Sidebar

Вирус распространяется через Counter Strike

  • Раздел «On-Line» — часть данного форума, поэтому следует руководствоваться в первую очередь [URL=/threads/pravila-foruma.17042/]Правилами Форума[/URL] при написании сообщений и создании тем. Помимо этого, есть особые пункты настоящего раздела.

    0. Для чего нужен настоящий раздел? Для того, чтобы форумчане могли ознакомиться с интересными сайтами и онлайн-сервисами в безграничных просторах интернетов, похвастаться своими домашними страничками, обсудить нюансы создания сайтов.

    1. Корректно называйте тему: указывайте адрес сайта в названии темы, либо пишите чья же это домашняя страница (HP).

    2. Прежде чем создавать тему, воспользуйтесь поиском. Вполне возможно, что интересующий вас сайт уже обсуждался. В таком случае, свои мысли нужно писать именно туда, а не плодить одинаковые темы. Дельные сообщения для поднятия старых тем не запрещены. Бесполезные же запрещены и в новых темах. Убедившись в отсутствии темы, смело создавайте свою.

    3. Запрещается обсуждение взлома паролей почты, форумов, других подобных сервисов.

    4.2 В настоящем разделе действует особое правило «4.2». Запрещены сообщения, содержащие вызывающе неверную либо вызывающе неверно интерпретированную информацию, способную привести к развитию нездоровой дискуссии. Мы уважаем чужое мнение, но оставляем за собой право удалять сообщения, безаппеляционно сообщающие вызывающе неверные факты.

ИндеецДжо

New member
12.06.10
28
0
0
Вирус распространяется через Counter Strike

Внимание!

может тема и баян но тут об этом ничего не видел.
Сегодня у себя в локальной сети (домашний интернет)
обнаружил странный CS сервер (в контре на LAN)
при каждом обновлении информации имя, карта, количество игроков меняется. Ники напоминают ботов.
При попытке подключения идет редирект на другой сервер, а там в MOTD в экране прииветствия в HTML встроен какой-то код візівающий сворачивание контры, открытие нового окна Internet Explorer и загрузку exe файла.

Может быть что этот файл запускается автоматически - НЕ ЗНАЮ, у меня закачка перехвачена Orbit Downloader'ом и ничего не запустилось.

Будьте осторожны.
 

NarutoUA

Хокаге
17.11.10
951
27
28
28
Ukraine
Ети твои сервера в LAN это результат проги CS Server, которая создает в ЛАН сети фейковые сервера и при подключении перебрасывает на опредиленный сервер. Так сказать самореклама. А то что в motd окне качает вирус то это такой сервер. Вывод - искать человека который использует программу CS Server и навалять ему. И да, если онлайн на серве высокий значит мал шанс что это вирус, возможно античит. А если 0 то да опасность есть.
 

Sadi

Шестиструнный Самурай
17.06.05
3 105
40
22
0
  • Спец медаль MC
  • Золотая медаль 221
  • Бронзовая медаль 211
это HL server, замаскированный под "прогу раскрутки" вирус, с помощью которого был создан огромный ботнет
 

GizmoN

New member
18.06.10
1 267
48
Это не вирус а плагин просто перетранслирует и все.
Вирус оприори не сможет по пакетам каонтровских файлов передаваться.
Я писал такие плагины на серваки если сервак переполнен то автоматом перенаправляет на другой сервак автора.
Открыть можно любой сайт при загрудке сервака, а вот что на сайте вот тут может быть вирус но скорее всего он будет подгружен под форматом pdf. Ограничьте себя от этого используя поисковик там много про это есть. Или как вариант поставте нормальный антивирь и все.
 

Sadi

Шестиструнный Самурай
17.06.05
3 105
40
22
0
  • Спец медаль MC
  • Золотая медаль 221
  • Бронзовая медаль 211
2 GizmoN:
не о том речь сейчас
а об этой туфте
 

GizmoN

New member
18.06.10
1 267
48
Кстати так можно впринципе намутить и заполнение формы и ваш акаунт улетит )))
Но от этого спасет только антивирь инет секурити касперского 2011.
 

