Hidden Cryptominers in Game torrents. en

By Biersteker on Friday 19 June 2015 21:17 - Comments (15)
Category: -, Views: 6.616

Hiding coinminers in popular programs is something that is going on for quite some time now.
We have seen cryptominers as Javascript on website and how DVRs and NAS devices have been turned into Dogecoin miners. But the most used variant is just hiding the miner in torrent releases. In this article we will be looking at one torrent in specific.
GTA V !

Why are we looking at GTA V?

Well there are some good reasons for that.
1. If you can play GtaV on your pc, you have a rather modern system. With enough cpu/gpu power.
2. It is one of the biggest gametorrents at this time.
3. It's big. So most people will download one version, but won't redownload 60 gb to find a second/third version.
4. It has a hidden miner in it.
Where is the miner hidden, what does it do?
http://i.imgur.com/XNoe7RV.png
In this case the miner is hidden in your steamfolder. (A file mbm and some .cl kernelfiles). This is a modified version of sgminer.
http://i.imgur.com/lSQb8Y5.png
After some searching in the file. I found out that the workername is overltcx.<randomnumbers> and the algorithm was x11 and it connects to steam22865.net which is a stratum-proxy. Redirecting from pool to pool.

And of course the output of mdm file.

code:
1
2
3
4
5
6
7
8
9
mdm --kernel x11mod -o stratum+tcp://steam22865.net:9001 -u overxltc.2161 -p x -I 13 
[16:37:09] Started sgminer                     
[16:37:10] WARNING: GPU_MAX_ALLOC_PERCENT is not specified!                    
[16:37:10] WARNING: GPU_USE_SYNC_OBJECTS is not specified!                    
[16:37:10] Kernel x11mod is experimental.                    
[16:37:10] Probing for an alive pool                    
[16:37:10] Pool 0 difficulty changed to 0.015                    
[16:37:11] Network diff set to 3.2K                    
(5s):502.8K (avg):1.295Mh/s | A:0  R:0  HW:0  WU:0.000/m



If you find a miner on your computer you can get the output even if it's a background program by changing the file extention to exe. Then open the folder in command. And just run filename > output.txt.

Back to the output: x11mod ?!?

X11 is a fairly wide used mining algorithm, but the coin with the biggest marketcap and anonymity seemed like a good place to start. So assuming it was mining Dash/DarkCoin, lets try a google search on overxltc.
http://i.imgur.com/3T1IXnU.png

This resulted in the finding a worker called overltcx at dash.coinmine.pl (and some very simillar names). We also see overxltc and aliasses mentioned in BSTY2 (GlobalBoost-Y) and Uro threads.

http://i.imgur.com/859rhAC.png
This is some scary hashrate.

As you can see these workers produce an insane hashrate. So lets make a hardware calculation:

The used miner is sgminer, And the used kernel is darkcoin-mod-X11

Lets take an average mid-high end gpu like the AMD RADEON R280x that will produce around 4.2 Mh/s using darkcoinmod-x11 kernel. (The kernel is important to know to estimate the amount of rigs that are mining, If this miner was using Wolf` X11 kernel, we would have to assume a 280x would do 6 Mh/s)

5.857 Mh/s divided by 4.2 Mh/s, the average hashrate of a 280x, makes little under 1400 280xlike GPUs.
Normally your GPU power usage for a 280x would be idle 15 watt. But for mining, it will use around 250 watt.
(Source: http://www.tomshardware.c...270x-r7-260x,3635-18.html)

That means that every day since the malicious GTAV torrent was released, 235 watt x 1400 GPU's around 0,33 MegaWatt is needed. With powercosts of 0.20 $ per kWh, the powercosts for this amount of GPU's would be around $65,80 an hour, or $1579,20 daily.

What can you do against unwanted miners?

1. First of all, you probably shouldn’t download shady torrents that will cost you more then you buying the game. (power-costs , hardware wear, PSU units that are not capable of handling the continuous load).
2. Run you own miner, and check you hashrate. The sgminer miner in the torrent does not take priority over your own miners.
3. Check you GPU load!. If you GPU load is high, and you clockspeeds are in Performance mode, without running anything heavy, that could be a sign that you have picked up a unwanted miner.
4. Removal instructions:
https://www.reddit.com/r/...ng_bitcion_miners_isssue/


In the end is a question of who do you like to support, gamedevelopers that made a good game or the cracker / releasegroup or repacker that abuses your gpu and that does over 1500 dollar daily in economic damages?


