1.6.1.4, 1.6.1.5, 1.6.1.6 WorldofTanks. DDOS в модах, создание организованной преступной группы и бездействие Wargaming

Чит Автор Тема: DDOS в модах, создание организованной преступной группы и бездействие Wargaming  (Прочитано 970 раз)

Оффлайн Delysid

  • VIP
  • *****
  • Сообщений: 2677
  • Чит карма: +64/-1
DDOS в модах игры WorldOfTanks, создание организованной преступной группы и бездействие Wargaming. Как ддосят сайты через игру WorldOfTanks и воруют пароли к аккаунтам.

Решил более подробно рассказать что происходит в преступной жизни игры WorldOfTanks
 Вы наверно знаете, что моды к игре WorldOfTanks написаны на языке питон который позволяет делать с любым компьютером что захочеться автору мода? 
Сейчас в модах ситуация такова что ставя любой мод нельзя гарантировать что он не вскрыт и в него не добавлен ддос с троянами.
Начну без предисловий и сразу.
В игре есть каста мододелов, которые пишут на питоне моды, отсюда рассказ начинается как любой пользователь скачивает мод и устанавливает в игру..
К примеру устанавливаем мод "Простреливаемые обьекты" автором которого являеться мододел под ником Stealthz. В общем в почти во всех модах от мододела Стелза зашит ддос и троянизация компьютера.   Поддержку с доменами а также помощь в написании кодов осуществляют мододелы PolarFox и Lelicopter, создание троянизирующих компьютер DDL зашитых в трейнере тундра от DrWeber кто там её делает DrWeber или Makct.
Ну начнём описание, запуск мода..


Варгеминг не смогло в безопасность игры, поэтому патчат игру и докачивают специальный ключ и сторонние модули чтобы разблокировать затрояненному моду привелегии игры. Кстати этот IP адрес на скрине принадлежит домену mods2all.com владелец которого мододел PolarFox и кстати тундра DrWeber также на него отправляет и качает сомнительные данные.

Далее качается специально написанная DDL которая устанавливается на компьютер троян для ддоса и воровства паролей. WotZone тоже домен записан на мододела PolarFox

Как мод установил троян и открыл себе интернет это мододелу Stealthz кажется малым и мод начинает ддосить по скриптам сайт Delysid.ru на сайте которого нету криминала и гадостей в модах.

И опять же мало, нужно проконтролировать и вообще оставить какой либо сайт нерабочим поэтому мод ддосит не только по домену но и по IP адресу..Выше код позволяет не прописывать 127.0.0.1 в файл host чтобы обращаться по IP на прямую.

Теперь представьте что происходит с сайтом если таких затрояненых компьютеров тысячи и сколько паролей к аккаунтам у жертв украдено?
Что можно сказать, преступная группа - вероятно сроки большие если будет заведено уголовное дело..
Также нельзя упомянуть компанию Wargaming о её бездействии когда такое происходит.

Список файлов которыми троянизируют компьютеры.
icudtl.dat
snapshot_blob.bin
cef_browser_process.exe
cef_200_percent.pak
libegl.dll
libcef.dll
d3dcompiler_43.dll
cef_extensions.pak
dbghelp.dll
libglesv2.dll
ffmpegsumo.dll
cef_100_percent.pak
d3dcompiler_47.dll
cef.pak
natives_blob.bin

Список сайтов с которых качаются трояны и реклама:
steal-chit.ru/advertise.html
wotsteel.ru/ad.html
itvonline.org/ad.html
wotzone.ru/caps.csi
wotzone.ru/static/libs
sae-mod.ru/advertise.html
wotzone.ru/ad.html
wotsimple.ru/ad.html
stealthz.ru/advertise.html
stealthz.net/advertise.html
pavel3333.ru/ad.html
lom666.beget.tech/g1.html


Кстати на статью среагировали преступники очень быстро отключив все ссылки, обновили моды и скорее переместив троянов на другие домены.
Но есть копия троянов, поэтому если обратятся специалисты из антивирусных программ я с удовольствием дам ссылку на архив с троянами.
На скриншоте видно что вирустотал даже с трудом определяет тип файлов т.к. мошенники используют свой приватный протектор. Но видно что из подменённых файлов распаковываются ещё файлы.

 



Оффлайн Delysid

  • VIP
  • *****
  • Сообщений: 2677
  • Чит карма: +64/-1
Добавлен список файлов которые подменяются на компьютерах пользователей а также сайтов с которых качаются трояны на данный момент

 


Оффлайн Carlito

  • Cheater
  • *****
  • Сообщений: 1510
  • Чит карма: +36/-0
Добавлен список файлов которые подменяются на компьютерах пользователей а также сайтов с которых качаются трояны на данный момент
На работе смотрел видос в ВК, пришёл домой думал перезалью но его потёрлди...
 Но суть такая: Клан   FREET был слит мододелами зап модификаций , больше всех претензий к Стелзу и  Pavel3333, думаю что скоро будут новости везде...
  Скажу п о секрету есть ещё два клана с такими претензиями и слитые теми же людьми или  стукачками в свою выгоду
« Последнее редактирование: Февраль 05, 2019, 17:16:31 от Slai »

 


EXG

  • Гость

Вот и я подцепил эту срань
 Что теперь делать? Вчера не было, а сегодня скачалось. Простое удаление ЗМ поможет почистить это все?
« Последнее редактирование: Февраль 06, 2019, 23:03:35 от EXG »

 


Оффлайн Delysid

  • VIP
  • *****
  • Сообщений: 2677
  • Чит карма: +64/-1
Вот и я подцепил эту срань
 Что теперь делать? Вчера не было, а сегодня скачалось. Простое удаление ЗМ поможет почистить это все?
Почитай правила форума с каких фотохостингов можно картинки ставить..
Что делать игру переустанавливай или минимум восстановление игры включи. Также качай антивирус и проверяй что в автозагрузке в виндовс прописалось..
Также все ссылки с темы в блокировку антивируса.

