Вредоносная сборка CS 1.6

Увидев название темы, некоторые могли подумать, что вот ещё один параноик, которому вирусы везде мерещатся. Вывод в конце сделаете сами))
Данная информация, будет интересна не только игрокам, но и владельцам добросовестных раскруток и мониторингов, для последних это представит даже больший интерес!

В общем, недавно скачанная сборка (далее "говносборка" (надеюсь на лояльность и понимание модераторов)), вносит изменения во все остальные установленные клиенты CS 1.6 (включая STEAM!!!), а именно:
- заменяет мастер сервер
- заменят геймменю
в некоторых случаях ей это не удаётся, что вероятнее всего приводит к ошибке:

данная ошибка возникает например в стим клиенте.
После проверки целостности файлов и замены 1-2 фалов, начинает запускаться, правда уже с замененным (точнее добавленным) мастерсервером (благо стим клиент не в том месте его читает).
А вот геймменю уже появляется такое:

правда не сразу а со второго запуска контры.
Кстати ещё вчера в геймменю был один сервер "Тихвин спб", и судя по онлайну этого сервера раскрутка вообще не работает).

Ну а речь идет о клиенте кс с сайта client-cs(.)ru, который относится к раскрутке boost-servers(.)ru (судя по рекламному баннеру у них на главной).
Я устанавливал COUNTER-STRIKE 1.6 ORIGINAL (RUS)
Установленных клиентов на тот момент у меня было 10 включая стим! (ставлю я их для проверки работы мастерсеров услуги у которых я купил, ну и хеш сборки взять для сбора статистики)
И со временем, во всех без исключения установленных клиентах (ВКЛЮЧАЯ СТИМ) были заменены или дополнены файлы, частично или полностью:
hw.dll (заменяется) анализ на virustotal
c3p0.asi (добавляется) анализ на virustotal
GameMenu.res (заменяется в cstrike\resource\) скриншот выше
rev_MasterServers.vdf (заменяется или добавляется если у вас другой в папке config)


Больше половины из 10 установленных клиентов, перестали запускаться. Реанимировать удалось не все.
По поводу лечения компа, после этой говносборки, с говносайта говнораскрутки. Пока что до конца не удалось излечить.
Т.е. удаление самой говносборки client-cs, не помогло решить проблему. Полагаю зараженные клиенты тоже теперь являются распространителями заразы.
Конечно в какой-то степени я и сам виноват, игнорил предупреждения антивируса, давал разрешения.
Но практически на все сборки кс, да и не только кс, а вообще на пиратские игры, проги... антивирусы ругаются, что поделать, приходится рисковать))
После перезапуска компа и запуска нескольких клиентов пару раз, все удаленные файлы, возвращаются hw.dll, c3p0.asi, GameMenu.res, rev_MasterServers.vdf.
Ну это дело времени, выпилю это говно рано или поздно.

В связи с чем хочу всех предупредить об фактической опасности установки клиентов относящихся к вышеупомянутой раскрутке и сайту распространителя этих сборок.
Вледельцам и всем причастным лицам говносборки и говнораскрутки желаю лучей кровавого поноса!

Кто желает, проверяйте на свой страх и риск!
Ну а если это обычное дело, и я тут вонь поднял по пустякам, то извиняйте)

Интерестно, Зачем устанавливать по 10 говносборок говнораскруток!?

Чтобы как раз и выявить говнораскрутки, с говносборками)) И предупредить общественность! Т.е. всех потенциальных клиентов, рекламодателей и прочих кому может быть полезна эта информация.
Ну и это единственная такая говносборка которая мне попалась лет за 7 последних.

1. Уже давно все клиенты где написано "оригинал" таковым не являютсья. Нужно искать клиенты годов до 2012
2. Если нужно для тестов поднимите виртуалку или песочницу (https://www.sandboxie.com/) и будет вам счастье
3. Еще проще не запускать их никогда
4. Ставьте линукс и ни одна сборка не убьет вам стим клиент вот таким способом

WarDeN4ik, по мне все они говно еб....ое.

esterio, На счёт оригинала то понятно, и так очевидно. Не хотите проблем используйте только стим клиент)
Но ведь этот случай, так сказать, бросает тень на добросовестные раскрутки, которые не пихают всякую дичь в клиент ради увеличения собственного мастерсервера.
К тому же у добросовестных раскруток просто крадут уников, внаглую!

Я давно уже об этом говорю. Почему-то в обществе резко осуждается воровство кошелька на улице, из кармана в автобусе, с банковской карты и т.д., но на этом форуме не осуждается воровство тех же уников. А ведь это уплаченные кровные деньги добросовестных мониторингов (кто в рекламу, кто в SEO и т.д.). И ведь здесь таких говномоников еще куча, и все они форсят свои созданные темы. Все они известны, но никому ничего не надо.

А я знаю владельца, раньше с ним общался, чудный паренек ))) тоже был в моем городе, но на глаза не попадался, когда начал мне уже дичь втирать, я его послал, он мне лицо хотел поправить, но так и нигде не обьявился )))

Да и его сервера что в геймменю, вроде много где в бане, мб владелец там уже другой, но, домены его, как и скрипты стоят барыжные.