RouterKeyGen - Waarom werkt zoiets nog?

Door Biersteker op donderdag 21 juni 2012 18:26 - Reacties (25)
Categorie: -, Views: 25.027

Ik waarschuw alvast, dit word een beetje een k*tblogpost.

Veel mensen kennen dit programma niet, aangezien het uit de market is gehaald door google. Dit gaat over de app router keygen. Router keygen is een vrij simpel programma, het enige wat het doet, is aan de hand van SSID het standaard password van een router uitrekenen. "Handig toch, het wachtwoord staat onderop de router met een sticker, veiliger kan het niet".

Iedereen die op die manier denkt mag wat mij betreft zich aanmelden voor een cursus. De cursus genaamd "Waarom standaard wachtwoorden schijnveiligheid bieden", of ze moeten een internetbrevet halen.

RouterKeyGen, doet niets bijzonders, geen invasieve netwerk zooi en is voor iedereen absurd simpel in gebruik. Wat het doet is aan de hand van een SSID. (Bijvoorbeeld ThomsonFF0000) berekent het de standaard netwerksleutel (in dit geval 8FFAFF72A8). Dit geldt eigenlijk voor alle netwerken met een SSID die standaard is. Voor sommige routers is de manier van encryptie nog niet bekend, maar uiteindelijk zou dat geen probleem zijn.
Je kan dit op 2 manieren afvangen, namelijk je SSID veranderen, of je wachtwoord, helaas leven we in een plug en play maatschappij, waarbij iedere vorm van kennis/interesse/moeite niet word aangemoedigd. Naja, bij deze dan maar.

HEB JE EEN THOMSON/SITECOM/WHATEVER router staan, met een standaard SSID/Wachtwoord, verander 1 van de twee, of gewoon beide.

Hoewel ik wel moet zeggen, dat ik heel dankbaar ben voor de persoon in oostenrijk, die dit niet heeft veranderd, zodat ik lekker via Viber naar huis kon bellen. :)
(PS: Het schijnt dat in Turkjie Thomson routers eerder regel dan uitzondering zijn *hint hint*)
http://getandroidstuff.com/wp-content/uploads/2011/01/Router-Keygen-Andorid.jpg
Op verzoek,
http://code.google.com/p/...e=RouterKeygen_v2_9_1.apk

Studentennetwerk; Deel 2.

Door Biersteker op donderdag 5 januari 2012 19:57 - Reacties (22)
Categorie: -, Views: 8.225

Als vervolg op mijn vorige blogpost. (BierstekerBlog: Studentennetwerk; Kan het nog onveiliger?)

Ondertussen heb ik een reactie van het systeembeheer gekregen. Maar om nou te zeggen dat ik er echt tevreden mee ben. Nee. Bij deze een schaamteloze copy paste van de mail van het systeembeheer. (Wel geanonimiseerd, natuurlijk.)
Voor een studenten netwerk is het van belang is dat het voor iedereen zo
toegankelijk mogelijk is. In overleg met de student is er besloten het
netwerk zo open mogelijk te houden en de beveiliging tot een minimum te
beperken.

Verder hebben alle studenten de mogelijkheid om via het bedrade netwerk
gebruik van Internet te maken en dat is zeker niet af te luisteren.

Wij zijn zeker in staat om het draadloze netwerk af te grendelen maar
dat zal het gebruikersgemak zeker niet ten goede komen. Een gerouteerd
netwerk zal bijvoorbeel het delen van bestanden en het opzetten van
lokale game-servers zwaar hinderen.

Sterker nog, we hebben in eerste instantie een beveiligd netwerk
opgeleverd en dat werd door de studenten niet geaccepteerd. Daarna
hebben we de mensen de keuze gegeven tussen een beveiligd en onbeveiligd
netwerk en het beveiligde netwerk werd amper gebruikt.
Laten we de reactie even beter bekijken. Vooral de opmerking dat er in overleg met de student is besloten het netwerk open en de beveiliging tot een minimum te houden is in mijn ogen erg kwalijk.

