Правила форума Гаранты форума
Размещение рекламы AMX-X компилятор

Здравствуйте, гость Вход | Регистрация

Наши новости:

14-дек
24-апр
10-апр
11-апр

2 страниц V   1 2

Вредоносная сборка CS 1.6

, Вредоносная сборка CS 1.6 client-cs
Статус пользователя WarDeN4ik
сообщение 30.10.2017, 11:12
Сообщение #1


Стаж: 10 лет

Сообщений: 451
Благодарностей: 142
Полезность: 490

Увидев название темы, некоторые могли подумать, что вот ещё один параноик, которому вирусы везде мерещатся. Вывод в конце сделаете сами))
Данная информация, будет интересна не только игрокам, но и владельцам добросовестных раскруток и мониторингов, для последних это представит даже больший интерес!

В общем, недавно скачанная сборка (далее "говносборка" (надеюсь на лояльность и понимание модераторов)), вносит изменения во все остальные установленные клиенты CS 1.6 (включая STEAM!!!), а именно:
- заменяет мастер сервер
- заменят геймменю
в некоторых случаях ей это не удаётся, что вероятнее всего приводит к ошибке:

данная ошибка возникает например в стим клиенте.
После проверки целостности файлов и замены 1-2 фалов, начинает запускаться, правда уже с замененным (точнее добавленным) мастерсервером (благо стим клиент не в том месте его читает).
А вот геймменю уже появляется такое:

правда не сразу а со второго запуска контры.
Кстати ещё вчера в геймменю был один сервер "Тихвин спб", и судя по онлайну этого сервера раскрутка вообще не работает).

Ну а речь идет о клиенте кс с сайта client-cs(.)ru, который относится к раскрутке boost-servers(.)ru (судя по рекламному баннеру у них на главной).
Я устанавливал COUNTER-STRIKE 1.6 ORIGINAL (RUS)
Установленных клиентов на тот момент у меня было 10 включая стим! (ставлю я их для проверки работы мастерсеров услуги у которых я купил, ну и хеш сборки взять для сбора статистики)
И со временем, во всех без исключения установленных клиентах (ВКЛЮЧАЯ СТИМ) были заменены или дополнены файлы, частично или полностью:
hw.dll (заменяется) анализ на virustotal
c3p0.asi (добавляется) анализ на virustotal
GameMenu.res (заменяется в cstrike\resource\) скриншот выше
rev_MasterServers.vdf (заменяется или добавляется если у вас другой в папке config)
содержание rev_MasterServers.vdf
Код:
 "MasterServers"
{
"hl1"
{
"0"
{
"addr" "ms.client-cs.ru:27010"
}
"1"
{
"addr" "ms1.client-cs.ru:27010"
}
}
}



Больше половины из 10 установленных клиентов, перестали запускаться. Реанимировать удалось не все.
По поводу лечения компа, после этой говносборки, с говносайта говнораскрутки. Пока что до конца не удалось излечить.
Т.е. удаление самой говносборки client-cs, не помогло решить проблему. Полагаю зараженные клиенты тоже теперь являются распространителями заразы.
Конечно в какой-то степени я и сам виноват, игнорил предупреждения антивируса, давал разрешения.
Но практически на все сборки кс, да и не только кс, а вообще на пиратские игры, проги... антивирусы ругаются, что поделать, приходится рисковать))
После перезапуска компа и запуска нескольких клиентов пару раз, все удаленные файлы, возвращаются hw.dll, c3p0.asi, GameMenu.res, rev_MasterServers.vdf.
Ну это дело времени, выпилю это говно рано или поздно.

В связи с чем хочу всех предупредить об фактической опасности установки клиентов относящихся к вышеупомянутой раскрутке и сайту распространителя этих сборок.
Вледельцам и всем причастным лицам говносборки и говнораскрутки желаю лучей кровавого поноса! smile.gif

Кто желает, проверяйте на свой страх и риск!
Ну а если это обычное дело, и я тут вонь поднял по пустякам, то извиняйте)
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 9 раз
   Цитировать сообщение
Статус пользователя evil
сообщение 30.10.2017, 11:27
Сообщение #2


Стаж: 12 лет

Сообщений: 1503
Благодарностей: 495
Полезность: 614

Меценат Меценат

Интерестно, Зачем устанавливать по 10 говносборок говнораскруток!?
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Статус пользователя WarDeN4ik
сообщение 30.10.2017, 11:32
Сообщение #3


Стаж: 10 лет

Сообщений: 451
Благодарностей: 142
Полезность: 490

Цитата(evil @ 30.10.2017, 12:27) *
Интерестно, Зачем устанавливать по 10 говносборок говнораскруток!?

