Я давно сижу на cs-amba, учитывая, что времени у меня свободного не так много, то захожу туда в последнее время редко, оставлять пару комментов под чужими работами.
На днях мне знакомая в лс написала, что мол они там вирусы разносят через фейк кнопку "Скачать"
Я эту кнопку замечал не раз, но обычно я мимо таких кнопок прохожу, потому что опыт уже позволяет отличить фейковую кнопку от ссылки на файл.
Вот вам несколько методов, как определить вирус или нет:
1) Большие кнопки - это первый знак, что вам подкидывают левую ссылку, но не бойтесь нажимать на них, они не смогут навредить вашему компьютеру, пока Вы сами не запустите какой нибудь .exe файл или скрипт.
2) Подозрительные ссылки на которые могут переносить эти кнопки с названием Скачать и т.д.
3) Редиректы, как на порносайтах. Если вас перекидывает от одной ссылке к другой, значит ничего не стоит качать и в вашем случае лучше просто найти другой ресурс на котором можно найти этот же файл.
4) Форматы файлов, а лучше HEX редактор. Помните, если вы ищите плагины, то форматы файлов не могут быть: .exe, .vbs, .js, (.rar.exe) и прочее, единственный формат для скомпилированных плагинов - это .amxx, для исходников: .txt, .sma, а для инклюдов: .inc
Есть еще много других знаков чтобы определить фейковую кнопку, но это со временем приходит
P.S. Так же есть сайты - майнеры, они запускают майнер через javascript, достаточно просто открыть сайт и он уже будет жрать ваши ресурсы железа, если вы видите что ваш комп загудел на каком либо сайте, то закрывайте вкладку и бегите с него. Так же, можно глянуть в диспетчере задач, использует ли сайт майнер напрямую через страницу сайта или нет (если процессор нагружен в диспетчере)
Кроме того, будьте осторожны, на .exe файл могут повесить иконку, как на архивах, а в расширении указать типа .rar.exe и если у вас скрыты расширения файлов, то ваш файл будет выглядеть типа так: plugin.rar, так как .exe скрывается настройками вашей винды, а в идеале файл будет иметь имя: plugin.rar.exe и вы тупо схаваете вирус. Лучший совет - использовать HEX редактор и смотреть заголовок, первые 4 байта скормленного HEX редактору файла). На исполняемых файлах обычно заголовок MZ, это значит формат файла .exe, и не важно как файл называется.
2) Подозрительные ссылки на которые могут переносить эти кнопки с названием Скачать и т.д.
3) Редиректы, как на порносайтах. Если вас перекидывает от одной ссылке к другой, значит ничего не стоит качать и в вашем случае лучше просто найти другой ресурс на котором можно найти этот же файл.
4) Форматы файлов, а лучше HEX редактор. Помните, если вы ищите плагины, то форматы файлов не могут быть: .exe, .vbs, .js, (.rar.exe) и прочее, единственный формат для скомпилированных плагинов - это .amxx, для исходников: .txt, .sma, а для инклюдов: .inc
Есть еще много других знаков чтобы определить фейковую кнопку, но это со временем приходит
P.S. Так же есть сайты - майнеры, они запускают майнер через javascript, достаточно просто открыть сайт и он уже будет жрать ваши ресурсы железа, если вы видите что ваш комп загудел на каком либо сайте, то закрывайте вкладку и бегите с него. Так же, можно глянуть в диспетчере задач, использует ли сайт майнер напрямую через страницу сайта или нет (если процессор нагружен в диспетчере)
Кроме того, будьте осторожны, на .exe файл могут повесить иконку, как на архивах, а в расширении указать типа .rar.exe и если у вас скрыты расширения файлов, то ваш файл будет выглядеть типа так: plugin.rar, так как .exe скрывается настройками вашей винды, а в идеале файл будет иметь имя: plugin.rar.exe и вы тупо схаваете вирус. Лучший совет - использовать HEX редактор и смотреть заголовок, первые 4 байта скормленного HEX редактору файла). На исполняемых файлах обычно заголовок MZ, это значит формат файла .exe, и не важно как файл называется.
