DDOS в модах, создание организованной преступной группы и бездействие Wargaming

[MDMA 0]

Решил более подробно рассказать что происходит в преступной жизни игры WorldOfTanks

 

Сейчас в модах ситуация такова что ставя любой мод нельзя гарантировать что он не вскрыт и в него не добавлен ддос с троянами.

 

Расскажу на примере мода простреливаемые объекты:

В общем в почти во всех модах от мододела Стелза зашит ддос и троянизация компьютера.

Поддержку с доменами а также помощь в написании кодов осуществляет PolarFox и Lelicopter, создание троянизирующих компьютер DDL зашитых в тундре от DrWeber кто там её делает DrWeber или Makct.

Ну начнём описание, запуск мода..

Варгеминг не смогло в блокировку баннеров в ангаре, поэтому патчат игру и докачивают специальный ключ и сторонние модули чтобы разблокировать затрояненному моду выход в интернет в ангаре. Кстати этот IP адрес на скрине принадлежит домену mods2all.com владелец которого PolarFox и кстати тундра DrWeber также на него отправляет и качает сомнительные данные.

 

Далее качается специально написанная DDL которая устанавливается на компьютер для ддоса и воровства паролей. WotZone тоже домен записан на PolarFox

 

 

Как мод установил троян и открыл себе интернет это Stealthz кажется малым и мод начинает ддосить по скриптам сайт мододела который не сунет и не добавляем всякие гадости в моды.

 

 

И опять же мало, нужно проконтролировать и вообще оставить какой либо сайт нерабочим поэтому мод ддосит не только по домену но и по IP адресу..

Выше код позволяет не прописывать 127.0.0.1 в файл host чтобы обращаться по IP на прямую.

 

Теперь представьте что происходит с сайтом если таких затрояненых компьютеров тысячи и сколько паролей к аккаунтам у жертв украдено?

Что можно сказать, преступная группа - вероятно сроки большие.. Не знаю как там сейчас на украине, может PolarFox и выкрутиться а вот Стелз наврятли если будет заведено уголовное дело.. 

Также нельзя упомянуть компанию Wargaming о её бездействии когда такое происходит. Очень большие надежды что компания Wargaming отреагирует на это, полностью декомпелирует мод и начнёт делать игру безопасней для людей.

 

 

Сиё доказательство в архиве:

 

 

 

mod_garbageSuppressor.zip

Edited February 5, 2019 by MDMA

[spoter 1,178]

Ниразу такого не было и вот опять!

Весна скоро.

[kripton50 4]

Совсем оборзели!!! Они деньги зарабатывают, а пользователи себе компы палят процессом сотни открытий рекламы и ддоса!

а еще их шестерки такие как Лом666 зная об этой рекламе и ддосе себе в модпак пихают эту заразу и помогают распростронять!

[StranikS_Scan 3,776]

3 часа назад, MDMA сказал:

и мод начинает ддосить по скриптам сайт мододела который

 

[spoter 1,178]

[Polyacov_Yury 1,462]

Nопик вот этот... Афигительнейший анализ (от слов анал и лизать) даже не дизассемблированного кода от человека, который в кодинге не разбирается.

Цитата

И опять же мало, нужно проконтролировать и вообще оставить какой либо сайт нерабочим поэтому мод ддосит не только по домену но и по IP адресу..

Выше код позволяет не прописывать 127.0.0.1 в файл host чтобы обращаться по IP на прямую.

127.0.0.1 это сраный локалхост. Это IP, по которому комп может обратиться к самому себе по тем или иным причинам.
Обведенная рамочкой функция, если я все правильно вижу, принимает на вход url и проверяет, не ссылается ли этот url часом на localhost при помощи вызова gethostbyname.

Название isLocalHost как бы намекает.

Цитата

Варгеминг не смогло в блокировку баннеров в ангаре, поэтому патчат игру и докачивают специальный ключ и сторонние модули чтобы разблокировать затрояненному моду выход в интернет в ангаре.

Начнем с того, что картошкин вайтлист работает только на их же встроенный WebBrowser, а на вызовы из модулей вроде urllib2 не влияет никак. Это раз.
В коде, кстати, написан urllib. Который либо используется либо для собственно скачивания данных, и если так, то автор идиот (пользуйтесь urllib2, работяги), либо же - для urllib.urlencode, которая просто-напросто превращает питоновский dict в закодированную в понятный для http-сервера формат строку. Это два.
Вышеупомянутый белый список был выключен практически сразу же после появления, когда я спросил про официальный метод монетизации модов, и больше не включался - это три.

Цитата

Далее качается специально написанная DDL которая устанавливается на компьютер для ддоса и воровства паролей.

Начнем с того, что если там что-то и качается - то DLL - Dynamic Language Library - но никак не DDL - Data Definition Language (примером такого Language будет SQL).
Скорее всего, тамошние три буквы обозначают Data DownLoad. Ссылка на скачивание, то бишь - вместо /download/ написали /ddl/. Что они там качают - уже вопрос другой, вполне вероятно, что какой-нибудь динамически формируемый список. Проверить мне не удалось, потому что сайта wotzone.ru на данный момент не существует - он просто не открывается браузером.
А пароли воровать можно простым хуком одной функции через питон. Все потому что ВГ, если вы вдруг не знали давно всем известный факт, присылает ваш пароль из флеша login.swf в питоновскую функцию открытым текстом. Если не стоит галочка "запомнить пароль", that is. Но это можно легко обойти.

Да, сайт mods2all выглядит интересно - главная страница говорит HELLO, потом спрашивает WHAT WAS BEFORE THE BIG BANG? и редиректит тебя на главную гугла. А wotzone, как я уже сказал, вообще не существует.
И вполне вероятно, что Фокс действительно что-то повшивал в свои моды, учитывая наплыв европейцев с жалобами на рекламу в его настройщике.

 

Но я могу сказать точно, что конкретно в топике написан полнейший некомпетентный мнительный БРЕД. Даже если из него сделаны ВНЕЗАПНО верные выводы, по которым не буду ничего комментировать.
PY out.

Edited February 5, 2019 by Polyacov_Yury
Как обычно, поехало форматирование.

[spoter 1,178]

Юра ворвался в тред и всех разъ... победил.

[Polyacov_Yury 1,462]

Кстати, спасибо за .dis.txt. Нашлось нечто оччень интересное..

>>> {262: 'icudtl.dat',
     264: 'snapshot_blob.bin',
     274: 'cef_browser_process.exe',
     280: 'cef_200_percent.pak',
     540: 'http://steal-chit.ru/advertise.html',
     286: 'http://wotsteel.ru/ad.html',
     676: 'http://itvonline.org/ad.html',
     295: 'libegl.dll',
     808: 'libcef.dll',
     303: 'd3dcompiler_43.dll',
     436: 'cef_extensions.pak',
     438: 'http://wotzone.ru/caps.csi',
     823: 'dbghelp.dll',
     572: 'libglesv2.dll',
     706: 'http://wotzone.ru/static/libs',
     197: 'http://sae-mod.ru/advertise.html',
     199: 'ffmpegsumo.dll',
     79: 'cef_100_percent.pak',
     594: 'd3dcompiler_47.dll',
     472: 'http://wotzone.ru/ad.html',
     741: 'cef.pak',
     371: 'natives_blob.bin',
     760: 'http://wotsimple.ru/ad.html'}

Да, не спорю, у меня тоже есть свой pymodsproject.ru/downloAD/, но это уже чот жоско.

Edited February 5, 2019 by Polyacov_Yury

[Stealthz666 0]

Ты юра спроси у этого утырка какой давности этот код. И когда он работал вообще. Год назад он был в доступе . А сейчас этого нет и быть не может. Насчет ддос так это его же автора темы атаки на 4чит и взломы. А еще ручки его шаловливые лезут все и лезут по сайтам. С мыслью а вдруг чот сломает. Но умом его бог обделил. Да Максик. Иди в свою компашку, а то и этого твинка забанят. Боже насколько же нужно убитым на голову, чтоб такое писать. Еще и ddl нашел в моде да ты батенька бог наркомафии!

А айпи то реальный твой не боишься Максик?

.

 

Edited February 5, 2019 by Stealthz666

[FIELD 5]

 

22 часа назад, Polyacov_Yury сказал:

 

но это уже чот жоско.

 

Сегодня обновление игры и поэтому wotzone пропал, клепают новую версию конструктора троянов. Но т.к. этот топик появился, скорее всего смениться адрес..

 

Они ддосят пол интернета а также воруют пароли... 