Лет 10 Steam пользуюсь и в х.. не дую +)

WarDeN4ik, один печальный момент:


Зачем ставить +100500 сборок, если почти на каждом мониторинге можно скачать их MasterServers.vdf?

Sorokin, Далеко не на каждом мониторинге дают возможность скачать свой MasterServers.vd. Более того, как выяснилось, не у каждого мониторинга вообще есть мастерсервер, я имею ввиду фековые раскрутки. Порой даже с трудом можно найти сборки кс того или иного мониторинга, такие сразу идут лесом. А бывает что сборка вроде есть, но то что в поиске клиента находится (мастерсервере) совершенно не соответствует листингу серверов на мониторинге, такие недораскрутки тоже идут в темные зловонные места. А бывает что просто сервер не попадает в мастерсервер т.е. у клиентов не виден, хотя в листинг на сайте попал, приходится писать жаловаться в их ТП чтобы разбирались. Вот и вынужден устанавливать по 100500 клиентов))
Обычно у меня из 3-4 установлено, но сейчас в поиске новых качественных раскруток, те которые сейчас общеизвестны либо не вменяемо дорого обходятся либо хрен там место займешь, или и то и то одновременно)) да и не об этом речь
Суть в том что напоролся на такую сраную сборку, от чего хочу предостеречь других. Ну и те кто там вдруг задумает приобрести услуги, чтобы тоже были в курсе.

Ну не знаю даже, сам люблю пользоваться стимом, но пользуюсь своей сборкой т.к. на стиме если заходить на много серверов с модами, то кс стимоская стигает жёстко. Вот я на пиратку свою пересел. А то, что ты предупреждаешь всех, это + тебе автор

WarDeN4ik,
Ты не написал. Она ломает и клиенты с протектором тоже?

Ну если и стим клиент ломает, то я думал будет понятно что и протекторами справляется.
Точнее просто ломает сборки с протекторами и выводит из строя, они не запускаются или вылетают сразу же.

WarDeN4ik,

Новый способ. до чего не додумаются лишь бы навредить. возьмут на заметку и завтра такой клиент будет в каждой раскрутке

Если не ошибаюсь, речь вначале шла про мониторинг http://your-mon.com/
А потом изменили текст в первом посте чтоли? и сообщения некоторые пропали с темы..

MDMA20, это уже вторая тема, внизу листай от порталыча.

Нашел, спасибо.

ошибаетесь

Лучший способ защиты от вируса - это встроенный рукожопый вирусописатель. Или команда таких же разработчиков. Помню во времена USB троянов каждая третья гадость вылетала наглухо при запуске если винда была установлена не на диск C:\ - продолжайте дальше в том же духе.


Интересно, для кого я ЭТО ПИСАЛ?
Во первых, в сборке неизвестно что делает msvcr100.dll (из Microsoft Visual C++ Redistributable Package) при том что эта библиотека ни одним из файлов сборки не импортируется. Вывод - перекочевало с первоисточника. Отдельная благодарность некоторым собирателям конфигов для OpenGL Detector и аналогов, которые добавили данный файл в список читов (благодаря им половина игроков улетают в бан, а админы серверов не понимают что и как и почему раскрутки не эффективны).

Теперь по порядку.
c3p0.asi
файлик, подгружающийся при запуске контры. Представляет из собой DLL (библиотеку), написанную на Delphi, содержащую компонент TIdHTTP (ну как же без Indy Library! это же мейнстрим использовать VCL компоненты в приложениях без форм) и код закачки 2 файлов:
ht__//boost-servers.ru/game_content/rev_MasterServers.vdf который кладется по адресу config\rev_MasterServers.vdf и ht__//boost-servers.ru/game_content/GameMenu.res по адресу cstrike\resource\GameMenu.res, на которые плюс ко всему еще и ставятся нужные аттрибуты. Больше тут смотреть нечего.

launcher.exe
Написан на сях человеком под ником MajorDickTee
. Тут тоже все просто, при запуске скачивает с того же адреса файлы rev_MasterServers.vdf и GameMenu.res, после чего запускает контру с помощью ShellExecuteA (почему так нельзя - когда-то писал GunSmoker). Тут уже левел ап, используется функция URLDownloadToFileA которая в народе называется "осторожно, вирус" (почему - догадайтесь сами). Еще +10 в репу MajorDickTee за то что он знает что такое DeleteUrlCacheEntry (давно такого скилла не видел). Как бы и тут все.

protector.exe
Тут еще интереснее. Автор неизвестен (логин User что уже доставляет).
Уже с каталога ht__//client-cs.ru/dl скачиваются hw.dll и c3p0.asi, которые и раскладываются по всем папкам всех сборок, как и писал ТС. На удивление, в одной сборке МС сменился, в другой - нет, но .asi и hw.dll появились в обоих. На этом месте обе софтины, которыми я привык пользоваться, обломались при попытке декомпиляции, потому ничего более интересного про этот файл не напишу.

А еще у них (client-cs(.)ru / boost-servers(.)ru) нет протектора в сборке и в valve присутствует папка SAVE (если Вы знаете, о чем я).
Продолжение следует.