 


EXG

  • Гость
Почитай правила форума с каких фотохостингов можно картинки ставить..
Сорян, прочту.
Что делать игру переустанавливай или минимум восстановление игры включи. Также качай антивирус и проверяй что в автозагрузке в виндовс прописалось..
Также все ссылки с темы в блокировку антивируса.
Антивир eset nod32 молчит зараза. А папку Wargaming.net удалять? У меня просто 2 клиента, один для легал мод, другой для ЗМ. Спасибо за помощь.

 


Оффлайн Delysid

  • VIP
  • *****
  • Сообщений: 2677
  • Чит карма: +64/-1
Сорян, прочту. Антивир eset nod32 молчит зараза. А папку Wargaming.net удалять? У меня просто 2 клиента, один для легал мод, другой для ЗМ. Спасибо за помощь.
Там у него есть esset sysinspector - выстави в нём сомнительное и он покажет всю лабудень в загрузке.. Также в нём есть Сервис - настройки - запущенные процессы.. тоже покажет когда и что установилось и известный ли этот файл по рейтингу.
Проведи восстановление игры если удалять не хочешь.. Все левые файлы ddl, exe в папке игры удали тоже

 


EXG

  • Гость
Там у него есть esset sysinspector - выстави в нём сомнительное и он покажет всю лабудень в загрузке.. Также в нём есть Сервис - настройки - запущенные процессы.. тоже покажет когда и что установилось и известный ли этот файл по рейтингу.
Проведи восстановление игры если удалять не хочешь.. Все левые файлы ddl, exe в папке игры удали тоже
Ну сейчас полезу разбираться, что к чему. И буду мониторить активность клиента через HttpAnalyzerStdV7, классная вещь, если бы не она то и не заподозрил бы неладное. Единственное что стало выдавать подозрительную активность так это очень долгий запуск игры, именно там где уже нужно логиниться - клиент просто висел, пока скачивалась вся эта дрянь. Кста, всё из модпака вотсп** установлено. Лучше я уже тут на форуме все ручками буду брать.

 


EXG

  • Гость
Проведи восстановление игры если удалять не хочешь.. Все левые файлы ddl, exe в папке игры удали тоже
Восстановило только эти файлы

 


Оффлайн Delysid

  • VIP
  • *****
  • Сообщений: 2677
  • Чит карма: +64/-1
Восстановило только эти файлы
Не полностью докачались… Там их минимум 16 качается и ещё кучу расшифровывается потом дополнительных...

 


EXG

  • Гость
Не полностью докачались… Там их минимум 16 качается и ещё кучу расшифровывается потом дополнительных...
И в автозагрузке все вроде-как чисто, короче думаю пронесло. Впредь буду осторожнее и спасибо за информацию. Предупреждён - значит вооружён.  ::)

 


Оффлайн Delysid

  • VIP
  • *****
  • Сообщений: 2677
  • Чит карма: +64/-1
 И в автозагрузке все вроде-как чисто, короче думаю пронесло. Впредь буду осторожнее и спасибо за информацию. Предупреждён - значит вооружён.  ::)
Пароль к игре как почистил сменить не забыл?  :ok_hand:

 


EXG

  • Гость
Пароль к игре как почистил сменить не забыл?  :ok_hand:
Уже сменил. Я как только увидел что начали скачиваться трояны то даже не логинился, а сразу вышел из клиента.

 


Оффлайн Delysid

  • VIP
  • *****
  • Сообщений: 2677
  • Чит карма: +64/-1
Добавил ещё картинку в шапку.. Кстати, кто хочет посмотреть на сам троян может скачать его на overclockers.ru, там статью обновили..  ;)

 


TrinityQ7

  • Гость
внесу свои 8.8 копеек по борьбе с нерадивыми мододелами, может кому будет полезно...

1) на время игры блок ВСЕХ вхд и исх соединений, за исключением IP игровых серверов (92.223.*.*) и чата (185.12.*.*);
2) само собой, никакого гей-центра в памяти;
3) запуск клиента только из песочницы с последующим анализом экскрементов;
4) в некоторых случаях разграничение NTFS прав доступа к папкам.

 


Оффлайн Carlito

  • Cheater
  • *****
  • Сообщений: 1510
  • Чит карма: +36/-0
Я просто уверен, что сливают инфу через моды или еще как, а вот отмазка что за вотспик забанили потому что на ней больше всего пользователей -неправда, только идиоты последнее время на ней играют, и их перебанили побыстрому.Это факт!!! А особо не далеких, как к примеру дурку-Мурку три раза )))))
« Последнее редактирование: Февраль 08, 2019, 11:03:10 от Slai »

 


Оффлайн Bot

  • Cheater
  • *****
  • Сообщений: 2925
  • Чит карма: +0/-0
Я просто уверен, что сливают инфу через моды или еще как, а вот отмазка что за вотспик забанили потому что на ней больше всего пользователей -неправда, только идиоты последнее время на ней играют, и их перебанили побыстрому.Это факт!!! А особо не далеких, как к примеру дурку-Мурку три раза )))))
WG = Бобик
мурка = муркка
 :D
Вам потребуется следующее, чтобы просмотреть скрытый текст:

 


0 Пользователей и 1 Гость просматривают эту тему.

Теги: