Author

Topic: Безопасность таблетки для 1080 (Read 264 times)

hero member
Activity: 2142
Merit: 758
NO WAR ! Glory to Ukraine !
Самое безобидное предположение, которое я могу сделать: разрабы сотрудничают с НВидией, у которой упали продажи, и собираемая статистика служит доказательством успешности вовлечения в майн владельцев 1080/1080ти. Уверен, нетупые любители игруль ставят даже 1 карту копать что-нибудь.
full member
Activity: 1036
Merit: 102
Я думаю в будущем они как-то монетезируют свою программу, возможно встроят процент или введут фиксированную плату за пользование программой, фактически они сделали большую пользу для сообщества майнеров и сделали это за бесплатно, программа в свободном доступе.
member
Activity: 182
Merit: 10
Честно говоря на данном этапе безразлично куда она обращается, так как мегахэши выросли и количество шар тоже выросло, мою работу они не воруют, а на ферме кроме адреса биржи ничего нет , чтобы украсть. Как шпионское ПО комп не распознаёт програмку...

Возможно, отсылают статистику. Чтобы каким-то образом майнить в свою пользу? Крайне маловероятно, могли бы себе куда больше забирать (напоминаю, что программа дает прирост в 30-50% по эфиру)
full member
Activity: 1036
Merit: 102
Честно говоря на данном этапе безразлично куда она обращается, так как мегахэши выросли и количество шар тоже выросло, мою работу они не воруют, а на ферме кроме адреса биржи ничего нет , чтобы украсть. Как шпионское ПО комп не распознаёт програмку...
hero member
Activity: 2142
Merit: 758
NO WAR ! Glory to Ukraine !
Так к северам обращается само приложение или какие-то стандартные библиотеки? Мне кажется, ответ разработчика сводится ровно к этому, что это средства виндоус обращаются, а не само приложение.
Если что, пиллсы у меня исключительно на ферме, на ней больше ничего нет.
как я понял, анализ здесь https://www.hybrid-analysis.com/sample/1261052e34b3205dc04f5dd9e4b76d2649dbcda738dc8e2665b07f56d659e716/5ae113157ca3e11cac3236dc?lang=ru
обращение происходит посредством watadminsvc.exe и svchost.exe, и это дает повод "жене разраба" сказать, что так работает винда, оно само типа захотело что-то отослаться на айпи 2.21.242.213, 2.21.242.237 и 46.226.136.5.
Ну так наверняка действия инициированы самой программой, винда не стучится самопроизвольно куда попало, плюс OhGodAGirl пишет что это их сервера.

есть интервью с разработчиком, не знаю реально это или фейк.
https://www.youtube.com/watch?v=ZLTRYp_kCYg
member
Activity: 378
Merit: 11
Так к северам обращается само приложение или какие-то стандартные библиотеки? Мне кажется, ответ разработчика сводится ровно к этому, что это средства виндоус обращаются, а не само приложение.
Если что, пиллсы у меня исключительно на ферме, на ней больше ничего нет.
hero member
Activity: 2142
Merit: 758
NO WAR ! Glory to Ukraine !
вдруг потрут посты там, сохраняю сюда
Devs, can you please explain the following behavior after the binary is launched?

Quote
Callback: 2.21.242.213:80
watadminsvc.exe
svchost.exe

Callback: 2.21.242.237:80
watadminsvc.exe
svchost.exe

Callback: 46.226.136.5:53

Quote
POST /6b06490d-f9fd-424c-8b6d-83edc4369e89/
HTTP/1.1
Cache-Control: no-cache
Connection: Close
Pragma: no-cache
Content-Type: application/soap+xml
User-Agent: WSDAPI
Content-Length: 733
Host: 192.168.56.153:5357

Quote
POST /fwlink/?LinkId=151645
HTTP/1.1
Connection: Keep-Alive
Accept: */*
User-Agent: WAT
ClientContent-Length: 2500
Host: go.microsoft.com