ИндеецДжо

New member
12.06.10
28
0
0
Файл мне пришел Adminka_CS.exe 1.98 Мб
я его не запускал
Внутри установщик "Установка Adminka 1.0.0.3" сделанный в "Smart Install Maker v. 5.03"

софт инсталлирует файлы

Uninstall.exe
sfu.exe
LSA_W.exe
ih.exe
Adminka.exe

из Ваших сообщений ничего не понял. Это все таки вирус или это фейковый сервер типа дохлого Fakehlds.com ?
Антивирь не ругается.
Если это просто фейк-сервер то его можно использовать для раскрутки своего сервера.

если онлайн на серве высокий
человек 10 все в спекаторах как и я потому как свернулась контра на закачку виря до выбора тима. После этого с серва идет куда-то еще перенаправление, лично у меня просто кс вылетел
 

GizmoN

New member
18.06.10
1 267
48
ИндеецДжо сказав(ла):
Файл мне пришел Adminka_CS.exe 1.98 Мб
я его не запускал
Внутри установщик "Установка Adminka 1.0.0.3" сделанный в "Smart Install Maker v. 5.03"

софт инсталлирует файлы

Uninstall.exe
sfu.exe
LSA_W.exe
ih.exe
Adminka.exe

из Ваших сообщений ничего не понял. Это все таки вирус или это фейковый сервер типа дохлого Fakehlds.com ?
Антивирь не ругается.
Если это просто фейк-сервер то его можно использовать для раскрутки своего сервера.


человек 10 все в спекаторах как и я потому как свернулась контра на закачку виря до выбора тима. После этого с серва идет куда-то еще перенаправление, лично у меня просто кс вылетел
Если есть Uninstall.exe, значит должен быть и Uninstall.ini
Открой его блокнотом и проверь какие еще файлы инсталировались.
 

BumbleBee]=}

New member
06.12.09
553
18
0
Можно ли сделать так, чтоб такие сервера поисковик в контре не искал? =о.О= то уже запарили дальше некуда =*(
 

ИндеецДжо

New member
12.06.10
28
0
0
Нельзя. Такие сервера можно отделить только по рандомному названию и карте при каждом TSourceQuery, что контра не умеет.

Если есть Uninstall.exe, значит должен быть и Uninstall.ini
да, есть, я его пропустил.
Смотрел в хвосте EXE по смещению конца всех секций. Там идет список файлов, стандартные фразы инсталлера и данные, которые либо проксорены либо упакованы и проксорены - расшифровать у меня ума не хватает.
Если завтра будет нечего делать поставлю виртуальную машину и запущу ради интереса.

А вообще смотрю по сайтам прога HLServer с кучей положительных отзывов, на вид аналог румынского fakehlds который перестал работать некоторое время назад. Кто-нибудь ее юзал для раскрутки серверов? я имею в виду версию из оф.источников а не склеенную с вирусами?
 

NarutoUA

Хокаге
17.11.10
951
27
28
28
Ukraine
У меня такая же шняка, тоесть левые сервера которые меняютса каждую секунду. И это у всех в городе (ну тоесть у кого сеть с провайдером ) У меня версия что это ктото делает из моего города, ( я не знаю точно передается ета хрень на другие сети, тоесть ктото запустил прогу в моске и в Украине гдето в селе в ЛАНЕ тоже показывает сервера) Кароче все ето муть, так как я по ЛАНу редко играю, да и если играю у нас тупо напустой карта afk_6killer ( загуглите и посмотрите как можно играть в такой ужас больше года )
 

Sadi

Шестиструнный Самурай
17.06.05
3 105
40
22
0
  • Спец медаль MC
  • Золотая медаль 221
  • Бронзовая медаль 211
ИндеецДжо сказав(ла):
я имею в виду версию из оф.источников а не склеенную с вирусами?
lol. Официальная приватная версия и есть вирус, товарищ ratwayer изначально планировал создание ботнета с помощью этой программы. Толк от программы конечно кое-какой был, даже не смотря на вредоносность, но до тех пор пока приват версия не утекла в паблик. В итоге мастерсервера зафлудились сотнями тысяч фейковых серверов.
 

