Salve, girovagando sul web ho trovato un articolo abbastanza interessante che riguardava il server Aeldra, e in particolar modo il loro launcher.
Aeldra utilizza TheMida per impedire l'analisi, ecco perché analizzare è molto più difficile dei file standard non virtualizzati/protetti!
Si suppone, perlomeno dalla scansione effettuata sui file, che Aeldra cerca le cartelle .cpp sul tuo PC quando la funzione è attiva (possono attivarla / disattivarla lato server)
Packet header che invia il file al Server: 0x9B
name = Nome del file.cpp (Esempio: test.cpp)
data = file data (Esempio #include "stdafx.h")
La cosa strana è che ora questa funzione è disattivata quando hanno spammato questo pacchetto (usando Clientless) con molti file e probabilmente il server si è bloccato dopo aver inviato troppi file con il risultato di spazio su disco insufficiente
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
RVA + Base = 3659A0 (RVA) + 00CD0000 (base dumped file) = 0x010359A0
Come potete vedere questa funzione invia file al server.
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
WinAPI: FindFirstFileExW FindNextFile
Stanno cercando di trovare cartelle con nomi: "xbot" / "hlbot"
Dopo vengono mandati al server
Conclusioni:
Come potete vedere l'Antivirus non rileva tutti i malware specialmente se è virtualizzato da, ad esempio: TheMida / VMProtect / Enigma, c'è bisogno di un'analisi manuale.
Adesso il tutto sembra essere disattivato, ma fate attenzione, non è la prima volta che si sente dire che Aeldra invade la privacy.
Aeldra utilizza TheMida per impedire l'analisi, ecco perché analizzare è molto più difficile dei file standard non virtualizzati/protetti!
Si suppone, perlomeno dalla scansione effettuata sui file, che Aeldra cerca le cartelle .cpp sul tuo PC quando la funzione è attiva (possono attivarla / disattivarla lato server)
Packet header che invia il file al Server: 0x9B
name = Nome del file.cpp (Esempio: test.cpp)
data = file data (Esempio #include "stdafx.h")
La cosa strana è che ora questa funzione è disattivata quando hanno spammato questo pacchetto (usando Clientless) con molti file e probabilmente il server si è bloccato dopo aver inviato troppi file con il risultato di spazio su disco insufficiente
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
RVA + Base = 3659A0 (RVA) + 00CD0000 (base dumped file) = 0x010359A0
Come potete vedere questa funzione invia file al server.
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
WinAPI: FindFirstFileExW FindNextFile
Stanno cercando di trovare cartelle con nomi: "xbot" / "hlbot"
Dopo vengono mandati al server
Conclusioni:
Come potete vedere l'Antivirus non rileva tutti i malware specialmente se è virtualizzato da, ad esempio: TheMida / VMProtect / Enigma, c'è bisogno di un'analisi manuale.
Adesso il tutto sembra essere disattivato, ma fate attenzione, non è la prima volta che si sente dire che Aeldra invade la privacy.