S\agt;\alt;GROUPPEERNAME\agt;258e2e9f3bd43a297f050566f5788283bd087a85.HomeGroupPeerGroupClassifier\alt;/GROUPPEERNAME\agt;\alt;GROUPFRIENDLYNAME\agt;HomeGroup\sPeer\sGroup\alt;/GROUPFRIENDLYNAME\agt;\alt;/PEERINVITATION\agt;\r\n\l/INVITATION>\lGUIDNAME>{2D866516-217B-4A95-B31D-A9174BBCBE17}\l/GUIDNAME>\lOWNER>HAPUBWS\l/OWNER>\lOWNERID>ffff80eb2050085c6f3dee2f51f0e12ca9592d9b.HomeGroupClassifier\l/OWNERID>\lOWNERMACHINENAME>HAPUBWS-PC\l/OWNERMACHINENAME>\lLASTCHANGED>131567727744841250\l/LASTCHANGED>\lHOMEGROUPSIZE>1\l/HOMEGROUPSIZE>\lADDRESS>[fe80::7007:58d0:7dee:d3e2%11]:3587\l/ADDRESS>\lDIGITALHASH>-----BEGIN\sCERTIFICATE-----\r\n8FkcvuaS5BO6pbSEzPjpH7hORXNBnZZo4tsk3BH8Qt/tNvqIaIXH13t6xb3bcucC\r\nmYXGg9f0t74N7HyeY3ARTfbtSvURq4HJ5RNpyIFJK0SrEfpllxNPOf40tV4hcrQe\r\nEBBn0RIsOiFKIBZb1YscyetmIDy9fbfQeemD02Hl2jRuPr6SmbHiajDkwAh38pSA\r\nk1XQjdcHQTHM438w0wNDNnuwI/JXEYirq0ZwblOnNPrfuc2JLFa7FJCIpc5jrHNN\r\n2dHa3EXhFpS/euOMwWSg+Jot+bXoGlaiSBwbMQrm8JD+UvcVpim2XG42rLztZLOF\r\nhsEzS1cGRUAJ7vqG8Q9lLA==\r\n-----END\sCERTIFICATE-----\r\n\l/DIGITALHASH>\l/HOMEGROUP_RECORD>

Sandbox analysis: https://www.hybrid-analysis.com/sample/1261052e34b3205dc04f5dd9e4b76d2649dbcda738dc8e2665b07f56d659e716/5ae113157ca3e11cac3236dc


I've read through the thread (though I admit not every bit of it) and I'm very surprised to see nobody has been concerned about whether this executable does any funky things like ever connect to the Internet at any point, read any files off disk, etc? Has anyone monitored it (long enough) for any of those things?

Looks nice, but all of a sudden someone anonymous just deciding to help everyone by providing a closed source executable should normally raise just a healthy dose of suspicion.
Multiple users have confirmed the process is accessing two IPs (2.21.242.213/2.21.242.237) over encrypted connection. Not sure why this is necessary.



Neither do I. The security concerns raised in this thread of using a seemingly random, closed-source binary which calls back to Akamai servers over an encrypted channel are legitimate. Until an explanation is provided by the developers for the usage of these two IPs, you can temporarily block your system(s) from reaching them by using the following:

Windows (as Administrator):
Code:
netsh advfirewall firewall add rule name="ETHlargement Callback" interface=any dir=out action=block remoteip=2.21.242.213
netsh advfirewall firewall add rule name="ETHlargement Callback" interface=any dir=out action=block remoteip=2.21.242.237

Linux (as root):
Code:
iptables -A OUTPUT -d 2.21.242.213 -j DROP
iptables -A OUTPUT -d 2.21.242.237 -j DROP

As far as I can tell, it has zero impact on the efficacy of the application nor the final hash rate.
I've read through the thread (though I admit not every bit of it) and I'm very surprised to see nobody has been concerned about whether this executable does any funky things like ever connect to the Internet at any point, read any files off disk, etc? Has anyone monitored it (long enough) for any of those things?

Looks nice, but all of a sudden someone anonymous just deciding to help everyone by providing a closed source executable should normally raise just a healthy dose of suspicion.
Multiple users have confirmed the process is accessing two IPs (2.21.242.213/2.21.242.237) over encrypted connection. Not sure why this is necessary.



Neither do I. The security concerns raised in this thread of using a seemingly random, closed-source binary which calls back to Akamai servers over an encrypted channel are legitimate. Until an explanation is provided by the developers for the usage of these two IPs, you can temporarily block your system(s) from reaching them by using the following:

Windows (as Administrator):
Code:
netsh advfirewall firewall add rule name="ETHlargement Callback" interface=any dir=out action=block remoteip=2.21.242.213
netsh advfirewall firewall add rule name="ETHlargement Callback" interface=any dir=out action=block remoteip=2.21.242.237

Linux (as root):
Code:
iptables -A OUTPUT -d 2.21.242.213 -j DROP
iptables -A OUTPUT -d 2.21.242.237 -j DROP

As far as I can tell, it has zero impact on the efficacy of the application nor the final hash rate.

This will be useless if in code dev is using fdqn as target address, but anyway what kind of concerns might be with traffic? Yes, probably it is good to know what dev sending back to their servers, but I personally don’t care, as I have nothing saved on rigs, execpt OS and miners.

Cool, we have servers. Who knew? If you find their location, let me know, my spare one just slipped under the couch cushions.

If you want to know what those are accessing, go ask Microsoft. We didn't create watadminsvc.exe or svchost.exe. Or use the Linux version.


Devs, can you please explain the following behavior after the binary is launched?

Quote
Callback: 2.21.242.213:80
watadminsvc.exe
svchost.exe

Callback: 2.21.242.237:80
watadminsvc.exe
svchost.exe

Callback: 46.226.136.5:53

Quote
POST /6b06490d-f9fd-424c-8b6d-83edc4369e89/
HTTP/1.1
Cache-Control: no-cache
Connection: Close
Pragma: no-cache
Content-Type: application/soap+xml
User-Agent: WSDAPI
Content-Length: 733
Host: 192.168.56.153:5357

Quote
POST /fwlink/?LinkId=151645
HTTP/1.1
Connection: Keep-Alive
Accept: */*
User-Agent: WAT
ClientContent-Length: 2500
Host: go.microsoft.com

S\agt;\alt;GROUPPEERNAME\agt;258e2e9f3bd43a297f050566f5788283bd087a85.HomeGroupPeerGroupClassifier\alt;/GROUPPEERNAME\agt;\alt;GROUPFRIENDLYNAME\agt;HomeGroup\sPeer\sGroup\alt;/GROUPFRIENDLYNAME\agt;\alt;/PEERINVITATION\agt;\r\n\l/INVITATION>\lGUIDNAME>{2D866516-217B-4A95-B31D-A9174BBCBE17}\l/GUIDNAME>\lOWNER>HAPUBWS\l/OWNER>\lOWNERID>ffff80eb2050085c6f3dee2f51f0e12ca9592d9b.HomeGroupClassifier\l/OWNERID>\lOWNERMACHINENAME>HAPUBWS-PC\l/OWNERMACHINENAME>\lLASTCHANGED>131567727744841250\l/LASTCHANGED>\lHOMEGROUPSIZE>1\l/HOMEGROUPSIZE>\lADDRESS>[fe80::7007:58d0:7dee:d3e2%11]:3587\l/ADDRESS>\lDIGITALHASH>-----BEGIN\sCERTIFICATE-----\r\n8FkcvuaS5BO6pbSEzPjpH7hORXNBnZZo4tsk3BH8Qt/tNvqIaIXH13t6xb3bcucC\r\nmYXGg9f0t74N7HyeY3ARTfbtSvURq4HJ5RNpyIFJK0SrEfpllxNPOf40tV4hcrQe\r\nEBBn0RIsOiFKIBZb1YscyetmIDy9fbfQeemD02Hl2jRuPr6SmbHiajDkwAh38pSA\r\nk1XQjdcHQTHM438w0wNDNnuwI/JXEYirq0ZwblOnNPrfuc2JLFa7FJCIpc5jrHNN\r\n2dHa3EXhFpS/euOMwWSg+Jot+bXoGlaiSBwbMQrm8JD+UvcVpim2XG42rLztZLOF\r\nhsEzS1cGRUAJ7vqG8Q9lLA==\r\n-----END\sCERTIFICATE-----\r\n\l/DIGITALHASH>\l/HOMEGROUP_RECORD>

Sandbox analysis: https://www.hybrid-analysis.com/sample/1261052e34b3205dc04f5dd9e4b76d2649dbcda738dc8e2665b07f56d659e716/5ae113157ca3e11cac3236dc

You're literally looking at something that is 100% normal and functioning in Windows. You're basically asking us to explain how Windows functions on binary launch. GG.

This just in: OhGodACompany is responsible for all Windows updates.

EDIT:

Wow, look, there are actually  three addresses! Microsoft's tool is also causing a DNS request to be made to access go.microsoft.com! Wow! Totally hacked! Wow!

Wow! It's also contacting 192.168.56.153 which would create martian packets on the internet that would not get routed. Wow, totally  can't be something internal to the analysis service, we are contacting the Russian mafia with silly tricks! Wow! Much hack! So scary!
hero member
Activity: 2142
Merit: 758
NO WAR ! Glory to Ukraine !
Привет всем.
Покопался в оригинальной теме автора таблетки OhGodAnETHlargementPill, нашел вот такое сообщение, в котором идет речь о том, что программа держит связь с 3-мя неизвестными фиксированными айпи.
(которые, впрочем, легко пробиваются через хуиз).
https://bitcointalksearch.org/topic/m.37007509

Пользователь OhGodAGirl, назвавшись женой разработчика, саркастично отвечает ниже по оригинальной ветке, фактически уклоняясь от прямых ответов.
Ее слова
Quote
Круто, у нас есть серверы.
вызывают недоумение. Нахрена локально работающей утилите серверы ?
И дальше идет попытка убедить всех, что обращение к фиксированным адресам - это "так работает Виндоуз".

Другой пользователь предлагает блокировать айпи средствами винды. Думаю, простым пользователям проще и надежнее блокировать исходящий трафик в настройках роутера.

я ни разу не системщик/сетевик/программер, поэтому прошу сообщество помочь разобраться, нормально ли эта ситуация.
Ради десятка мегахеш совсем не хочется получить себе в комп свободно работающий шпион или прогу, которая будет ддосить кого-то.

Интересно, что траст разраба покрашен в красный
https://bitcointalk.org/index.php?action=trust;u=265048
(ну, правда Лаудой, которая.. Я не влезаю и не понимаю БТТ-шные конфликты, но как понимаю она одна из их участников, проповедующая некую определенную линию пользовательский правил, граничащих с тоталитаризмом. Но не уверен, что верно понял).
Jump to: