https://overclockers.ru/blog/DDOS/show/24037/ddos-ili-worldoftanks--samaja-strashnaja-ddos-igra
Решил более подробно рассказать, что происходит в преступной жизни игры
WorldOfTanks
Вы наверно знаете, что моды к игре WorldOfTanks написаны на языке
питон, который позволяет делать с любым компьютером что захочется автору
мода?
Сейчас в модах ситуация такова, что ставя любой мод, нельзя
гарантировать что он не вскрыт и в него не добавлен ддос с троянами.
Начну без предисловий и сразу.
В игре есть каста мододелов, которые пишут на питоне моды, отсюда
рассказ начинается: как любой пользователь скачивает мод и устанавливает
в игру...
К примеру, устанавливаем мод "Простреливаемые обьекты", автором которого
является мододел под ником Stealthz. В общем почти во всех модах от
мододела Стелза зашит ддос и троянизация компьютера. Поддержку с
доменами, а также помощь в написании кодов осуществляют мододелы
PolarFox и Lelicopter, создание троянизирующих компьютер DDL зашитых в
трейнере тундра от DrWeber, кто там её делает DrWeber или Makct.
Ну начнём описание, запуск мода..
Варгеминг не смог обезопасить игру, поэтому патчат игру и докачивают
специальный ключ и сторонние модули чтобы разблокировать затрояненному
моду привелегии игры. Кстати этот IP адрес на скрине принадлежит домену
mods2all.com, владелец которого мододел PolarFox, и кстати тундра
DrWeber также на него отправляет и качает сомнительные данные.
Далее качается специально написанная DDL (конструктор троянов), которая
устанавливается на компьютер для ддоса и воровства паролей. WotZone тоже
домен записан на мододела PolarFox Как мод установил троян и открыл себе
интернет, это мододелу Stealthz кажется малым и мод начинает ддосить по
скриптам сайт конкурента и мододела https://Delysid.ru.
И опять же мало, нужно проконтролировать и вообще оставить какой-либо
сайт нерабочим, поэтому мод ддосит не только по домену но и по IP
адресу... Выше код позволяет не прописывать 127.0.0.1 в файл host чтобы
обращаться по IP напрямую.
Теперь представьте, что происходит с сайтом если таких
затрояненых компьютеров тысячи и сколько паролей к аккаунтам у жертв
украдено?
Моды от мододелов Stealthz, PolarFox, Pavel3333, Sae, Ekspoint полны
троянов!
Список файлов, которыми троянизируют компьютеры:
icudtl.dat
snapshot_blob.bin
cef_browser_process.exe
cef_200_percent.pak
libegl.dll
libcef.dll
d3dcompiler_43.dll
cef_extensions.pak
dbghelp.dll
libglesv2.dll
ffmpegsumo.dll
cef_100_percent.pak
d3dcompiler_47.dll
cef.pak
natives_blob.bin
Список сайтов с которых качаются рекламные скрипты в игру:
steal-chit.ru/advertise.html
wotsteel.ru/ad.html
itvonline.org/ad.html
wotzone.ru/caps.csi
wotzone.ru/static/libs
sae-mod.ru/advertise.html
wotzone.ru/ad.html
wotsimple.ru/ad.html
stealthz.ru/advertise.html
stealthz.net/advertise.html
pavel3333.ru/ad.html
lom666.beget.tech/g1.html
Что можно сказать, преступная группа - вероятно сроки большие если
будет заведено уголовное дело..
Также нельзя упомянуть компанию Wargaming о её бездействии когда
такое происходит. Очень большие надежды, что компания Wargaming
отреагирует на это, полностью декомпелирует мод и начнёт делать игру
безопасней для людей.
Для специалистов по питону прилагаю доказательство, а ещё лучше чтобы
посмотрел на этот код программист-криминалист. Мод обфусцирован и любой
желающий его не вскроет а программисту со знанием это доступно, но даже
через hex и дебаггер видно какой это криминал:
https://yadi.sk/d/uCj0HFDYiuI9Ig
После выхода статьи преступники среагировали на неё очень быстро и
убирали все ссылки с сайтов а также обновили все моды и также всех
троянов для скачивания отключили или переместили на другие домены.
Получилось скачать чем троянят игру. На скрине выше видно, что
вирустотал не может определить даже тип файлов т.к. используют
злоумышленники протекторы своего производства. Также видно что при
запуске расшифровываются ещё файлы.После выхода статьи специалисты может
не успели посмотреть на файлы, выкладываю чем троянят компьютеры для
изучения специалистами из антивирусных компаний: yadi.sk/d/zLidC8QQQU63vw
Очень печально, что компания Wargaming позволяет такое в своей игре!
|
