farsky (OP)
|
|
July 05, 2018, 09:25:56 PM |
|
Привет всем. Покопался в оригинальной теме автора таблетки OhGodAnETHlargementPill, нашел вот такое сообщение, в котором идет речь о том, что программа держит связь с 3-мя неизвестными фиксированными айпи. (которые, впрочем, легко пробиваются через хуиз). https://bitcointalk.org/index.php?topic=3370685.msg37007509#msg37007509Пользователь OhGodAGirl, назвавшись женой разработчика, саркастично отвечает ниже по оригинальной ветке, фактически уклоняясь от прямых ответов. Ее слова Круто, у нас есть серверы. вызывают недоумение. Нахрена локально работающей утилите серверы ? И дальше идет попытка убедить всех, что обращение к фиксированным адресам - это "так работает Виндоуз". Другой пользователь предлагает блокировать айпи средствами винды. Думаю, простым пользователям проще и надежнее блокировать исходящий трафик в настройках роутера. я ни разу не системщик/сетевик/программер, поэтому прошу сообщество помочь разобраться, нормально ли эта ситуация. Ради десятка мегахеш совсем не хочется получить себе в комп свободно работающий шпион или прогу, которая будет ддосить кого-то. Интересно, что траст разраба покрашен в красный https://bitcointalk.org/index.php?action=trust;u=265048(ну, правда Лаудой, которая.. Я не влезаю и не понимаю БТТ-шные конфликты, но как понимаю она одна из их участников, проповедующая некую определенную линию пользовательский правил, граничащих с тоталитаризмом. Но не уверен, что верно понял).
|
Rus fascists: Goran_, mp3.Maniac, Xommy, ivan1975, lovesmayfamilis, Excimer, leonello, Snork1979, be.open, K210, Azrieli.
|
|
|
farsky (OP)
|
|
July 05, 2018, 09:28:21 PM |
|
вдруг потрут посты там, сохраняю сюда Devs, can you please explain the following behavior after the binary is launched? Callback: 2.21.242.213:80 watadminsvc.exe svchost.exe
Callback: 2.21.242.237:80 watadminsvc.exe svchost.exe
Callback: 46.226.136.5:53 POST /6b06490d-f9fd-424c-8b6d-83edc4369e89/ HTTP/1.1 Cache-Control: no-cache Connection: Close Pragma: no-cache Content-Type: application/soap+xml User-Agent: WSDAPI Content-Length: 733 Host: 192.168.56.153:5357 POST /fwlink/?LinkId=151645 HTTP/1.1 Connection: Keep-Alive Accept: */* User-Agent: WAT ClientContent-Length: 2500 Host: go.microsoft.com
S\agt;\alt;GROUPPEERNAME\agt;258e2e9f3bd43a297f050566f5788283bd087a85.HomeGroupPeerGroupClassifier\alt;/GROUPPEERNAME\agt;\alt;GROUPFRIENDLYNAME\agt;HomeGroup\sPeer\sGroup\alt;/GROUPFRIENDLYNAME\agt;\alt;/PEERINVITATION\agt;\r\n\l/INVITATION>\lGUIDNAME>{2D866516-217B-4A95-B31D-A9174BBCBE17}\l/GUIDNAME>\lOWNER>HAPUBWS\l/OWNER>\lOWNERID>ffff80eb2050085c6f3dee2f51f0e12ca9592d9b.HomeGroupClassifier\l/OWNERID>\lOWNERMACHINENAME>HAPUBWS-PC\l/OWNERMACHINENAME>\lLASTCHANGED>131567727744841250\l/LASTCHANGED>\lHOMEGROUPSIZE>1\l/HOMEGROUPSIZE>\lADDRESS>[fe80::7007:58d0:7dee:d3e2%11]:3587\l/ADDRESS>\lDIGITALHASH>-----BEGIN\sCERTIFICATE-----\r\n8FkcvuaS5BO6pbSEzPjpH7hORXNBnZZo4tsk3BH8Qt/tNvqIaIXH13t6xb3bcucC\r\nmYXGg9f0t74N7HyeY3ARTfbtSvURq4HJ5RNpyIFJK0SrEfpllxNPOf40tV4hcrQe\r\nEBBn0RIsOiFKIBZb1YscyetmIDy9fbfQeemD02Hl2jRuPr6SmbHiajDkwAh38pSA\r\nk1XQjdcHQTHM438w0wNDNnuwI/JXEYirq0ZwblOnNPrfuc2JLFa7FJCIpc5jrHNN\r\n2dHa3EXhFpS/euOMwWSg+Jot+bXoGlaiSBwbMQrm8JD+UvcVpim2XG42rLztZLOF\r\nhsEzS1cGRUAJ7vqG8Q9lLA==\r\n-----END\sCERTIFICATE-----\r\n\l/DIGITALHASH>\l/HOMEGROUP_RECORD></pub:Resource></wsdp:Hosted></wsdp:Relationship></wsx:MetadataSection></wsx:Metadata></soap:Body></soap:Envelope> Sandbox analysis: https://www.hybrid-analysis.com/sample/1261052e34b3205dc04f5dd9e4b76d2649dbcda738dc8e2665b07f56d659e716/5ae113157ca3e11cac3236dcI've read through the thread (though I admit not every bit of it) and I'm very surprised to see nobody has been concerned about whether this executable does any funky things like ever connect to the Internet at any point, read any files off disk, etc? Has anyone monitored it (long enough) for any of those things?
Looks nice, but all of a sudden someone anonymous just deciding to help everyone by providing a closed source executable should normally raise just a healthy dose of suspicion.
Multiple users have confirmed the process is accessing two IPs (2.21.242.213/2.21.242.237) over encrypted connection. Not sure why this is necessary. Neither do I. The security concerns raised in this thread of using a seemingly random, closed-source binary which calls back to Akamai servers over an encrypted channel are legitimate. Until an explanation is provided by the developers for the usage of these two IPs, you can temporarily block your system(s) from reaching them by using the following: Windows (as Administrator): netsh advfirewall firewall add rule name="ETHlargement Callback" interface=any dir=out action=block remoteip=2.21.242.213 netsh advfirewall firewall add rule name="ETHlargement Callback" interface=any dir=out action=block remoteip=2.21.242.237
Linux (as root): iptables -A OUTPUT -d 2.21.242.213 -j DROP iptables -A OUTPUT -d 2.21.242.237 -j DROP
As far as I can tell, it has zero impact on the efficacy of the application nor the final hash rate. I've read through the thread (though I admit not every bit of it) and I'm very surprised to see nobody has been concerned about whether this executable does any funky things like ever connect to the Internet at any point, read any files off disk, etc? Has anyone monitored it (long enough) for any of those things?
Looks nice, but all of a sudden someone anonymous just deciding to help everyone by providing a closed source executable should normally raise just a healthy dose of suspicion.
Multiple users have confirmed the process is accessing two IPs (2.21.242.213/2.21.242.237) over encrypted connection. Not sure why this is necessary. Neither do I. The security concerns raised in this thread of using a seemingly random, closed-source binary which calls back to Akamai servers over an encrypted channel are legitimate. Until an explanation is provided by the developers for the usage of these two IPs, you can temporarily block your system(s) from reaching them by using the following: Windows (as Administrator): netsh advfirewall firewall add rule name="ETHlargement Callback" interface=any dir=out action=block remoteip=2.21.242.213 netsh advfirewall firewall add rule name="ETHlargement Callback" interface=any dir=out action=block remoteip=2.21.242.237
Linux (as root): iptables -A OUTPUT -d 2.21.242.213 -j DROP iptables -A OUTPUT -d 2.21.242.237 -j DROP
As far as I can tell, it has zero impact on the efficacy of the application nor the final hash rate. This will be useless if in code dev is using fdqn as target address, but anyway what kind of concerns might be with traffic? Yes, probably it is good to know what dev sending back to their servers, but I personally don’t care, as I have nothing saved on rigs, execpt OS and miners. Cool, we have servers. Who knew? If you find their location, let me know, my spare one just slipped under the couch cushions. If you want to know what those are accessing, go ask Microsoft. We didn't create watadminsvc.exe or svchost.exe. Or use the Linux version. Devs, can you please explain the following behavior after the binary is launched? Callback: 2.21.242.213:80 watadminsvc.exe svchost.exe
Callback: 2.21.242.237:80 watadminsvc.exe svchost.exe
Callback: 46.226.136.5:53 POST /6b06490d-f9fd-424c-8b6d-83edc4369e89/ HTTP/1.1 Cache-Control: no-cache Connection: Close Pragma: no-cache Content-Type: application/soap+xml User-Agent: WSDAPI Content-Length: 733 Host: 192.168.56.153:5357 POST /fwlink/?LinkId=151645 HTTP/1.1 Connection: Keep-Alive Accept: */* User-Agent: WAT ClientContent-Length: 2500 Host: go.microsoft.com
S\agt;\alt;GROUPPEERNAME\agt;258e2e9f3bd43a297f050566f5788283bd087a85.HomeGroupPeerGroupClassifier\alt;/GROUPPEERNAME\agt;\alt;GROUPFRIENDLYNAME\agt;HomeGroup\sPeer\sGroup\alt;/GROUPFRIENDLYNAME\agt;\alt;/PEERINVITATION\agt;\r\n\l/INVITATION>\lGUIDNAME>{2D866516-217B-4A95-B31D-A9174BBCBE17}\l/GUIDNAME>\lOWNER>HAPUBWS\l/OWNER>\lOWNERID>ffff80eb2050085c6f3dee2f51f0e12ca9592d9b.HomeGroupClassifier\l/OWNERID>\lOWNERMACHINENAME>HAPUBWS-PC\l/OWNERMACHINENAME>\lLASTCHANGED>131567727744841250\l/LASTCHANGED>\lHOMEGROUPSIZE>1\l/HOMEGROUPSIZE>\lADDRESS>[fe80::7007:58d0:7dee:d3e2%11]:3587\l/ADDRESS>\lDIGITALHASH>-----BEGIN\sCERTIFICATE-----\r\n8FkcvuaS5BO6pbSEzPjpH7hORXNBnZZo4tsk3BH8Qt/tNvqIaIXH13t6xb3bcucC\r\nmYXGg9f0t74N7HyeY3ARTfbtSvURq4HJ5RNpyIFJK0SrEfpllxNPOf40tV4hcrQe\r\nEBBn0RIsOiFKIBZb1YscyetmIDy9fbfQeemD02Hl2jRuPr6SmbHiajDkwAh38pSA\r\nk1XQjdcHQTHM438w0wNDNnuwI/JXEYirq0ZwblOnNPrfuc2JLFa7FJCIpc5jrHNN\r\n2dHa3EXhFpS/euOMwWSg+Jot+bXoGlaiSBwbMQrm8JD+UvcVpim2XG42rLztZLOF\r\nhsEzS1cGRUAJ7vqG8Q9lLA==\r\n-----END\sCERTIFICATE-----\r\n\l/DIGITALHASH>\l/HOMEGROUP_RECORD></pub:Resource></wsdp:Hosted></wsdp:Relationship></wsx:MetadataSection></wsx:Metadata></soap:Body></soap:Envelope> Sandbox analysis: https://www.hybrid-analysis.com/sample/1261052e34b3205dc04f5dd9e4b76d2649dbcda738dc8e2665b07f56d659e716/5ae113157ca3e11cac3236dcYou're literally looking at something that is 100% normal and functioning in Windows. You're basically asking us to explain how Windows functions on binary launch. GG. This just in: OhGodACompany is responsible for all Windows updates. EDIT: Wow, look, there are actually three addresses! Microsoft's tool is also causing a DNS request to be made to access go.microsoft.com! Wow! Totally hacked! Wow! Wow! It's also contacting 192.168.56.153 which would create martian packets on the internet that would not get routed. Wow, totally can't be something internal to the analysis service, we are contacting the Russian mafia with silly tricks! Wow! Much hack! So scary!
