Эра фейков началась, или тырим акки World Of Tanks

Тема в разделе "СТАТЬИ И УРОКИ ПО ВЗЛОМУ И ОБХОДУ ЗАЩИТЫ", создана пользователем X-Shar, 9 янв 2015.

↑ ↓
  1. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    433
    Пол:
    Мужской
    Репа:
    +968 / 152 / -29
    Jabber:
    Telegram:
    На Хеппи-хак прочитал прикольную статьи и решил нагло-стырить выложить сюда:

    [​IMG]

    Доброго времени суток. Очень давно уже ничего сюда не писал и решил это дело исправить. Представляю вашему вниманию фейк-стиллер World Of Tanks.

    [​IMG]

    Но начнем по порядку.

    Как это работает?

    Фейк написан на delphi с использованием клиентских ресурсов WoT (которые я часа три оттуда выковыривал). Он почти абсолютно точно эмулирует процесс запуска игры до момента нажатия кнопки "Вход" (этап непосредственной серверной авторизации). При этом эмуляция происходит в сопровождении вышеупомянутых оригинальных элементов GUI. Но вот тут есть пара недочётов:

    1. Приложение запускается при разрешении клиентской зоны 1024Х768. Почему? Очень просто. У меня уже есть Multi Resolution версия, способная нормально выглядеть в полноэкранном режиме на всех разрешениях экрана, но в связи с сложной схемой разметки и использованием в основе всего стандартных VCL компонентов, в приложении возникают фризы и мерцания некоторых объектов, что очень сильно дешевило общую картину. С другой стороны, отображение клиента в окне вышеупомянутого размера - естественный процесс. Такое часто происходит при произвольном самоудалении файла Preferences.xml, содержащем в т.ч. и параметры графики. Так что серьезной эту проблему не назовешь.

    2.
    Статичная картинка под логин-формой. В оригинале на бекграунде логин-формы летают опилки, именуемые "искрами". Достать декали этих опилок из клиента не составило проблем, однако заставить их плясать на экране без введения системы частиц я пока считаю невозможным. Если есть предложения - пишите.

    Так вот. Продолжим. Скачав архив с фейком вы увидите файл WorldOfTanks.exe, еще один такой же, запрятаный глубоко в папке res_mods, папку cursors, содержащую, как ни странно курсоры, и файл intro.wmv. Зачем нужны последние два - понятно. Поговорим про два exe. Тот, что в корне - фейк. Саму программу предполагается распространять под видом мода. Корневой файл заменяет собой оригинальный клиентский файл.

    После установки "мода" пользователь думает, что находится в оригинальном клиенте, поэтому смело вводит логин и пароль на форме авторизации и нажимает клавишу "Вход". Приложение сливает данные, введенные в поля мыло, пароль к вам на сервер через FTP, выдаёт игроку вот такую ошибку:

    [​IMG]


    и через 5 секунд закрывается. Но перед тем, как закрыться оно заменяет себя само на оригинальный exe. Тот самый, что лежит глубоко в папке res_mods. Так что при следующем запуске игрок попадёт в настоящий клиент и все у него будет как обычно. Вот такие дела. Как вы понимаете, приложение одноразовое. Т.е. после первого же нажатия клавиши "Вход" оно закроется и самоустранится, а на его месте уже будет оригинальный WorldOfTanks.exe .

    Теперь про настройку мода.

    Находясь на логин-форме нажимаем Ctrl+Alt+A и получаем окошко с тремя полями, куда вводим соответственно хост, логин и пароль для вашего FTP.

    [​IMG]


    Нажимаем кнопку"Сохранить и закрыть", приложение закрывается и оно готово. Теперь при нажатии на кнопку Вход, данные , введённые в поля логин и пароль отправятся на FTP с этими параметрам авторизации. Лежать они будут в корне в файле wot_login_data.xml . При этом каждые новые логин-пароль будут не заменять уже лежащие в этом файле а приплюсовываться.

    [​IMG]


    Ну и про распространение. Если хотите, чтобы все работало нормально, то давайте пользователю сразу ВСЁ содержимое архива. Если не будет папки cursors - то вместо игровых курсоров будут системные, на что даже конченый идиот не поведётся, если не будет файла intro.wmv, то интро-ролик воспроизводиться не будет. Кстати, приложение проверил на 3-х ПК.

    С воспроизведением интро проблем не было, однако в связи с использованием стандартного mediaplayer-а, возможны ошибки в его работе. Так что если они будут возникать, смело удаляйте файл intro и приложение просто пропустит этап его воспроизведения. Т.к. для того, чтобы всё выглядело правдоподобно необходима замена файла WorldOfTanks.exe, то скидывать игроку фейк в виде архива - не лучшая идея, т.к. он может заподозрить неладное (моды для WoT в оригинале затрагивают только директорию Res_mods).

    Советую после настройки зашить всё в инсталлятор. Так будет намного менее палевно. А вот под видом чего это дело впаривать - сами решайте. Можно в качестве мода а-ля "Несбиваемый Х2 на всей технике" или "увеличение коэффициентов доходности". Еще есть вариант накидать поверх фейка реальных модов. Заходите на сайт с модами, качаете что-нибудь и кидаете в res_mods поверх уже лежащих там файлов. Моды работать будут. Главное, чтобы не были заменены файлы фейка. Вот такие дела.

    Я практически уверен, что ошибки у кого-нибудь да возникнут, так что плз отписывайтесь в комменты.


    Пароль:111

    Источник:http://happy-hack.ru/trojan/13461-world-of-tanks-stealer.html
     

    Вложения:

    • WoT_Stealer.rar
      Размер файла
      12,8 МБ
      Просмотров:
      1
    • Мне нравится Мне нравится x 4
  2. ewwa Уважаемый пользователь
    ewwa
    Ответить в чате

    Форумчанин

    Регистрация:
    19.02.2014
    Сообщения:
    157
    Симпатии:
    400
    Пол:
    Мужской
    Репа:
    +402 / 0 / -0
    С распространением будут проблемы, если только определенному человеку кидать с целью напакостить ему (технику продать, экипаж распустить), логин-пасс это так на раз зайти поиграть сейчас почти все акк привязаны к телефону, да даже если не привязан тоже самое, была бы почта можно было бы попробовать восстановить как свой через цпп. А вообще тема с их взломом и продажей уже умирает все никак не умрет года два назад сам грешилlike it когда было актуально, сейчас актуально голду заливать).
    з.ы Кто занимается заливом пишите в личку.
     
    Последнее редактирование: 10 янв 2015
    • Мне нравится Мне нравится x 1
  3. Nedovirus Уважаемый пользователь
    Nedovirus
    Ответить в чате

    Форумчанин

    Регистрация:
    14.05.2014
    Сообщения:
    478
    Симпатии:
    821
    Пол:
    Мужской
    Репа:
    +845 / 14 / -5
    при такой реализации можно взять чужой фейк и посмотреть все спертые пароли на сервере этого хацкера (предварительно все отснифав)
    обычно делается так: фейк тупо делает гет/пост запрос на gate, который тупо все логирует в файл или бд, доступ к которому есть из админки, адрес которой неизвестен самому трояну или через заход через фтп просмотром файла (адрес которого задается при инсталле скрипта и трояну тоже неизвестен) - в таком случае можно только отснифать на какой сервер уходят пароли и все. даже имея на руках сорцы этого трояна не выйдет спереть чужие уже спертые пароли с сервера.
     
    Последнее редактирование: 12 янв 2015
    • Мне нравится Мне нравится x 1

Поделиться этой страницей