Het doel van een systeembeheerder is een veilig netwerk aan te leggen. Niet om bestanden te delen, en ook niet om gameservers mogelijk te maken. Hiervoor zijn namelijk zat alternatieven die de gebruiker zelf kan toepassen. Bijvoorbeeld LogMeIn Hamachi. Ook het feit dat de studenten een keus hadden, is erg treurig, aangezien het gaat over een pand met een hoop studenten. (300+). En het verloop is bij een studentenhuis ook groot. Dus krijgt iedere nieuwe bewoner deze vraag? Nee! Ik heb met een aantal bewoners gesproken, en die staan letterlijk perplex van de reactie van het systeembeheer.

Ook de keuze van een beveiligd en onbeveiligd draadloos netwerk is niets anders dan stompzinnig te noemen. Een onbeveiligd netwerk zal altijd meer worden gebruikt omdat je dan geen wachtwoord hoeft in te voeren. Maar daar ligt niet eens het punt. Er gaat geen encryptie over een open wifi. Dus dan werk je sniffers keihard in de hand. Er hoeft niet eens met ARP gewerkt te worden.

Op de opmerking dat gebruikers niet te monitoren zijn als ze aan een ethernet kabel zitten, ga ik niet eens in. Behalve dan, ARP is een race, niets meer niets minder, en gezien de hardware lijst die beschikbaar is op internet, en het niet gebruiken van VLANs, hebben ze volgens mij niet door, wat hun hardware nou kan, en hoe het ingesteld moet worden. Ik hou me hart vast voor de bewoners. Dit is gewoon echt niet meer van deze tijd.

Studentennetwerk; Kan het nog onveiliger?

Door Biersteker op maandag 19 december 2011 20:18 - Reacties (38)
Categorie: -, Views: 9.507

Iedereen heeft internet nodig, zo ook de studenten. Niemand kan zonder internet, juist een student niet. Studielink, DigiD, Internetbankieren, email en Facebook, het hoort allemaal bij de dagelijkse routine. Maar als jij tegen de 300 a 400 honderd euro voor een studentenkamer betaald, betaalt, dan hoor je toch ook recht te hebben op goed werkend internet. Niet alleen goed werkend, maar ook beveiligd.

Hoe kom ik op dit onderwerp, in mijn aller eerste tweakblogpost. Het begon allemaal bij een gezellig feestje in een zeer groot studentenhuis in Amsterdam. (Ik zal nog maar niet de naam noemen, uit veiligheidsoverwegingen voor de bewoners)

Ik raak met een paar van mijn vrienden aan de praat, over Facebook. Ik had niet eens een uitnodiging gekregen, want geen Facebook. Het is dat ik gebeld werd met de melding: "Ik heb nog geen reactie van je gehad of je op mijn feestje komt". Uiteindelijk komt er een verhitte discussie over of je wel of geen Facebook moet hebben, om sociaal verbonden te blijven. Zelf ben ik fanatiek anti facebook, gezien alle privacy issues die er aan verbonden zijn. Een van mijn vrienden vond dat pure onzin. Ik moest het volgens hem uitleggen en als het kon, ook laten zien. De resultaten waren echt schrikbarend.

Het studentenhuis beschikt over een draadloze verbinding. Open en unencrypted. FAIL. Ik begon te vertellen over DroidSheep, een programmatje dat Cookies steelt. En ik laat DroidSheep 20 seconden sniffen. Het resultaat was echt verbluffend. 8 Facebook cookies in 20 seconden. Toen kwam bij mij de vraag, hoe groot is dit netwerk dan wel niet, en word het niet op bepaalde punten gescheiden.? Gelukkig zit ik in een betatest van Anti, (Android Network Toolkit) dus een networkmap is zo gemaakt. 180 pc's zichtbaar op het netwerk. Bedenk wel dat dit allemaal gedaan is op een Androidphone met slechts 2 programma's, in minder dan 5 minuten. Iemand die schade wilt doen, hoeft maar een laptop te pakken, en een clone website te maken met SET, en je hebt zo alle post info van een random website. (Denk DigiD, ING, Blackboard etc.)

Daar zit je dan, op je dure studentenkamer, waar jij je veilig waant. Maar de beveiliging van je data en het netwerk is gewoon niet anders dan diep triest te noemen.

(Er is een mailtje naar het systeembeheer daar gegaan, hopen dat er iets mee word gedaan.)

To be continued

Edit: Wegens uitblijven van een reactie van de betrokken partij, heb ik een tweede mail naar systeembeheer gestuurd.

Edit2: Op het tweede mailtje heb ik ondertussen een reactie ontvangen. Morgen meer.