Теперь к делу, я естественно сначала забил, а потом подумал, интереса ради скачаю и гляну чё там, вдруг пи***ешь какой нибудь, а внутри .exe обычный рекламный установщик всяких Амиго, Ху*го, Ubar и прочего шлака, но на деле все куда серьезней.
Сразу скажу, делал эту шляпу явно не дошколёнок, который обитает на cs-amba, так как человек умеет работать с Mutex, с регистрацами, напрямую через библиотеки.
Короче, скачал я файл, внутри лежит обычный node.exe (нужен для запуска .js с винды, в нем ничего страшного нет само по себе, но он используется в качестве оружия для того чтобы заставить работать собственный .js файл)
Дальше есть файл .bin (обычный заархивированый файл, Winrar короче, просто переименован в .bin)
HEX редактор говорит, что это 7z архив, теперь мне понятно почему внутри папки есть еще файл 7za.exe, это типа портативного распаковщика для .bin файла
В общем, самое интересное - это .js файлы, процесс работы примерно такой:
Как только вы запускаете .exe файл, который выдает себя по имени нужного плагина, то произойдет распаковка .bin файла и запустится скорее всего .js файлы из .bin архива. Дальше пойдет расшифровка файла "codeX", который, как говорят .js файл, зашифрован обычным XOR, ключ которого слово "xor"
Я написал небольшой расшифратор для С++, кому интересно (путь к файлу указывать не требуется, байты файла CodeX уже занесены в массив байт:
Вы должны зарегистрироваться, чтобы видеть ссылки.
После расшифровки файла я получил еще один .js, вот что лежало в CodeX:
Вы должны зарегистрироваться, чтобы видеть ссылки.
Теперь немного инфы, после запуска того самого .exe всякий шлак добавляется в планировщик задач, ковыряется реестр путем вызова экспортируемых функции из библиотеки Advapi32, а в другой библиотеке kernel32 создается mutex.
В общем, там пингуется домен: Вы должны зарегистрироваться, чтобы видеть ссылки. (не реклама)
С этого же домена берутся команды с сервера и пихаются в реестр и в планировщик задач.
В общем, этот вирус сам по себе не вреден, но то что он пингует с сервера и качает с него - это уже может навредить вашему ПК. Другими словами, это бомба замедленного действия и никогда не знаешь, когда автор подкинет какой нибудь бинарник на свой сайт, а mutex, который встраивается в kernel32 захватит его и запустит.
Я не стал всё анализировать и вообще мне впадлу этим заниматься, но вердикт такой:
cs-amba стала помойкой для раздачи вирусов, я удивлен, что там не база ботнета собирается, но возможно так и есть, кто знает что там Админ вам пихнет.
Замешан во всём этом, как я выяснил, Админ под ником: kopkan
Этот идиот даже не догадывается, что уже нарушил более 3х статей УК РФ и первая же жалоба юзера может упрячь его тупую головушку за решетку.
Так что... не лезьте в эту помойку, да там часто сливают что-то годное для маслят, но в таком случае, проверяйте хотя бы расширение файлов, а если у вас не отображается расширение файла - погуглите как его включить.
Так же, Вы имеете полное право потребовать удалить ваш аккаунт с этого сайта, так как при регистрации соглашение на сайте вообще не указывается, а по закону "О персональных данных" Администратор обязан удалить ваш аккаунт и все данные о Вас, иначе ему пи++а, а соглашение там никако не указано. Скорее всего это соглашение введут на днях, так как мой аккаунт изначально kopkan не хотел удалять, пришлось ссылаться на закон, но так или иначе, если Вы зарегистрировались до введения соглашения, то это означает, что вы его не принимали, а значит имеете полное право потребовать удалить.
Надеюсь, этому парнишке не влетит от отдела K за его выходки, по крайней мере, мне на это по**й, я чисто из интереса глянул что там.
Ах да, еще мою тему об этом удалили с cs-amba, причем удалил тему никто иной, как админ "kopkan"
Эхх, парниша, тебе бы головушку свою в умные русла направить, а не на xyi-sosi-guboi-trisi.xyz сидеть