Dzisiejsza historia całkowicie z życia pobrana, przydarzyła się jednemu z naszych czytelników. W znacznej części treść dzisiejszego wpisu będzie przytoczona z e-maila od osobnika o xywce blejz, a część natomiast jak zawsze zmyślę ja. Na początek morał, dla czytelników blogów, którzy potrafią zaangażować się w przeczytanie jedynie pierwszych kilku zdań: „Jak się okazuje, nawet teoretycznie bezpieczne i sprawdzone źrodło może okazać się spalone czy jak to się mówi po angielsku: compromised…” Blejz chciał przetestować swój komputer pod kątem wydajności wyświetlania grafiki w grze Mercenaries 2. Za pomocą protokołu BitTorrent pobrał cracka do gry tejże z następującego pakietu: Mercenaries.2.World.In.Flames.Crackfix-RELOADED (z PolishTrackera ale obecny także na mininovie).
Plik Rozmiar
– reloaded.nfo, 3 419
– rld-mr2f.rar, 8 300 917
– rld-mr2f.sfv, 23
Po rozpakowaniu pliku .rar, znajdujemy właściwy crack – Mercenaries2.exe, 53 482 288
Uruchomił grę i w trakcie ładowania pierwszej mapy (tudzież intro), Comodo Firewall Pro zaatakował (przerywając grę) go komunikatem, że plik Mercenaries2.exe tworzy dodatkowe pliki w:
C:\Document and Settings\Administrator\Ustawienia lokalne\Temp.
Crack skopiował się pod nazwą install6149.exe (406 910) do tego katalogu oraz utworzył pliki:
– F8CF33AD986170E3D24561D4B8B8D76B.EXE, 294 400
– C0CA437737654CA667038D6B2C1B5D1E.EXE, 3 584
– C907D7A30E7D43AFD00202154480A33A.EXE, 13 312
oraz a00619.bat
(było widać uruchomione normalne czarne okno Windowsowej konsoli cmd).
Zawartość pliku .bat -blejz- umieścił pod adresem: http://pastebin.pl/2488
„Jak widać program próbuje ściągnąć (jeden z tych plików exe to zwyczajny wget),
a następnie rozpakować i uruchomić plik z adresu:
hXXp://codecbase.net/affiliate/549683/ad4vp.php,
który przekierowuje na:
hXXp://softwareportal2008.com/soft/zpfgspbgbrc/8ef4b67e0/Setup_ver1.1608.0.exe
Domena softwareportal2008.com zarejestrowana 05.09.2008, tj. praktycznie w dniu wydania gry przez RELOADED
(Mercenaries.2.World.In.Flames-RELOADED przed 2008-09-04 23:52:18),
Wejście na stronę główną dają adres serwera:
obie domeny zarejestrowane na rosyjskie nazwiska/firmy.
Tak, zgrubsza, opisałem tę historie w dniu złapania pasożyta. Tak jak pisałem, potem poszukałem w Google tych plików EXE i co się okazało – te długie nazwy nie były wygenerowane przypadkowo!
http://www.google.com/search?q=C0CA437737654CA667038D6B2C1B5D1E.EXE
http://www.google.com/search?q=C907D7A30E7D43AFD00202154480A33A.EXE
http://www.google.com/search?q=F8CF33AD986170E3D24561D4B8B8D76B.EXE
Trochę informacji można znaleźć, sprawa nie jest nowa, zmieniają się tylko linki do ściąganego pliku. Wobec powyższego, bezsensowna wydaje się dalsza samodzielna analiza, natomiast wciąż pozostaje kwestia pochodzenia – wręcz niewiarygodne wydaje się, żeby grupa RELOADED (jest to grupa znana ze swych bardzo dobrych jakościowo wydań) specjalnie przygotowała taką niespodziankę. Jednak zrzut ekranu, który wykonałem potwierdza chyba „moją” wersję:
– u góry oryginalny plik cracka, na dole 2 utworzone przez niego pliki
„install****.exe”.
”
Ja od siebie mogę dodać, że możliwości jest kilka. Po pierwsze mimo dość zamkniętego środowiska jakim są tego typu grupy, ktoś (znajomy znajomego) być może ma szybszy dostęp do pojawiającego sie Cracka i przesyła/sprzedaje go do ludzi zainteresowanych tego typu procederami, którzy wykorzystują „markę” grupy RELOADED.
Po drugie oczywiście możemy zakładać, że któryś z członków grupy potajemnie tworzy takie kwiatki lub po prostu (w co jednak wątpię) grupa podjęła taką, a nie inną decyzję o dorobieniu do kredytów mieszkaniowych ;]
Całkiem już hardcorowym pomysłem jest idea, w której jeden z członków został potajemnie zaatakowany przez przestępców i nawet nie wiedział/wie, że przyczynia się do szerzenia ZŁA. W sumie nie ma pewności, że plik pochodzi od grupy…
Jeśli ktoś bliżej zna kogoś z grupy i może zagaić – niczym śledczy brukowca – chętnie poznamy sprawę…
Swoją drogą bardzo dziękuje blejzowi za zaangażowanie, szczegółową analizę i list. Oby więcej takich kwiatków od Was przychodziło :}
Jeden komentarz do
15 września, 2008 o godzinie 10:06
Pobieranie release’ow z torrentow nie moze byc podstawa do oceny jakosci grupy. Kazdy mogl to wystawic i zmodyfikowac dziesiatki razy.