Вирусный сервер?

Тема в разделе "Всякое", создана пользователем Hejter, 9 сен 2015.

  1. Hejter

    Hejter Mapper Source Engine

    Сообщения:
    1.771
    Симпатии:
    259
    Добавился ко мне человек и пишет "Не хочешь быть у нас админом, за 200р в день и пишет пошли в скайп.", дальше он кидает мне IP : Оффтоп , захожу на сервер (игра CSGO), и качается файл в большом размере под названием AdminUser.zip, куда такой файл мог скачаться? Я загрузку отменил на 5% и что он в себе несет?
    Быстрой скачки файлов у них нет (FastDL).
     
  2. R1KO

    R1KO Супер-модератор

    Сообщения:
    6.005
    Симпатии:
    2.994
    Hejter, поиск файлов в папке клиента по дате изменения/содания попробуй
     
  3. Hejter

    Hejter Mapper Source Engine

    Сообщения:
    1.771
    Симпатии:
    259
    Пусто.
     
  4. Саша Шеин

    Саша Шеин

    Сообщения:
    1.258
    Симпатии:
    191
    в консольке глянь там путь будет(скорее всего).
     
  5. Hejter

    Hejter Mapper Source Engine

    Сообщения:
    1.771
    Симпатии:
    259
    Пусто. Зайди сам проверь)
     
  6. Tallanvor

    Tallanvor Красноглазый

    Сообщения:
    1.107
    Симпатии:
    317
    Ну вот, собственно, и этот архив.
    Проверять не стал, виртуалки под руками нет:-D
     

    Вложения:

    • adminuser.zip
      Размер файла:
      2,9 МБ
      Просмотров:
      34
  7. Tallanvor

    Tallanvor Красноглазый

    Сообщения:
    1.107
    Симпатии:
    317
    Вот что антивирь грит на экзешник:
     
  8. KorDen

    KorDen Atra esterní ono thelduin!

    Сообщения:
    2.194
    Симпатии:
    1.398
    Вообще, был шум про уязвимость системы загрузки файлов, но она вроде только к CS:S, DoD:S, HL2:DM и модам на SourceSDK 2013 относится, в CSGO и TF2 вроде исправлено уже давно...
     
  9. Саша Шеин

    Саша Шеин

    Сообщения:
    1.258
    Симпатии:
    191
    Нет не исправлена. А про ксс говорили не про это а про то что можно было скачать с сервера любой файл (даже плагин)
     
  10. KorDen

    KorDen Atra esterní ono thelduin!

    Сообщения:
    2.194
    Симпатии:
    1.398
    Саша Шеин, в Source 2013 сейчас имеется уязвимость типа Remote Code Execution, связанная со спреями, и позволяющая запустить на клиенте любой код по сути. В TF2 она исправлена, в CSGO спреев нет.
    Про уязвимость с загрузками в CSGO, позволяющую запустить что-либо, вроде не слышал, возможно там баг со скачкой только (можно скачать что угодно), но не в курсе
     
  11. Саша Шеин

    Саша Шеин

    Сообщения:
    1.258
    Симпатии:
    191
    KorDen, а что можете сказать про CSS OB? Как такое проворачивают? (Сам убедился что это прпвда, но как мне не сказали)
     
  12. Hejter

    Hejter Mapper Source Engine

    Сообщения:
    1.771
    Симпатии:
    259
    Как достал?
     
  13. MFS

    MFS

    Сообщения:
    1.310
    Симпатии:
    537
    Последнее редактирование: 10 сен 2015
  14. Tallanvor

    Tallanvor Красноглазый

    Сообщения:
    1.107
    Симпатии:
    317
    Зашёл на этот сервак, и сразу disconnect в консоли, как ток докачался архив :)
     
  15. DarklSide

    DarklSide

    Сообщения:
    685
    Симпатии:
    173
    При включении программы имеет направление исходщего соеденения по tcp:

    178.63.151.224:80
    31.220.16.247:80

    Изеняет файл hosts:
    PHP:
    127.0.0.1   www.yandex.ua
    127.0.0.1   www
    .yandex.ru
    127.0.0.1   www
    .google.ru
    127.0.0.1   www
    .google.com
    127.0.0.1   www
    .ya.ru
    127.0.0.1   mail
    .ua
    127.0.0.1   mail
    .ru
    127.0.0.1   steampowered
    .com
    127.0.0.1   steamcommunity
    .com
    127.0.0.1   www
    .google.com.ua
    127.0.0.1   store
    .steampowered.com
    127.0.0.1   youtube
    .com
    127.0.0.1   yahoo
    .com
    127.0.0.1   live
    .com
    127.0.0.1   rambler
    .ru
    127.0.0.1   gmail
    .com
    127.0.0.1   yahoo
    .com
    Изменяет реестр - блокирует диспетчер задач.
    Копирует себя в папку steam, меняет название с serveruser.exe -> steam.exe (замена), меняет статус запуска клиента от имени адинистратора.

    После программа должна иметь идентичный вид входа клиента в steam. (Ввод логин/пасс, воостановление/создание аккаунта).

    После ввода данных аккаунта, отправляются по tсp на 104.74.84.127:443.

    P.S.: Легкое решение: использовать HIPS антивируса, не добавлять в исключение проверку в реальном времени - папку с онлайн играми (steam).

    Даже, если антивирус пропустил (нет в базе или не использовать HIPS) последним шансом не передать свои данные,

    a. - UAC (контроль учетных записей) в режиме настройки по умолчанию, при запуске клиента Steam будет уведомление, что steam.exe был скачан с интеренета и требует повышенные права.
    b. - Блокировать/уведомить (для обновления) изменение файла запуска клиента.


    Мне не известно, как он обходит систему Guard или двухэтапную аутентификацию, т.к. в коде ничего подобного не нашел и не пытался. Для этого не нужно попытаться передать данные мыла, или открывать левые проги/страницы на смартфоне/планшете.