естественно Virustotal понял это. Но опытные пользователи точно знают, что в sln файл нельзя написать вирус и уж точно это не исполняемый файл Windows.
Скачав весь архив с репозиторием даже браузер ничего не заподозрит. И попасться на вирус в таком случае будет очень легко, ведь никто не будет скачивать каждый файл по отдельности.