Чтобы как раз и выявить говнораскрутки, с говносборками)) И предупредить общественность! smile.gif Т.е. всех потенциальных клиентов, рекламодателей и прочих кому может быть полезна эта информация.
Ну и это единственная такая говносборка которая мне попалась лет за 7 последних.

Отредактировал: WarDeN4ik, - 30.10.2017, 11:35
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 2 раз
   + Цитировать сообщение
Статус пользователя esterio
сообщение 30.10.2017, 11:33
Сообщение #4
Стаж: 11 лет
Город: Украина

Сообщений: 266
Благодарностей: 215
Полезность: 627

1. Уже давно все клиенты где написано "оригинал" таковым не являютсья. Нужно искать клиенты годов до 2012
2. Если нужно для тестов поднимите виртуалку или песочницу (https://www.sandboxie.com/) и будет вам счастье
3. Еще проще не запускать их никогда
4. Ставьте линукс и ни одна сборка не убьет вам стим клиент вот таким способом


Ми будемо вбивати росіян у будь-якій точці світу до повної перемоги України
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя evil
сообщение 30.10.2017, 11:33
Сообщение #5


Стаж: 12 лет

Сообщений: 1503
Благодарностей: 495
Полезность: 614

Меценат Меценат

WarDeN4ik, по мне все они говно еб....ое.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя WarDeN4ik
сообщение 30.10.2017, 11:41
Сообщение #6


Стаж: 10 лет

Сообщений: 451
Благодарностей: 142
Полезность: 490

esterio, На счёт оригинала то понятно, и так очевидно. Не хотите проблем используйте только стим клиент)
Но ведь этот случай, так сказать, бросает тень на добросовестные раскрутки, которые не пихают всякую дичь в клиент ради увеличения собственного мастерсервера.
К тому же у добросовестных раскруток просто крадут уников, внаглую!
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя tipych
сообщение 30.10.2017, 11:52
Сообщение #7
Стаж: 8 лет 8 месяцев
Город: Северодвинск

Сообщений: 536
Благодарностей: 163
Полезность: 173

Цитата(WarDeN4ik @ 30.10.2017, 11:41) *
esterio, На счёт оригинала то понятно, и так очевидно. Не хотите проблем используйте только стим клиент)
Но ведь этот случай, так сказать, бросает тень на добросовестные раскрутки, которые не пихают всякую дичь в клиент ради увеличения собственного мастерсервера.
К тому же у добросовестных раскруток просто крадут уников, внаглую!

Я давно уже об этом говорю. Почему-то в обществе резко осуждается воровство кошелька на улице, из кармана в автобусе, с банковской карты и т.д., но на этом форуме не осуждается воровство тех же уников. А ведь это уплаченные кровные деньги добросовестных мониторингов (кто в рекламу, кто в SEO и т.д.). И ведь здесь таких говномоников еще куча, и все они форсят свои созданные темы. Все они известны, но никому ничего не надо.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 2 раз
   + Цитировать сообщение
Статус пользователя nakazatel
сообщение 30.10.2017, 12:33
Сообщение #8
Стаж: 9 лет 9 месяцев

Сообщений: 1701
Благодарностей: 571
Полезность: 358

А я знаю владельца, раньше с ним общался, чудный паренек ))) тоже был в моем городе, но на глаза не попадался, когда начал мне уже дичь втирать, я его послал, он мне лицо хотел поправить, но так и нигде не обьявился )))

Да и его сервера что в геймменю, вроде много где в бане, мб владелец там уже другой, но, домены его, как и скрипты стоят барыжные.

Отредактировал: nakazatel, - 30.10.2017, 12:34
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя DimkaZst
сообщение 30.10.2017, 13:38
Сообщение #9


Стаж: 7 лет 9 месяцев

Сообщений: 213
Благодарностей: 45
Полезность: < 0

Лет 10 Steam пользуюсь и в х.. не дую +)


https://www.bestchange.ru/?p=888336 Лучший обменик валюты =)
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Sorokin
сообщение 30.10.2017, 13:41
Сообщение #10
Стаж: 7 лет 3 месяца

Сообщений: 427
Благодарности: выкл.

