- Сообщения
- 8,435
- Реакции
- 5,453
Итак у нас на кибере, да и на ВИ эпидемия:
Google
К счастью на руторе уже разобрались откуда уши растут:
Источник: rutor.org :: Путеводитель по RUTOR.org: Правила, Руководства, Секреты
Так что для любителей репаков и прочего нелицензионного софта и впредь будут мучать такие кары.
Для того, чтобы избавится от данной напасти необходимо создать тему в разделе лечения Лечение компьютерных вирусов
выполнив несложные правила: Правила оформления запроса о помощи
Если правила выполнить не удается, пишите Вам всегда помогут.
К счастью на руторе уже разобрались откуда уши растут:
Итак, поскольку Brick упирается, вот последовательность действий для того, чтобы модераторы могли сами проверить, что в репаке MGSV есть троян:
1) Скачиваем из этой раздачи хttp://rutor_.org/torrent/455942 только Setup.exe (MD5: 16ab690232d8089b899f62228043cef9)
Если Brick обновит раздачу, я на всякий случай сохранила EXE:
хttp://www55.zippyshare.com/v/r4oliczE/file.html
Он же есть у всех тех, кто скачал репак до этого - на случай, если Brick будет отмазываться, что это ненастоящий его Setup.exe
2) Скачиваем свежую версию распаковщика инсталляторо Inno:
Inno Setup Unpacker - Browse /innounp/innounp 0.43 at SourceForge.net
так, чтобы innounp.exe был в папке вместе с Setup.exe
3) Далее в командной строке запускаем
innounp.exe -x -a -dunpacked -m Setup.exe
4) Заходим в получившуюся папку "unpacked -- {localappdata} -- Microsoft -- Redist"
Там два файла (они теперь хорошо гуглятся как раз в связке с этим трояном)
vcredist_x86.cfg
vcredist_x86.exe
При установке они копируются в локальные документы пользователя и оттуда запускаются.
Доказательства - в install_.iss в папке unpacked, строки 57, 58, 71, 72
Без cfg EXE вроде ничего опасного не делает (а потому на него не реагируют антивирусы).
С ним же - дешифрует значения и прописывает пути для открытия сайта в реестр и блокирует ряд программ.
Содержимое vcredist_x86.cfg в зашифрованном и расшифрованном виде.
Paste2.org - Viewing Paste wE0XJc3U
Содержимое CFG-файла закодировано простейшим алгоритмом base64.
После декодирования (можно, например, тут - Base64 Decode and Encode - Online)
видно, что эта тулза именно что прописывает gangnamgame.org в дефолт к браузеру и блокирует редактор реестра и ряд других программ. Мерзость и гадость.
И еще деталька - по конфигу она активируется только через 5 дней. Поэтому не сразу все заметили проблему и начали обвинять репаки, которые ставили позже.
Источник: rutor.org :: Путеводитель по RUTOR.org: Правила, Руководства, Секреты
Так что для любителей репаков и прочего нелицензионного софта и впредь будут мучать такие кары.
Для того, чтобы избавится от данной напасти необходимо создать тему в разделе лечения Лечение компьютерных вирусов
выполнив несложные правила: Правила оформления запроса о помощи
Если правила выполнить не удается, пишите Вам всегда помогут.