Wirusy w .rec !! Dowody.
 

Witam, kiedyś była mowa o "wirusach" w plikach .rec . Wczoraj na forum pojawił się plik, który jest wg. skanera on-line zainfekowany.

Temat założony w celu uświadomienia tego co poniektórym osobom, bo zapewne do podwieszonych nikt nie wchodzi.

Jeżeli masz chęć sprawdzić ten plik to zrób to za pomocą tego skanera on-line http://virusscan.jotti.org/ .

Plik: http://uploads.tibiabr.com/download....a4393ec3af15f9
UWAGA! SCIAGAC TYLKO W PRZYPADKU CHECI ANALIZY BUDOWY PLIKU BADZ JEGO SKANU! NIE URUCHAMIAC!


Pozdrawiam, Mui


Skan: http://img262.imageshack.us/img262/3086/proofgb4.png


Edit: Sprostowanie dla osób po raz pierwszych czytających ten temat.
Okazało się iż ten "wirus" to zwykły śmieć typu keylogger, trojan, którego rozszerzenie zostało zmienione z ***** na .rec najprawdopodobniej w celu wzbudzenia paniki na forum. Udało się to dowcipnisiowi. Na forum ukazały się dwie wersje tego filmu: 1) normalny filmik tibicam, 2) "filmik" ww. dowcipnisia . Dowodem okazały się inne 'headery' plików tworzonych przez tibicam oraz tego pliku, który wywołał panikę. Jeżeli pobrałeś ten plik, wrzuciłeś go do folderu z tibicam, a następnie chciałeś odpalić to nie grozi Ci nic.

Hmm, ciekawe. Ja zawsze skanuje pliki virus.scan.jotti, nawet ktos mnie kiedys zbesztal za to. Teraz widac, ze ja mialem racje. Ale najlepsze jest to, ze kiedy pokazala mi sie strona z downloadem, bylo tam napisane, ze juz pobrano 100~ razy, a na jottim, to ja pierwszy skanowalem. =/

Umm, a moze to po prostu plik exe ze zmienionym rozszerzeniem? o_O

A moze? xD

Czary?To niemozliwe

Nie możliwe?
Panel Sterowania
Opcje Folderów
Widok
[ ] Ukryj roszeżenia znanych typów plików

Czyli jak jest plik ******, to się go zaraża wirusem, a następnie zmienia nazwe na plik *.rec
Tylko nie mam pojęcia, czy w takiej sytuacji wirus może funkcjonować?
Nawet jeśli nie funkcjonuje, to jest na komputzerze, i na 100% można go uaktywnić swoją głupotą, lub prubą obejżenia filmu za pomocą tibicam / jakiegokolwiek innego programu który obsługuje pliki z roższeżeniem *.rec

EDIT@
Jestem ciekawy dalszych dalszych komentaży :)

@up
ta, byles pierwszy ;p

Zamiast .rec zmien rozszerzenie na ***** i od razu vir zacznie skakac :P chyba ze masz jakiegos dupnego :P

P.S
no to sprobuj go uaktywnic z takim rozszerzeniem jakim jest teraz... :p

AntiVir Found SPR/Ardamax.K.Gen
ArcaVir Found Trojan.Dropper.Agent.Bcw
Avast Found nothing
AVG Antivirus Found Dropper.Agent.CYC
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found Program.Ardamax
F-Prot Antivirus Found nothing
F-Secure Anti-Virus Found Trojan-Dropper.Win32.Agent.bcw
Fortinet Found W32/Agent.BCW!tr
Kaspersky Anti-Virus Found Trojan-Dropper.Win32.Agent.bcw
NOD32 Found nothing
Norman Virus Control Found W32/Agent.BDOC
Panda Antivirus Found nothing
VirusBuster Found nothing
VBA32 Found Trojan-Dropper.Win32.Agent.bcw

gratuluje ze wkoncu doszedl do wniosku ze kazdy film pobrany na tibia.pl trzeba skanowac :baby:

Bodajze byl juz na forum podobny plik...

On ma rację, tylko to jest problemem hackingu na forum.tibia.pl, no i oczywiście jeszcze są zdjęcia niestety :(

Jaki to był filmik, tzn nazwa?

Jeżeli plik ma zmienione rozszerzenie z .rec na *****, to po dwukliku na nim nie dojdzie do wykonania kodu wirusa(chyba, że uruchomimy go jako program-windows raczej się zapyta jakim programem otworzyć ten plik).
Jeżeli spróbujemy uruchomić ten zmieniony plik .rec na tibicam-nie dojdzie do wykonania kodu wirusa. Będzie pojawiać się okienko "connecting to game world" bo klient nie otrzyma odpowiednich pakietów z informacjami.

no patrzcie...a juz myslalem ,ze jestem bezpieczny sciagajac .rec x.X
eh....

