Forum Index > Chat > "Hacker" pe TMD fură date Steam

#0 by varrus (Uploader) (0 mesaje) at 2016-09-03 15:04:31 (429 săptămâni în urmă) - [Link]Top
Am depistat așa un "hacker" pe TMD - xmen1978 https://torrentsmd.com/userdetails.php?id=508849
care a încărcat torrentul Новый Comedy Club [02/09] [2016 / HDTVRip] https://torrentsmd.com/details.php?id=1502685
Acesta conține fișierul Comedy.club.(02.09.2016).XviD.SATRip.BigFANGroup.HD‮iva.SCR
Care are extensia .scr, nu .avi cum pare la prima vedere, adică executabil, fiind folosit pentru asta trucul RTLO - https://blog.malwarebytes.com/cybercrime/2014/01/the-rtlo-method/ https://habrahabr.ru/post/126198/
Conținutul torrentului:
 

Pentru a vă convinge - redenumiți vreun fișier + extensia sa cu acest text, copiindu-l de aici: Comedy.club.(02.09.2016).XviD.SATRip.BigFANGroup.HD‮iva.SCR

Acest executabil extrage emisiunea în mapa %temp% și o deschide, astfel încât mulți utilizatori nu vor observa nimic suspect. Însă alături mai extrage, evident, un troian: DllWinHost.exe

 
https://virustotal.com/en/file/d9e938885f486642fff8abf8636f46ada850650f5783c5c41149c194a217079f/analysis/1472898697/
Dropperul DllWinHost.exe este asociat cu furtul de date Steam: http://www.virusradar.com/en/MSIL_Steamazo.B/description

.SCR creează un task în Task Scheduler:
 

DllWinHost creează mapa %appdata%/MetaData și descarcă acolo ToR, și prin ToR descarcă alt executabil - sys6ntSmSc.exe
Asta se vede și în codul-sursă obținut prin deobfuscare și decompilare:
 
 
 
 

Deja sys6ntSmSc.exe fură date Steam; presupun că fură și parole, cookies din browsere, mesajele Skype, etc.
La emailul meu deocamdată doar ESET a reacționat și a recunoscut sys6ntSmSc.exe ca malware:
https://virustotal.com/en/file/0623d821d59c0da526cce21189da286d57dd5372b4666171832b18c7b6241763/analysis/1472898724/
Conform ESET http://www.virusradar.com/en/MSIL_Stimilik.H/description :
The trojan gathers information related to STEAM
It may perform the following actions:
- download files from a remote computer and/or the Internet
- run executable files
The trojan is able to trade game items without the user's knowledge.


Ar fi binevenit administrația să dea IP ban acestui individ și să șteargă + să facă publice toate conturile asociate cu IP-ul său.
Utilizatorii afectați are trebui să schimbe parolele, să facă un scan cu MBAM, Hitman Pro și să șteargă manual mapa ascună %appdata%/MetaData


Mesaj util ?   Da   16 puncte

1
<< Precedenta      Următoarea >>

#1 by $anek (IT'S REKT O'CLOCK) (3 mesaje) at 2016-09-03 15:08:40 (429 săptămâni în urmă) - [Link]Top
REKT


Mesaj util ?   Da   0 puncte

1
<< Precedenta      Următoarea >>

Forum Index > Chat > "Hacker" pe TMD fură date Steam

Această temă este închisă. Nu puteţi posta mesaje noi.


Navigare rapidă:


Comunitatea digitală din Moldova. Să adunăm și să organizăm conținutul autohton de pe întreg internet pe un singur site web.