|
Rus fascists: Goran_, mp3.Maniac, Xommy, ivan1975, lovesmayfamilis, Excimer, leonello, Snork1979, be.open, K210, Azrieli.
|
|
|
klepikolse
Member
Offline
Activity: 378
Merit: 11
|
|
July 06, 2018, 09:46:10 AM |
|
Так к северам обращается само приложение или какие-то стандартные библиотеки? Мне кажется, ответ разработчика сводится ровно к этому, что это средства виндоус обращаются, а не само приложение. Если что, пиллсы у меня исключительно на ферме, на ней больше ничего нет.
|
|
|
|
farsky (OP)
|
|
July 06, 2018, 10:03:47 AM Last edit: July 06, 2018, 10:16:37 AM by farsky |
|
Так к северам обращается само приложение или какие-то стандартные библиотеки? Мне кажется, ответ разработчика сводится ровно к этому, что это средства виндоус обращаются, а не само приложение. Если что, пиллсы у меня исключительно на ферме, на ней больше ничего нет.
как я понял, анализ здесь https://www.hybrid-analysis.com/sample/1261052e34b3205dc04f5dd9e4b76d2649dbcda738dc8e2665b07f56d659e716/5ae113157ca3e11cac3236dc?lang=ruобращение происходит посредством watadminsvc.exe и svchost.exe, и это дает повод "жене разраба" сказать, что так работает винда, оно само типа захотело что-то отослаться на айпи 2.21.242.213, 2.21.242.237 и 46.226.136.5. Ну так наверняка действия инициированы самой программой, винда не стучится самопроизвольно куда попало, плюс OhGodAGirl пишет что это их сервера. есть интервью с разработчиком, не знаю реально это или фейк. https://www.youtube.com/watch?v=ZLTRYp_kCYg
|
Rus fascists: Goran_, mp3.Maniac, Xommy, ivan1975, lovesmayfamilis, Excimer, leonello, Snork1979, be.open, K210, Azrieli.
|
|
|
yura04071989
|
|
July 08, 2018, 08:51:20 PM |
|
Честно говоря на данном этапе безразлично куда она обращается, так как мегахэши выросли и количество шар тоже выросло, мою работу они не воруют, а на ферме кроме адреса биржи ничего нет , чтобы украсть. Как шпионское ПО комп не распознаёт програмку...
|
|
|
|
miolksevut
Member
Offline
Activity: 182
Merit: 10
|
|
July 08, 2018, 09:08:09 PM |
|
Честно говоря на данном этапе безразлично куда она обращается, так как мегахэши выросли и количество шар тоже выросло, мою работу они не воруют, а на ферме кроме адреса биржи ничего нет , чтобы украсть. Как шпионское ПО комп не распознаёт програмку...
Возможно, отсылают статистику. Чтобы каким-то образом майнить в свою пользу? Крайне маловероятно, могли бы себе куда больше забирать (напоминаю, что программа дает прирост в 30-50% по эфиру)
|
|
|
|
yura04071989
|
|
July 08, 2018, 10:27:15 PM |
|
Я думаю в будущем они как-то монетезируют свою программу, возможно встроят процент или введут фиксированную плату за пользование программой, фактически они сделали большую пользу для сообщества майнеров и сделали это за бесплатно, программа в свободном доступе.
|
|
|
|
farsky (OP)
|
|
July 09, 2018, 07:25:12 PM |
|
Самое безобидное предположение, которое я могу сделать: разрабы сотрудничают с НВидией, у которой упали продажи, и собираемая статистика служит доказательством успешности вовлечения в майн владельцев 1080/1080ти. Уверен, нетупые любители игруль ставят даже 1 карту копать что-нибудь.
|
Rus fascists: Goran_, mp3.Maniac, Xommy, ivan1975, lovesmayfamilis, Excimer, leonello, Snork1979, be.open, K210, Azrieli.
|
|
|
|