HeMe3iC

:(
03.09.07
3 263
34
48
Питер
не вдаваясь тему просто скажу так, в тф2(да, это сорс) можно открывать веб страницу в МОТД окне клиента без его ведома(например открывать страничку с музыкальным флешплеером, и тогда у клиента будет играть музыка, но само окошко не откроется, и что ыб музыку остановить, придется ввести в консоль "motd" что бы открыть дефолтную МОТД-страницу сервера) не знаю, позволяет ли это както нагадить клиенту, ибо в этом не шибко разбираюсь, но всеже. Кстати вопрос к знающим, можно ли?
 

Templer

New member
17.10.10
384
34
3
0
ставь у файла motd.txt атрибут только для чтения и в автоэгзеце пропиши "motd motd.txt" (вроде так)
 

HeMe3iC

:(
03.09.07
3 263
34
48
Питер
как я уже сказал, если такое можно провернуть в сорце то вполне и в голдсорсе(кстати о каком движке то речь) и по сути меняется не МОТД.тхт, а просто там, куда загружается обычно МОТД, плагином открывается веб-страница, без какого либо изменения motd.txt. можно спокойно отключить мотд целиком в опциях, если уж на то пошло(в сорсе cl_disablemotd 1 вроде)
 

ИндеецДжо

New member
12.06.10
28
0
0
ставь у файла motd.txt атрибут только для чтения
я всегда думал что нормальному софту наплевать на только чтение, он все равно запишет если захочет, а не вылетет с ошибкой. А вирусы тем более.

2 Sadist.exe:
lol. Официальная приватная версия и есть вирус, товарищ ratwayer изначально планировал создание ботнета
весело. и паблик-версия тем более.
А откуда информация и почему антивирусы его до сих пор не определяют?
Я уже читал про функцию слива файла фейк-сервером (когда он аську у барыги угнал) но насколько я понимаю этим функционалом обладает и hlds и cs клиент.
т.е. кроме серверов которые эта чудо-прога создает для того кто ее запустил есть еще сервера, которые скрыто создаются исключительно для ratwayer'a?
 

BennyBlanco

Energie
25.05.08
4 899
16
68
0
Sumy
Я нихрена не понял о чём речь, ребята, какая опасность, какие вирусы? :spy:
 

Sadi

Шестиструнный Самурай
17.06.05
3 105
40
22
0
  • Спец медаль MC
  • Золотая медаль 221
  • Бронзовая медаль 211
Пользователти Hlserver - жертвы, на чьи компьютеры попала скрытая программа\вирус, позволяющая злоумышленнику выполнять практически любые действия (обычно через команды IRC-чата) с использованием ресурсов заражённого компьютера. Таким образом, появилась целая сеть зараженных машин, скрыто служащих хозяину программы. Это и есть ботнет. Для чего? Да для чего угодно. Перебор паролей, рассылка спама, всевозможных атак с машин пользователей т .д.
 

ИндеецДжо

New member
12.06.10
28
0
0
Мда, вроде шумиха была еще в феврале а я об этом ничего не слышал...

Описание процесса http://c-s.net.ua/forum/topic28725.html
http://forum.antichat.ru/thread287765.html
Видео http://www.youtube.com/watch?v=b_CIJ2y0_WI

Я нихрена не понял о чём речь, ребята, какая опасность, какие вирусы?
Левые или зараженные сервера в поиске, при заходе в окне приветствия вылазит закачка файла - там вирус. Если видишь - отменяй закачку и сервер фтопку. А лучше всего дружно запрезаем доступ IE в сеть на уровне firewall + ставим менеджер закачек на перехват всех закачек из IE - мне помог Orbit Downloader хотя не думаю что это принципиально.
А также нельзя пользоваться Hlserver, HLProxy и прочим левым софтом.

"Профессор конечно лопух, за идею 5 за реализацию 2". (С)
Вот такие же *удаки когда-то убили IRC а теперь своими действиями ставят под угрозу существование серверов CS 1.6

P.S. тот комп из сети уже пропал чел пошел спать. Поэтому IP серва которій раздает вирус у меня не сохранился. Зато есть адрес сайта с которого шла закачка - завтра админам напишу.
 
Останнє редагування:

shoop

New member
05.02.11
567
31
Схоже с плагином типа супер бан который кидает фаил в систему и говорит что банит по компу :D
Темболее в motd легко всунуть чё хочешь что бы скачивалось :D
 

Game Server

Доноры Красавчики

Користувачі онлайн