Analiza pliku...

B

beamer

Użytkownik
Dołączył
Maj 22, 2004
Posty
144
Witam. Nie wiem czy trafiłem w kategorię ale nie miałem pewności gdzie można przyporządkować taki problem.. Otóż ostatnio ściągnąłem z ciekawości (tylko z ciekawości bo mam własnego) bota do pewnej gry (prisonwars.pl) celem sprawdzenia. Skanowania itp nic nie wykazały jednak po odpaleniu...można się domyślić nic przyjemnego się nie wydarzyło ;/ Jakby jeszcze dekompilator autoit rozrzucił mi to na części pierwsze to dalej nie byłoby problemu ze sprawdzeniem jak ten shit działa i co robi ale niestety z dekompilatorem są problemy... Tutaj plik, o którym mowa: http://www.speedyshare.com/files/19467496/prisonwars-bot.exe (ostrzegam, że może mieć szkodliwe działanie). Wiem tylko, że jest spakowany UPX'em, dodaje wpis do pliku hosts i...czyści konto w grze ;/ Ale nie wiem czy wysyłając dane logowania do twórcy czy sam z automatu wszystko robi..
Proszę o pomoc w miarę możliwości (być może twórcą jest ktoś z forum) i pozdrawiam.

Dołączam jeszcze dekompilator jaki znalazłem: http://myauttoexe.angelfire.com/myAutToExe2_09_AutoIt3_Decompiler_opensource.zip
 
K

KangurX

Użytkownik
Dołączył
Lipiec 4, 2008
Posty
281
jak dodaje cos do hosts to pewnie robi przekierowanie ze strony logowania na jego serwer ;] i to sie nazywa phishing

//Jak wysyla dane do tworcy?
 
B

beamer

Użytkownik
Dołączył
Maj 22, 2004
Posty
144
KangurX napisał:
jak dodaje cos do hosts to pewnie robi przekierowanie ze strony logowania na jego serwer ;] i to sie nazywa phishing

//Jak wysyla dane do tworcy?
Kliknij aby rozwinąć...

Ja pierdacze coś mi się chyba wali we łbie, że nie skojarzyłem tego z phishingiem Z tym, że pod tym "przekierowaniem" nic nie ma (błąd serwera) co nie znaczy, że nie było zaraz po odpaleniu tego shitu ;/ wrr

Z tym wysyłaniem to nie wiem, takie domniemanie pomimo, iż niczego podejrzanego nie znalazłem w ruchu sieciowym... ehh dzięki za odpowiedź - problem częściowo rozwiązany chociaż nie wiem czy ten "bot" nie robi czegoś jeszcze...

Pozdrawiam
 
cyber_pl

cyber_pl

Użytkownik
Dołączył
Wrzesień 30, 2009
Posty
187
beamer napisał:
Ale nie wiem czy wysyłając dane logowania do twórcy czy sam z automatu wszystko robi..
Proszę o pomoc w miarę możliwości (być może twórcą jest ktoś z forum) i pozdrawiam.
Kliknij aby rozwinąć...

The file has been deleted, there is no way to restore it back,
the deletion is permanent, the file is lost forever.
Kliknij aby rozwinąć...

Przydalo by sie zrobic reupload etc.

Jak zostal spakowany upxem to mozna spokojnie diasemblowac kod sekcji programu i dowiedziec sie co konkretnie autor chcial zrobic.

Jesli program nie wazy wiecej jak 100KB moge dokonac powierzchownej jego analizy (no wazne zeby niebyl pisany dla platformy .NET bo niechce mi sie grzebac w metodach asemblujacych).
 
You must log in or register to reply here.
Do góry Bottom