WarDeN4ik, один печальный момент:
Цитата
Установленных клиентов на тот момент у меня было 10 включая стим! (ставлю я их для проверки работы мастерсеров услуги у которых я купил, ну и хеш сборки взять для сбора статистики)


Зачем ставить +100500 сборок, если почти на каждом мониторинге можно скачать их MasterServers.vdf?
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя WarDeN4ik
сообщение 30.10.2017, 14:37
Сообщение #11


Стаж: 10 лет

Сообщений: 451
Благодарностей: 142
Полезность: 490

Sorokin, Далеко не на каждом мониторинге дают возможность скачать свой MasterServers.vd. Более того, как выяснилось, не у каждого мониторинга вообще есть мастерсервер, я имею ввиду фековые раскрутки. Порой даже с трудом можно найти сборки кс того или иного мониторинга, такие сразу идут лесом. А бывает что сборка вроде есть, но то что в поиске клиента находится (мастерсервере) совершенно не соответствует листингу серверов на мониторинге, такие недораскрутки тоже идут в темные зловонные места. А бывает что просто сервер не попадает в мастерсервер т.е. у клиентов не виден, хотя в листинг на сайте попал, приходится писать жаловаться в их ТП чтобы разбирались. Вот и вынужден устанавливать по 100500 клиентов))
Обычно у меня из 3-4 установлено, но сейчас в поиске новых качественных раскруток, те которые сейчас общеизвестны либо не вменяемо дорого обходятся либо хрен там место займешь, или и то и то одновременно)) да и не об этом речь
Суть в том что напоролся на такую сраную сборку, от чего хочу предостеречь других. Ну и те кто там вдруг задумает приобрести услуги, чтобы тоже были в курсе.

Отредактировал: WarDeN4ik, - 30.10.2017, 14:38
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Monitoring
сообщение 30.10.2017, 14:53
Сообщение #12
Стаж: 6 лет 6 месяцев

Сообщений: 190
Благодарностей: 41
Полезность: 133

Ну не знаю даже, сам люблю пользоваться стимом, но пользуюсь своей сборкой т.к. на стиме если заходить на много серверов с модами, то кс стимоская стигает жёстко. Вот я на пиратку свою пересел. А то, что ты предупреждаешь всех, это + тебе автор
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя NichtWolf
сообщение 30.10.2017, 16:05
Сообщение #13
Стаж: 15 лет

Сообщений: 572
Благодарности: выкл.

WarDeN4ik,
Ты не написал. Она ломает и клиенты с протектором тоже?
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя WarDeN4ik
сообщение 30.10.2017, 16:10
Сообщение #14


Стаж: 10 лет

Сообщений: 451
Благодарностей: 142
Полезность: 490

Цитата(NichtWolf @ 30.10.2017, 17:05) *
WarDeN4ik,
Ты не написал. Она ломает и клиенты с протектором тоже?

Ну если и стим клиент ломает, то я думал будет понятно что и протекторами справляется.
Точнее просто ломает сборки с протекторами и выводит из строя, они не запускаются или вылетают сразу же.

Отредактировал: WarDeN4ik, - 30.10.2017, 16:10
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя NichtWolf
сообщение 30.10.2017, 16:15
Сообщение #15
Стаж: 15 лет

Сообщений: 572
Благодарности: выкл.

WarDeN4ik,

Новый способ. до чего не додумаются лишь бы навредить. возьмут на заметку и завтра такой клиент будет в каждой раскрутке
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя MDMA20
сообщение 30.10.2017, 17:30
Сообщение #16
Стаж: 6 лет 9 месяцев

Сообщений: 2179
Благодарностей: 923
Полезность: 808

Если не ошибаюсь, речь вначале шла про мониторинг http://your-mon.com/
А потом изменили текст в первом посте чтоли? и сообщения некоторые пропали с темы..