Очень выгодно, ненужно писать трояны. Ненужно трояны людям под предлогом всучивать.. Пользователи наивные сами ставят..

То что на скринах это ддос по IP и продолжалось 4 месяца, пока сайт не спрятали и не сменили к нему доступ.

Это только начинается шухер, скоро будет больше информации об этом на более серьёзном ресурсе по посещаемости. А также криминалисты скорее возьмутся за них..

У Wargaming не получиться уже не реагировать потому как это предел.

Edited February 6, 2019 by FIELD

[Stealthz666 0]

аха иди еще ширнись

[FIELD 5]

1 час назад, Polyacov_Yury сказал:

Кстати, спасибо за .dis.txt. Нашлось нечто оччень интересное..

>>> {262: 'icudtl.dat',
     264: 'snapshot_blob.bin',
     274: 'cef_browser_process.exe',
     280: 'cef_200_percent.pak',
     540: 'http://steal-chit.ru/advertise.html',
     286: 'http://wotsteel.ru/ad.html',
     676: 'http://itvonline.org/ad.html',
     295: 'libegl.dll',
     808: 'libcef.dll',
     303: 'd3dcompiler_43.dll',
     436: 'cef_extensions.pak',
     438: 'http://wotzone.ru/caps.csi',
     823: 'dbghelp.dll',
     572: 'libglesv2.dll',
     706: 'http://wotzone.ru/static/libs',
     197: 'http://sae-mod.ru/advertise.html',
     199: 'ffmpegsumo.dll',
     79: 'cef_100_percent.pak',
     594: 'd3dcompiler_47.dll',
     472: 'http://wotzone.ru/ad.html',
     741: 'cef.pak',
     371: 'natives_blob.bin',
     760: 'http://wotsimple.ru/ad.html'}

Да, не спорю, у меня тоже есть свой pymodsproject.ru/downloAD/, но это уже чот жоско.

Спасибо, дополню сайты:

steal-chit.ru/advertise.html
wotsteel.ru/ad.html
itvonline.org/ad.html
wotzone.ru/caps.csi
wotzone.ru/static/libs
sae-mod.ru/advertise.html
wotzone.ru/ad.html
wotsimple.ru/ad.html
stealthz.ru/advertise.html
stealthz.net/advertise.html
wotsteel.ru/ad.html
steal-chit.ru/advertise.html
sae-mod.ru/advertise.html
pavel3333.ru/ad.html
wotzone.ru/ad.html
lom666.beget.tech/g1.html

Edited February 5, 2019 by FIELD

[Stealthz666 0]

Я видел много нариков но таких как ты всего 1 на свете!

Ты это взял с мода что выложил вверху?! (ЗВИЗДОБОЛ!!!!!)

Иди  броди! И ширяйся дальше.Лучше подумай о своем айпи и заявке о попытке взлома:)

[Pavel3333 1,109]

@Stealthz666 забей, у человека ломка, такое уже не лечится.

 

24 минуты назад, FIELD сказал:

pavel3333.ru/ad.html

ну-ну

 

24 минуты назад, FIELD сказал:

lom666.beget.tech/g1.html

 

24 минуты назад, FIELD сказал:

wotzone.ru/ad.html

 

 

 

Максимка, ты кого обмануть тут хочешь? 

Edited February 5, 2019 by Pavel3333

[FIELD 5]

17 часов назад, Stealthz666 сказал:

Я видел много нариков но таких как ты всего 1 на свете!

Ты это взял с мода что выложил вверху?! (ЗВИЗДОБОЛ!!!!!)

Иди  броди! И ширяйся дальше.Лучше подумай о своем айпи и заявке о попытке взлома:)

Что не спокойно что посадят что начинаешь тут какие то непонятный IP с мобильного показывать? Врать про старость мода? Мод этой ночью скачан с твоего сайта!

Что ты прыгаешь уже если мод как на ладони с ддосом в шапке темы и троянами?

Я вот смотрю со стороны, реально что то у тебя с головой если пытаешься тему перевести в идиотское русло подтягивая тех кто пьяный или не догоняет что

за то что вы делаете садят в тюрьму.. Установка троянов, воровство аккаунтов и ддос сайтов дело серьёзное!

Edited February 6, 2019 by FIELD

[Stealthz666 0]

Я видел много нариков но таких как ты всего 1 на свете!

Ты это взял с мода что выложил вверху?! (ЗВИЗДОБОЛ!!!!!)

Иди  броди! И ширяйся дальше.Лучше подумай о своем айпи и заявке о попытке взлома:)

доки ! в студию! Я тут сочинить могу знаешь сколько! Тем более с твоих доменов ничего не работает

ЗВИЗДАБОЛ!

Админы да забаньте плоденее твинкарей с лсд.

Гришь с мобилы ну ну:) весь лог сервера уже там где нужно еще раз пишу с твоим!! Реальным айпи!

Фу мерзость пахнет потняками пойду я от сель.

[FIELD 5]

22 часа назад, Stealthz666 сказал:

Админы да забаньте плоденее твинкарей с лсд.

Это тебя здесь любят я смотрю очень т.к. не подпровляют твой аккаунт чтобы тебе можно минусы было ставить.. А мой кто то из владельцев сайта подправил, смотрю XVM тоже невыгодно чтобы повырезали из игры доступ к интернету.. Все за свою жёпу млеют и даже если ты говно и это не пересекается с интересами то и воруй пароли, ддось сайты и пиши на форуме маты.. Очень просто заблокировать тему чтобы ушла в низ, чтобы кипиша не было и блокирнуть аккаунт чтобы мог писать только после проверки модератора как во всех прошлых темах делали, но зато такое говно как ты не трогают.....

P.S. О, есть справедливость однако. Вижу возможность ставить минусы у тебя всё таки сделали..

Но зато мне добавили опять Ваша публикация должна быть проверена модератором

Но если честно, чёт подрывает меня на тебя заяву  накатать в подразделение "К" , там уже минусики не нужны будут.. Будешь ддосить уже в тазик.. 

Edited February 6, 2019 by FIELD

[Лёня Понтилеев 11]

23 часа назад, Stealthz666 сказал:

Я видел много нариков но таких как ты всего 1 на свете!

Ты это взял с мода что выложил вверху?! (ЗВИЗДОБОЛ!!!!!)

Иди  броди! И ширяйся дальше.Лучше подумай о своем айпи и заявке о попытке взлома:)

доки ! в студию! Я тут сочинить могу знаешь сколько! Тем более с твоих доменов ничего не работает

ЗВИЗДАБОЛ!

Админы да забаньте плоденее твинкарей с лсд.

Гришь с мобилы ну ну:) весь лог сервера уже там где нужно еще раз пишу с твоим!! Реальным айпи!

Фу мерзость пахнет потняками пойду я от сель.

Х.ли ты ноешь всемогущий?

Наставил всякой Дичи в моды так не юли))) Не один Автор об этом говорит, все просто молчат, ждут пока ты сам свалишь и сгниёшь ... публика просто здесь воспитанная , не хотят такое как Ты ворушить.. 

 Ну ну расплачься в прозьбах ? Забаньте Максика -АхХаХа

[FIELD 5]

В 05.02.2019 в 15:36, spoter сказал:

Юра ворвался в тред и всех разъ... победил. 

Ну и кого он победил придираясь к теме которая максимально написана простым языком, специально сглаживая суть, что мод троян качает и ддосит, также придираясь к словам и не видя что на сгриншотах..Согласен перепутан скриншот, но на скриншоте верхнем вполне видно команды чтобы ддосить по IP.

 

 

Троян не унывает...

Edited February 6, 2019 by FIELD

[Alexx_Real 91]

В 05.02.2019 в 18:51, Stealthz666 сказал:

Я видел много нариков но таких как ты всего 1 на свете!

Ты это взял с мода что выложил вверху?! (ЗВИЗДОБОЛ!!!!!)

Иди  броди! И ширяйся дальше.Лучше подумай о своем айпи и заявке о попытке взлома:)

доки ! в студию! Я тут сочинить могу знаешь сколько! Тем более с твоих доменов ничего не работает

ЗВИЗДАБОЛ!

Админы да забаньте плоденее твинкарей с лсд.

Гришь с мобилы ну ну:) весь лог сервера уже там где нужно еще раз пишу с твоим!! Реальным айпи!

Фу мерзость пахнет потняками пойду я от сель.

а ты я смотрю все не вылечишься никак, тебе уже года 3 твинки везде мерещатся??? слава богу, тебе на нормальных ресурсах прав админских не дают