To do SoniaPz Anvortis'a i tego jtrzeciego..nie bądzcie wy tacy cfani bo sie zawsze cfanszy od was a wasze pierdolenie moze sie skonczyc dla kogos hakiem, pozdro i poćwiczcie.

Ale antywirus bedzie skakal do wirusa, ktory poprzednio mial rozszerzenie ******, a teraz ma *.rec, nie?

moze i bedzie skakal ale dwim wyjasnil ze nie ma powodu do paniki.

Teraz ludzie zamieszczaja raz filmik... duzo osob sciaga i chwali pokazuje scany antyvirow a potem koles edytuje posta i zmienia link do filmiku i ludzie sciagaja keylogera

Osobiście nie wierze w działające wirusy w .rec. Co rozumiem prze działający? Po otworzeniu zainfekowanego pliku w oryginalnej tibicam następuje wykonanie kodu wirusa, nie przerywając odtwarzania filmu.
Nie ma rzeczy niemożliwych. Są tylko bardzo trudne do wykonania. Ale póki co-nie ma co się ihmo martwić

Może ktoś będzie chciał obejrzeć i zamieni rozszerzenie na ***** xd

Imho bullshit.

Dla mnie dobrym wirusem w .rec byly wirus ktory po odpaleniu w TibiCam infekowal by komputer (keyloggerem lub czyms dajacym dostep do kompa hackerowi). Moze nawet film nie chodzic. Wazne, zeby infekowal kompa. Moze naawet wykrywac go antivir. NIECH TYLKO KTOS STWORZY WIRUSA ktory potrafi zainfekowac kompa po otworzeniu w TibiCam. Przeciez sa czasem filmy uszkodzone i nie dzialaja, a ja zawsze je olewam i usuwam, wiec jakby sie zainstalowal wirus to bym nie wiedzial.
Tibicams.com powinno cos z tym zrobic :>
Znaja dzialanie TibiCam. Znaja sie na programowaniu. Powinni zrobic skrypt ktory by sprawdzal czy plik .rec (wgrywany) nie zawiera instrukcji uzywanych przez najpopularniejsze keyloggery i trojany oraz sprawdzajacy czy film puszczony pokaze lvl krecacego. Jesli nie to odrzucic film -.-
Wtedy mozna by juz spokojnie sciagac filmy tam hostowane..

"Nie ma rzeczy niemożliwych. Są tylko bardzo trudne do wykonania. Ale póki co-nie ma co się ihmo martwić" juz chyba latwiej byloby sie wlamac na tibicams.com wgrac tam swojego przerobionego TibiCam***** z nowym funkcjami i powiedziec, ze to nowa wersja.. w 1 dzien byloby z 10,000 pobran i wszyscy by mieli twojego wirusa :>
Potem hackowac zanim ludzie sie kapna, ze to wirus, a tworca TibiCama usunie twoj plik. ;) (btw. ja tam sie na hackowaniu nie znam, ale wydaje mi sie, ze latwiej jest sie wlamac na stronke o filmach, niz stworzyc takiego .reca :> )

Hehe no to jest o wiele łatwiejsze rozwiązanie , ale to juz trzeba sie znac na tym dobrze a jesli ktos sie zna na tym dobrze to nie zawraca sobie głowy takim czyms bo jest to dla niego strata czasu ;) zreszta jak by tak zrobil i dajmy na to ma te 1k postaci to ile jest to roboty aby oczyścić je .... <lol2> bys pękł od tych itemow i potem je sprzedacnp. na allegro .... za duzo zabawy ...

O kurwa co ty nie powiesz? ^.-

Jak widać, zabawa się rozkręca. Przewertowałem sobie kilkanaście filmików dzisiejszego dnia na stronie głównej tibicams z liczbą pobrań wiekszą niż
2,000. Wszystkie zawierały niechciane bonusy.
Zamieszczone przez użytkowników, którzy załadowali na stronkę już niejeden filmik - podejrzewam, że więcej niż połowa ludzi, którzy to pobrali, nie uruchomili żadnego skanera, a co dopiero myśleć o dokładnej analizie pliku na własną rękę.
Zaraz Ci powiem...
@EDIT
Nazwa pliku to:
ydemona

A pamiętam jak mnie wyśmiewano kiedy mówiłem, że w *.rec mogą być wirusy.... hehehehe

down@
Może coś zrobić, lub nie. Ale jest :) i o to mi chodzi, że JEST. Poza tym, to tylko kwestia czasu aż będą działające wirusy w *.rec.
Btw, naucz się czytać ze zrozumieniem. Gdzie ty tu widzisz panikę? Bo jestem od niej daleki.

