Skip to content

Source code of Boss Botnet virus that written with C# on VS 2010

Notifications You must be signed in to change notification settings

neptune1881/BossBotnet

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

21 Commits
 
 
 
 
 
 

Repository files navigation


@ny4rlk0 => @neptune1881
Download Source Code
This is a attempt to reverse engineering a virus.
Do not download it if you dont know what you doing.
Virus origin / Virüs kaynağı ülke: Russia / Moscow
Tied up organizations / Bağlı organizasyon: BOSSDATA
Virus Total URL: https://www.virustotal.com/gui/file/48d6b6f99e3be38045825a714b6672dc537903d31d4d776d297dbb64a55c4301/detection
Domain Nameservers: chin.ns.cloudflare.com , tony.ns.cloudflare.com
PW:12345

Bu bir zararlı yazılımın tersine mühendislikle kaynak kodunun okunup ne yaptığını ve hangi ip adreslerini kullandığını tahmin etmeye yönelik bir repodur.
Ne yaptığınızı bilmiyorsanız indirmeyin.
Şifre: 12345
File 1:
C:\Windows\Temp.net\tasklogbfj\GupvexkK5h6CtBiSoOQWqihC_0LsQQc=\BossBotnet.Client.Shared.dll
File 2:
C:\Users\username\AppData\Roaming\taskulsokprooe\tasklogbfj.exe
Kaldırma / Uninstall
CMD => Administrator
sc stop tasklogbfj.exe
sc delete tasklogbfj.exe
Sonra dosya 1 ve 2'yi silin.
Then delete file 1 and 2.
Reboot / Yeniden Başlat


To unhide:
attrib -s -h tasklogbfj.exe

Gözlemler/ Observations
(?) Emin olmadığım kısımlar. Kodların birazına göz attığım için çıkarımlarım.
Bilgisayardaki twitch hesaplarına erişiyor, bot ekliyor, küçük ve büyük twitch hesaplarına farklı davranışlarda bulunuyor.
Visual studio 2010 C# ile yazılmış.
Kendisini sistem başlangıcına servis olarak ekliyor.
Yönetici seviyesinde komut satırı erişimi var (?)
Tarayıcıdan auth toxenlerini çalarak hesaplarınızın şifrelerin bilmeseler bile başka cihazda oturum açıp hesabınıza erişiyor.
Outlook hesabınızı farklı vpn ve zombi bilgisayarlarla bruteforce ile kırmaya çalışıyorlar.
Bulaştıran muhtemel zararlılar
www.pushbane.online (?)
https://discord.gg/2tPhNKDc
------------------------------
cheat global
cheatglobal.com (?)
https://discord.gg/774MKHjZ
------------------------------
Bilinmeyen 3. aktör (?)
Orjinal Github hesabımı mahveden kısım buydu sanırım.
Github da virüs gibi çoğalan repolar

3. Aktörün IP Adresi (VPN):

46.8.202.228 Amsterdam, North Holland, Netherlands
46.8.202.51 Amsterdam, North Holland, Netherlands
IP Details For: 46.8.202.228
Decimal: 772328164
Hostname: 46.8.202.228
ASN: 44477
ISP: Netart LIR K.S.
Services: VPN Server
Assignment: Likely Static IP
Country: Netherlands
State/Region: Drenthe
City: Meppel

URL connection attempts / URL bağlantısı yapılan adresler::
https://gist.githubusercontent.com:443/viewerboss/23497da5f0dbbb90f1fb227e8228050e/raw/con.txt
=> İçeriği / Content: ws:https://bossdata.pro/ws
Github account tied to it / Hedef github hesabı: https://github.com/viewerboss/
Secondary Github account tied to it / ikincil hedef github hesabı: https://github.com/pierrozocker
Tries to access to / bu web adresine erişmeye çalışıyor: https://bossdata.pro/ws
Who Is: bossdata.pro
Repo açıklamaları birbirine benziyor.
Repo explanation is all similiar its not just for point blank for varius game's name.