Русское сообщество по скриптингу

cs-amba распространяет вирусы

Флуд, который не касается других разделов форума.

Модератор: Модераторы

Правила форума
1. Запрещено материться и оскорблять других участников форума.
2. Запрещен флуд, оффтоп, дабл постинг во всех разделах форума, кроме раздела "Болтовня".
3. Запрещено взламывать сайт/форум или наносить любой вред проекту.
4. Запрещено рекламировать другие ресурсы.
5. Запрещено создавать темы без информативного названия. Название темы должно отображать ее смысл.

cs-amba распространяет вирусы

Сообщение KOTOKU » 22 янв 2019, 07:05

В общем, вкратце:
Я давно сижу на cs-amba, учитывая, что времени у меня свободного не так много, то захожу туда в последнее время редко, оставлять пару комментов под чужими работами.
На днях мне знакомая в лс написала, что мол они там вирусы разносят через фейк кнопку "Скачать"

Я эту кнопку замечал не раз, но обычно я мимо таких кнопок прохожу, потому что опыт уже позволяет отличить фейковую кнопку от ссылки на файл.

Вот вам несколько методов, как определить вирус или нет:
1) Большие кнопки - это первый знак, что вам подкидывают левую ссылку, но не бойтесь нажимать на них, они не смогут навредить вашему компьютеру, пока Вы сами не запустите какой нибудь .exe файл или скрипт.
2) Подозрительные ссылки на которые могут переносить эти кнопки с названием Скачать и т.д.
3) Редиректы, как на порносайтах. Если вас перекидывает от одной ссылке к другой, значит ничего не стоит качать и в вашем случае лучше просто найти другой ресурс на котором можно найти этот же файл.
4) Форматы файлов, а лучше HEX редактор. Помните, если вы ищите плагины, то форматы файлов не могут быть: .exe, .vbs, .js, (.rar.exe) и прочее, единственный формат для скомпилированных плагинов - это .amxx, для исходников: .txt, .sma, а для инклюдов: .inc
Есть еще много других знаков чтобы определить фейковую кнопку, но это со временем приходит
P.S. Так же есть сайты - майнеры, они запускают майнер через javascript, достаточно просто открыть сайт и он уже будет жрать ваши ресурсы железа, если вы видите что ваш комп загудел на каком либо сайте, то закрывайте вкладку и бегите с него. Так же, можно глянуть в диспетчере задач, использует ли сайт майнер напрямую через страницу сайта или нет (если процессор нагружен в диспетчере)

Кроме того, будьте осторожны, на .exe файл могут повесить иконку, как на архивах, а в расширении указать типа .rar.exe и если у вас скрыты расширения файлов, то ваш файл будет выглядеть типа так: plugin.rar, так как .exe скрывается настройками вашей винды, а в идеале файл будет иметь имя: plugin.rar.exe и вы тупо схаваете вирус. Лучший совет - использовать HEX редактор и смотреть заголовок, первые 4 байта скормленного HEX редактору файла). На исполняемых файлах обычно заголовок MZ, это значит формат файла .exe, и не важно как файл называется.


Теперь к делу, я естественно сначала забил, а потом подумал, интереса ради скачаю и гляну чё там, вдруг пи***ешь какой нибудь, а внутри .exe обычный рекламный установщик всяких Амиго, Ху*го, Ubar и прочего шлака, но на деле все куда серьезней.
Сразу скажу, делал эту шляпу явно не дошколёнок, который обитает на cs-amba, так как человек умеет работать с Mutex, с регистрацами, напрямую через библиотеки.

Короче, скачал я файл, внутри лежит обычный node.exe (нужен для запуска .js с винды, в нем ничего страшного нет само по себе, но он используется в качестве оружия для того чтобы заставить работать собственный .js файл)
Дальше есть файл .bin (обычный заархивированый файл, Winrar короче, просто переименован в .bin)
HEX редактор говорит, что это 7z архив, теперь мне понятно почему внутри папки есть еще файл 7za.exe, это типа портативного распаковщика для .bin файла
В общем, самое интересное - это .js файлы, процесс работы примерно такой:

Как только вы запускаете .exe файл, который выдает себя по имени нужного плагина, то произойдет распаковка .bin файла и запустится скорее всего .js файлы из .bin архива. Дальше пойдет расшифровка файла "codeX", который, как говорят .js файл, зашифрован обычным XOR, ключ которого слово "xor"
Я написал небольшой расшифратор для С++, кому интересно (путь к файлу указывать не требуется, байты файла CodeX уже занесены в массив байт:
Вы должны зарегистрироваться, чтобы видеть ссылки.

После расшифровки файла я получил еще один .js, вот что лежало в CodeX:
Вы должны зарегистрироваться, чтобы видеть ссылки.

Теперь немного инфы, после запуска того самого .exe всякий шлак добавляется в планировщик задач, ковыряется реестр путем вызова экспортируемых функции из библиотеки Advapi32, а в другой библиотеке kernel32 создается mutex.
В общем, там пингуется домен: Вы должны зарегистрироваться, чтобы видеть ссылки. (не реклама)
С этого же домена берутся команды с сервера и пихаются в реестр и в планировщик задач.
В общем, этот вирус сам по себе не вреден, но то что он пингует с сервера и качает с него - это уже может навредить вашему ПК. Другими словами, это бомба замедленного действия и никогда не знаешь, когда автор подкинет какой нибудь бинарник на свой сайт, а mutex, который встраивается в kernel32 захватит его и запустит.

Я не стал всё анализировать и вообще мне впадлу этим заниматься, но вердикт такой:
cs-amba стала помойкой для раздачи вирусов, я удивлен, что там не база ботнета собирается, но возможно так и есть, кто знает что там Админ вам пихнет.
Замешан во всём этом, как я выяснил, Админ под ником: kopkan
Этот идиот даже не догадывается, что уже нарушил более 3х статей УК РФ и первая же жалоба юзера может упрячь его тупую головушку за решетку.

Так что... не лезьте в эту помойку, да там часто сливают что-то годное для маслят, но в таком случае, проверяйте хотя бы расширение файлов, а если у вас не отображается расширение файла - погуглите как его включить.

Так же, Вы имеете полное право потребовать удалить ваш аккаунт с этого сайта, так как при регистрации соглашение на сайте вообще не указывается, а по закону "О персональных данных" Администратор обязан удалить ваш аккаунт и все данные о Вас, иначе ему пи++а, а соглашение там никако не указано. Скорее всего это соглашение введут на днях, так как мой аккаунт изначально kopkan не хотел удалять, пришлось ссылаться на закон, но так или иначе, если Вы зарегистрировались до введения соглашения, то это означает, что вы его не принимали, а значит имеете полное право потребовать удалить.
Надеюсь, этому парнишке не влетит от отдела K за его выходки, по крайней мере, мне на это по**й, я чисто из интереса глянул что там.
Ах да, еще мою тему об этом удалили с cs-amba, причем удалил тему никто иной, как админ "kopkan"
Эхх, парниша, тебе бы головушку свою в умные русла направить, а не на xyi-sosi-guboi-trisi.xyz сидеть :-)
Аватара пользователя
KOTOKU
 
Сообщения: 766
Зарегистрирован: 10 фев 2013, 00:53
Благодарил (а): 10 раз.
Поблагодарили: 117 раз.

Re: cs-amba распространяет вирусы

Сообщение Fedcomp » 22 янв 2019, 13:50

> писал профессионал
> js скрипты


> mutex в kernel32

Шо?? :ROFL:


У профессионала все это дерьмо будет одним бинарем идти, возможно модульным с подкачкой из инета. А это писал нуб который только в js и умеет.

Не понимаю причем тут жалобы и предложения, перенес в болталку.
Не помогаю в ЛС - есть форум.
Плагины тоже не пишу, на форуме достаточно хороших скриптеров.


"я ставлю зависимости потому что мне приятно" - subb98 @ 2017
Аватара пользователя
Fedcomp
Администратор
 
Сообщения: 4936
Зарегистрирован: 28 авг 2009, 20:47
Благодарил (а): 813 раз.
Поблагодарили: 1317 раз.
Языки программирования: =>
pawn / php / python / ruby
javascript / rust

Re: cs-amba распространяет вирусы

Сообщение MayroN » 22 янв 2019, 16:19

LeoBH мне уже писал по этому поводу.

У меня было так.Зашол с телефона,как незарег.
И ненажимая кнопку скачать,файл сам начал подгружаться на телефон.
Далее заметил,что опер.память снизилась после етого порядка на 150 мб.

Файл удалил,перезагрузил телефон и стало все нормой.

Непонятно,чем они там занимаються...

Ранее был другой Админ, Виктор Контроль,который продал сайт польз.ХР ,ну и потом начались эти все реформы/перевыборы
МультиМод CS
Аватара пользователя
MayroN
 
Сообщения: 673
Зарегистрирован: 10 окт 2010, 18:23
Откуда: Украина, г. Белая Церковь
Благодарил (а): 149 раз.
Поблагодарили: 86 раз.
Опыт программирования: Около года
Языки программирования: На которых говорю...

Re: cs-amba распространяет вирусы

Сообщение KOTOKU » 22 янв 2019, 21:29

Fedcomp писал(а):> писал профессионал
> js скрипты


> mutex в kernel32

Шо?? :ROFL:


У профессионала все это дерьмо будет одним бинарем идти, возможно модульным с подкачкой из инета. А это писал нуб который только в js и умеет.

Не понимаю причем тут жалобы и предложения, перенес в болталку.


Шо, шо, хэндлы в процессах создает, задавая им цикл с секундой сна
Одним бинаром оно идет потому что заксорено, походу париться не стал
Аватара пользователя
KOTOKU
 
Сообщения: 766
Зарегистрирован: 10 фев 2013, 00:53
Благодарил (а): 10 раз.
Поблагодарили: 117 раз.

Re: cs-amba распространяет вирусы

Сообщение Fedcomp » 23 янв 2019, 03:28

KOTOKU писал(а):Шо, шо, хэндлы в процессах создает, задавая им цикл с секундой сна

че? и причем тут мьютексы? слышал звон да не знаю где он? ))
Не помогаю в ЛС - есть форум.
Плагины тоже не пишу, на форуме достаточно хороших скриптеров.


"я ставлю зависимости потому что мне приятно" - subb98 @ 2017
Аватара пользователя
Fedcomp
Администратор
 
Сообщения: 4936
Зарегистрирован: 28 авг 2009, 20:47
Благодарил (а): 813 раз.
Поблагодарили: 1317 раз.
Языки программирования: =>
pawn / php / python / ruby
javascript / rust

Re: cs-amba распространяет вирусы

Сообщение KOTOKU » 23 янв 2019, 05:50

Fedcomp писал(а):
KOTOKU писал(а):Шо, шо, хэндлы в процессах создает, задавая им цикл с секундой сна

че? и причем тут мьютексы? слышал звон да не знаю где он? ))

:crazy: похоже на то, никаких циклов там нет, а таймер в классе, а мьтекс там чисто для синхрона походу :-|
Аватара пользователя
KOTOKU
 
Сообщения: 766
Зарегистрирован: 10 фев 2013, 00:53
Благодарил (а): 10 раз.
Поблагодарили: 117 раз.

Re: cs-amba распространяет вирусы

Сообщение Leo_[BH] » 24 янв 2019, 00:20

KOTOKU, cегодня кнопочку вирусную молча убрали с сайта... хотя нет, не молча. Администратор нашел гениальное оправдание, мол, один из пользователей сайта залил вирус майнер. Кхм, вот только ссылку на загрузку вируса как раз таки видели незарегистрированные пользователи на ВСЕХ страницах ВСЕХ материалов. kopkan свалил вину на первого встречного.


Внимание! Вредоносный сайт
Возможно, этот сайт взломан или содержит вредоносное ПО. Посещать его может быть опасно.
Opera Software настоятельно не рекомендует посещать эту страницу.

А это никак не связано с ресурсами на сайте, а проблема с сертификатом

Еще вопрос, за вирусом стоит как раз таки владелец ресурса cs-amba? Или близкий ему человек?
После предоставленных некоторых материалов, возникла теория


Я так понимаю, учитывая активность kopkan-а на форуме, он есть не только инициатором "партнерского предложение", но и управляющим на cs-amba, где и опробовал "свою систему".
Сохраняйте историю
Аватара пользователя
Leo_[BH]
 
Сообщения: 98
Зарегистрирован: 06 апр 2014, 17:51
Откуда: UA
Благодарил (а): 9 раз.
Поблагодарили: 30 раз.
Опыт программирования: Больше трех лет

Re: cs-amba распространяет вирусы

Сообщение MayroN » 29 янв 2019, 04:04

Еще и позавчера кто то массово поудалял много юзеров зареганых с сайта.
МультиМод CS
Аватара пользователя
MayroN
 
Сообщения: 673
Зарегистрирован: 10 окт 2010, 18:23
Откуда: Украина, г. Белая Церковь
Благодарил (а): 149 раз.
Поблагодарили: 86 раз.
Опыт программирования: Около года
Языки программирования: На которых говорю...

Re: cs-amba распространяет вирусы

Сообщение Leo_[BH] » 09 мар 2020, 16:38

Сегодня мне в поиске попалась пару сайтов. Пришлось вспомнить о этой теме. Но теперь уже написать о Вы должны зарегистрироваться, чтобы видеть ссылки..

Знаете что общего в сайтах proplaying(.)ru и cs-amba(.)ru ? То, что оба эти сайта ведут куда-то на d-mr(.)ru где вы себе загружаете вместо полезного файла "кексик". Да, именно кексик. Вот такой красивенький сладенький вирус. Я не экспериментировал со своим ПК и не кормил его этой ядовитой вкусняшкой, но с учётом разбора KOTOKU, оно сделает с вашего компа любой расходный ресурс, угодный вирусу, не только майнер, но и часть ботнета.



6f7e72f196221b5d1dce1848d42db3ce0ddaf217654de53f44147a3d5f084e9f



Попадаются же сладкие трояны в поиске...
Сохраняйте историю
Аватара пользователя
Leo_[BH]
 
Сообщения: 98
Зарегистрирован: 06 апр 2014, 17:51
Откуда: UA
Благодарил (а): 9 раз.
Поблагодарили: 30 раз.
Опыт программирования: Больше трех лет

Re: cs-amba распространяет вирусы

Сообщение MayroN » 10 мар 2020, 19:57

"гомнамба" уже давно умер,как только поменялся новый админ.
Как только мои слова увидели в чате - сразу убрали с сайта
МультиМод CS
Аватара пользователя
MayroN
 
Сообщения: 673
Зарегистрирован: 10 окт 2010, 18:23
Откуда: Украина, г. Белая Церковь
Благодарил (а): 149 раз.
Поблагодарили: 86 раз.
Опыт программирования: Около года
Языки программирования: На которых говорю...

След.

Вернуться в Болтовня

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 4