@ up
Taa teraz możemy się z ciebie śmiać że panikujesz na widok wirusa w .rec który nic mi nie może zrobić -.-
Gz postępu!

zaplon;d normalnie jestes boski;d

Jedynym wyjściem jest chyba zrobienie nowego formatu* w jakim beda zapisywane filmy, ale czy jest takie cos mozliwe to nie wiem bo nie zna msie na tym to tylko moja taka teza

Plik się nie uruchamia, a co najlepsze, nic nie robi.
http://i12.tinypic.com/3yq5cnr.jpg

A po tygodniu pro uber hackerzy wpakują wirusy do tego nowego formatu i cała praca pójdzie w dupę. Zły pomysł.

zal
 

Zeby to sie uaktywnilo to musi byc do tego specjalnie stworzony Tibicam*****
a tak sei podniecacie bo jakis ciec soebi wrzucil zmieniony exe do tibiabr, filmik ktory i tak nie ebdize dzialal ani sie nie aktywowal sami zescie sa jak wirusy w rec.

Moze i ktos wpakowac wirusa w .rec ale nie bedzie on dzialal, zrozumcie to bo pala siada jak to czytam. Jeszcze stety lub niestety nikt na tyle zdolny sie do tego nie przylozyl zeby zbindowac reca z wirusem ktorego Tibicam***** bedzie czytal.

Btw. kilka dni temu pobralem i ogladalem filmik ydemona.rec z www.tibicams~. Dlaczego jeszcze nie mam hacka ? :< :< :<

Btw. Jak zcracowales Tibiabota NG to moze sie pochwalisz jak obejsc kody...

Ten rec może nie być rec, można podmienić żeby pisało rec. No chyba że film sie odpala no to już robota nie dla newbie hacker.

ehhhh..... no to mozemy sie zaczynac Bac Buuuuuuu......B)









Co ci ludzie nie wymysla ehhh...;(

Już nie rozdaję cracków.
Mała podpowiedź - pogrzeb w pliku loader*****.

:< zrob aukcje na allegro i zacznij sprzedawac poradnik :
"jak scrackowac ng" xD

ja musze sie tym dzis pobawic :~ dzieki ,ze mi o tym przypomniales x.X znalazlem to w skrzynce x.x

Ściagnełem, obejrzałem, a na koniec przeskanowałem i jakoś nic mi sie nie stało, postać dalej mam więc kogo wy chcecie oszukac?, Film jest czysty jak łza ;] a o to dowód

http://img233.imageshack.us/img233/6...bywirusdp6.jpg

@up
No dobra, ale mi nadal wykrywa to samo.
http://i13.tinypic.com/2upfzi9.jpg
Załadowałem na virustotal i ten sam wynik.

Chyba pobrałeś, nie to co trzeba.

BTW: myślałem, że nie ma już ludzi, co używają IE do normalnego przeglądania stron.

@Co do hexeditorów
Ściągnijcie jakikolwiek normalny ("czysty") plik rec i zmodyfikujcie go w edytorze hexagonalnym wprowadzając tak wielkie zmiany, jakich wymaga wprowadzenie wirusa. Następnie spróbujcie obejrzeć ten film via tibicam.

W 99 przypadkach na 100 zmodyfikowanie jednej, losowej wartości powoduje niemożliwość uruchomienia filmu(tibicam go nie "czyta"). Zmienia się długość i zawartość 1 pakietu z danymi.
W ten sposób robiono fałszywe filmy tibicam-zanim wprowadzono szyfrowanie pakietów serwer->klient. Wtedy jeszcze pakiety można było jakoś odczytać-a i tak zajmowało wystarczająco dużo czasu, aby pojawiło się raptem 5 czy 6 takich zmodyfikowanych filmów(MLS/th na secura, dslna jakimś pvp, sof/dwarven shield na rook).

Dwimenor bardzo sluszna uwaga :) Możliwe, że ktoś chciałby po prostu zrobić zamęt i stworzył zainfekowany plik wykonywalny ***** i zmienił go na .rec . Nie miał z tego żadnej korzyści poza wywołaną "paniką". Tak samo się już kiedyś zastanawiałem nad możliwością wykonania jakiegoś kodu.. dołączanie potrzebnych bibliotek itp. to chyba ciężka sprawa, a raczej niemożliwa aby załączyć biblioteki do pliku, który ma "zapamiętane pakiety", które są odtwarzane za pomocą TibiCAM. Sam nie wiem co o tym myśleć..