Новый фейк вирус by Puma

Рассмотрим новый "вирус" который нигде не освещался.
Прописывается в %user%/Appdata/Roaming/Gulets/loops.exe ( файл имеет название loops.exe )

В проге запрятаны ники фейк игроков
таких как




127.0.0.1:%d0
\protocol\7\challenge\%ld\players\%d\max\%d\bots\%d\gamedir\%s\map\%s\password\0\os\%c\lan\0\region\255\gameport\%d\specport\0\dedicated\1\appid\%d\type\%c\secure\0\version\%s\product\%s getchallenge valve wialto.com

wialto.com ето ип питера 188.134.28.215

далее идут вшитые сетмастера

89.22.230.230
games.vipeburg.info
hl1master.steampowered.com
208.64.200.52
и др.

m3.vvaallvvee.com - которое имеет молдавский адрес http://m3.vvaallvvee.com/client.php
на котором адрес вебмани ПУМЫ !!!



скрины сделаны на случай если он удалит сайт :)

Далее айпи адреса m3.vvaallvvee.com и setmaster.info идентичны



Она позиционирует себя как "Cs updater"
ссылаясь на %s\Counter-Strike Updater.lnk



ну и далее запись в реестр на автозапуск


также она добавляет себя в исключения фаервола


System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List %s:*:Enabled




вобщем будьте бдительны. перепроверьте свои компы
экземпляр программы могу выложить модераторам по требованию

при попытке посканировать на вирустотал оно заявило что скан уже делался (!)

2012-06-29 19:49:23 то есть прога совсем свежая и не палится ничем кроме


AntiVir TR/Downloader.Gen
DrWeb Trojan.Siggen4.8689
Emsisoft Trojan-Downloader!IK
Ikarus Trojan-Downloader


так что ваши антивирусы ничего не покажут !!!
Прогу могу дать модерам на проверку

и в подарок всем желающим выложу Hlserver с лицензией от ратваера для Пумы


Еще небольшое дополнение в тойже папке roaming есть папка MasterServer Selector
В которой есть config.xml


возможно она поднимает локальный мастерсервер и блочит другие сетмастера...
ибо вкладка find servers попросту перестает нажиматся... + сканирует директории на диске с кс
+ в самой проге тоже зашит адрес 127.0.0.1

=slowhacking

папки таковой нету. оу... ща прошвырнёмся по реестру и жестякам

походу это чтото для его сетмастера - setmaster.info так как он тоже молдавский.
папка выглядит так
c:/ users / имя твое на компе
например c:/users/Игорь-пк/appdata/roaming и тд

Не нашёлся... Значит чист =)

На Kis уже отписал,скоро базы обновят с троянцем.

аваст, Нод ? др.Веб

Чистая подстава от лица обладателей данного домена который прикрепил домен данный к моему адресу

завтра на остальные антивиры отпишу

подстава? ну а иконка такая же как в хлсервере.) тобишь дело рук самого великого ратваера? разве не он тебе ее написал? я вообще не против. вирусы ето хорошо. заставляют думать быстрее. кто это сделал и зачем думай сам. информацию я предоставил для сведения. подстава не исключена

Сайт (m3.vvaallvvee.com) зареган на жителя Украины. Whois в помощь.

дада


Registrant:
N/A
Derevyanko Valentin (user.gameover.user@gmail.com)
G.S.
Misto
Misto,69005
UA
Tel. +380.935276977

а ето у нас мишель )))) ясно теперь брат ратваер новые плюшки пишет для него.

в соседнем разделе была прога SMS спама. можно врубить xD

иконка - сидит в стандартной кс, непропатченной если что
сайт по этой ссылке - панелька simple panel 2.5

я уже разобрался что это мишеля

Hl_server.rar ругается антивирь гг

virustotoal

хы........ как оно резко епта =) нафига линк на хлсерв вверху ?*
неуспел скачать.... а оно уже запускается
Оу))) оказвается... и там уже 2 =) Когда эт успел вцепить то...

я его нашел на дедике.....он не мой!

330863, Вот вы вроде не плохой человек судя по форуму (это лично мое мнение), не раз помогали лично мне в решении непонятных для мня задач, ну зачем заниматься вот этой всякой ересью (троянцы и т.д), кто такой для вас Мишель ? сват, брат ? разбейте вы ему нос, если правоохранительным органам он не интересен.


Так же не понимаю тех людей кто пострадал от этого самого ратваера вам что трудно сходить и написать просто заявление в органы ? Я вас не понимаю !

3aB}{o3,
https://c-s.net.ua/forum/topic28725.html

домен работает просто как зеркало мастера для сборок кс