Отредактировал: MDMA20, - 30.10.2017, 17:31
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя nakazatel
сообщение 30.10.2017, 17:32
Сообщение #17
Стаж: 9 лет 9 месяцев

Сообщений: 1701
Благодарностей: 571
Полезность: 358

MDMA20, это уже вторая тема, внизу листай от порталыча.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Статус пользователя MDMA20
сообщение 30.10.2017, 17:36
Сообщение #18
Стаж: 6 лет 9 месяцев

Сообщений: 2179
Благодарностей: 923
Полезность: 808

Цитата(nakazatel @ 30.10.2017, 18:32) *
MDMA20, это уже вторая тема, внизу листай от порталыча.

Нашел, спасибо.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя perfectblood0
сообщение 30.10.2017, 17:45
Сообщение #19
Стаж: 15 лет

Сообщений: 5065
Благодарностей: 2685
Полезность: 488

Цитата(MDMA20 @ 30.10.2017, 18:30) *
Если не ошибаюсь, речь вначале шла про мониторинг http://your-mon.com/
А потом изменили текст в первом посте чтоли? и сообщения некоторые пропали с темы..

ошибаетесь
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Metal Messiah
сообщение 30.10.2017, 19:30
Сообщение #20


Иконка группы

Стаж: 11 лет

Сообщений: 2399
Благодарностей: 1462
Полезность: 755

HostGame.cf
Лучший способ защиты от вируса - это встроенный рукожопый вирусописатель. Или команда таких же разработчиков. Помню во времена USB троянов каждая третья гадость вылетала наглухо при запуске если винда была установлена не на диск C:\ - продолжайте дальше в том же духе.
Прикрепленное изображение


Интересно, для кого я ЭТО ПИСАЛ?
Во первых, в сборке неизвестно что делает msvcr100.dll (из Microsoft Visual C++ Redistributable Package) при том что эта библиотека ни одним из файлов сборки не импортируется. Вывод - перекочевало с первоисточника. Отдельная благодарность некоторым собирателям конфигов для OpenGL Detector и аналогов, которые добавили данный файл в список читов (благодаря им половина игроков улетают в бан, а админы серверов не понимают что и как и почему раскрутки не эффективны).

Теперь по порядку.
c3p0.asi
файлик, подгружающийся при запуске контры. Представляет из собой DLL (библиотеку), написанную на Delphi, содержащую компонент TIdHTTP (ну как же без Indy Library! это же мейнстрим использовать VCL компоненты в приложениях без форм) и код закачки 2 файлов:
ht__//boost-servers.ru/game_content/rev_MasterServers.vdf который кладется по адресу config\rev_MasterServers.vdf и ht__//boost-servers.ru/game_content/GameMenu.res по адресу cstrike\resource\GameMenu.res, на которые плюс ко всему еще и ставятся нужные аттрибуты. Больше тут смотреть нечего.

launcher.exe
Написан на сях человеком под ником MajorDickTee
вся инфа о челе

А инфы то и нет, логин такой на компе, кажется, Windows 7, а дословно переводится с английского как Майор-Член-Тройник
. Тут тоже все просто, при запуске скачивает с того же адреса файлы rev_MasterServers.vdf и GameMenu.res, после чего запускает контру с помощью ShellExecuteA (почему так нельзя - когда-то писал GunSmoker). Тут уже левел ап, используется функция URLDownloadToFileA которая в народе называется "осторожно, вирус" (почему - догадайтесь сами). Еще +10 в репу MajorDickTee за то что он знает что такое DeleteUrlCacheEntry (давно такого скилла не видел). Как бы и тут все.

protector.exe
Тут еще интереснее. Автор неизвестен (логин User что уже доставляет).
Уже с каталога ht__//client-cs.ru/dl скачиваются hw.dll и c3p0.asi, которые и раскладываются по всем папкам всех сборок, как и писал ТС. На удивление, в одной сборке МС сменился, в другой - нет, но .asi и hw.dll появились в обоих. На этом месте обе софтины, которыми я привык пользоваться, обломались при попытке декомпиляции, потому ничего более интересного про этот файл не напишу.

А еще у них (client-cs(.)ru / boost-servers(.)ru) нет протектора в сборке и в valve присутствует папка SAVE (если Вы знаете, о чем я).
Продолжение следует.

Отредактировал: Metal Messiah, - 30.10.2017, 19:33


Полезные публикации - ссылки у меня в профиле. Ссылка на плагин против спама на сервере StopServerSpam там же.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 3 раз
   + Цитировать сообщение
2 страниц V   1 2
 
Тема закрытаНачать новую тему
 
0 пользователей и 1 гостей читают эту тему: