"Grand Theft Characters" или "GTC: wowcircle"

[zloeemo]

"Великое воровство персонажей"

И так, проведя небольшие опросы и беседы с игроками х10, а также почитав недельный форум, выявилась маленькая проблемка:
-огромное количество краденных/пропавших персонажей. (по статистике за неделю выше на 250% выше месячного)

Проведя дальнейшие беседы было выявлето то, что перебивается/взламывается и "емейл". (80% не смогли на свой "емейл" попасть, 20% просто его не помнят). Что собственно приводит к безвыходному положению.

Один очень хороший и давно знакомый человек, открыто написал, что его ломают, мол будь добр сохрани моё добро. (ну эта история более длинная)

А теперь главное:
- Народ, желательно в ближайшее время перебейте все пароли, привяжите "мылы" к номеру мобильного телефона и придумайте заковыристый "проверочный вопрос" (лично зная только имя "мыла" получал доступ буквально за чашечку кофе).

- На счёт мыла, все кто пользуется почтовым сервисом "@mail.ru (и все его поддомены @inbox/@bk/@list) смените его на "яндекс почту" или "гугл почту". Дабы "маил,ру" сам по себе дырявый сервис. (как помним раньше "wowcircle" их даже не обрабатывал).

- Прочтите наставления "Шлёпы" по избежание нелепых уловок: http://forum.wowcircle.com/showthread.php?t=34&page=1
(не переходить по ссылкам/ничего не слушать/ничему не верить)

**добавлено**- Не скачивайте аддоны/читы(2ое впринципе и так запрещено) с сомнительных сайтов.


И маленькая просьба администрации: уделяйте сейчас побольше внимания на заявки по краже/исчезновению..А мы пока будем искать.

[zloeemo]

**добавлено**- Не скачивайте аддоны/читы(2ое впринципе и так запрещено) с сомнительных сайтов.

Ещё одна возможная причина: (была замечена ещё около 4х/3х лет назад) На мой взгял одна из самых удачных махинаций.
-Это Аддоны. Допустим аддоны скаченные с сомнительных источников (различные сайты с рекламой "баги-читы и т.д для "wowcircle").

Как это работает:
-Вы скачаваете какой либо "чит" или "аддон", содержащий в себе троянчик изменяющий пути в файле "hosts" (их самых разных докучи, даж примеры приводить не буду). После того, как Вы будете иметь что либо с коннектом серверу "wowcircle" любые данные будут отсылаться на сайт злоумышленников. Тоесть заходим в Личный кабинет (а оно зайдёт), а данные уходят злоумышленникам. Проще конечно это реализовать через активные процессы (.exe, Значки запуска читов, самого клиента, и другим процессам производящие запрос к тому или иному файлу).

[zloeemo]

Навь, обычнее некуда. Ну "dr.Web" к примеру и таких боиться xD.. Эти трояны паляться в ручную, простой проверкой этого файла:

%SystemRoot%\system32\drivers\etc\hosts - содержимое должно иметь значения простой локальной машины, исключения доменны для взлома антивирусов/каких либо программ(лже точки обновлений/лицензирования). Оригинальные строчки примера: (выделено синим)

---

127.0.0.1 www.test1.ru

---

Если же файлик сильно повреждён (не доступен для записи/изменения/т.д) "windows xp" Вас достанет ошибками по этому поводу. 7ка будет молчать.

Ещё раз повторюсь, так крали аккаунты очень давно, щас технология может улучшилась. Как узнаю сообщу.

Всё новое — это хорошо забытое старое // Жак Пеше (1758—1830)

[zloeemo]

Оригинальный "hosts":

Для систем Windows XP или Windows Server 2003

# Copyright © 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one # space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost

[свернуть]

Для систем Windows Vista или Windows Server 2008

# Copyright © 1993-2008 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names.Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost ::1 localhost

[свернуть]

Для системы Windows 7

# Copyright © 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost

[свернуть]

[zloeemo]

Избавляемся от вируса

Чтобы избавиться от данной болячки, необходимо удалить вредоносное приложение и исправить подмененный файл hosts . По-умолчанию файл имеет лишь одну незакомментированную строчку (в предидущем посте имеются оригинальное содержимое файла "hosts").

Несколько способов решения данной проблемы.
Способ 1. Воспользоваться бесплатной программой CureIt! Обычно, ей не составит труда не только обезвредить сам вирус, но и исправить причиненные им последствия. А именно, с некоторых пор CureIt! способна обнаруживать изменения в файле hosts. Рекомендуем пользоваться этим способом.

Способ 2. Вручную. Сначала необходимо скачать Process Explorer и запустить.

bb896653.ProcessExplorer(es-es,MSDN.10).jpg

В списке процессов найдите lsass.exe, наведите на него курсор мыши, появится путь к этому файлу. Если файл lsass.exe находится НЕ в папке Windows/System32/, запомните путь, выделите процесс левой кнопкой мыши и нажмите красный крестик сверху (еще можно выделить процесс правой кнопкой мыши и выбрать из выпадающего меню пункт “Kill process”). Тем самым вы удалите процесс из памяти. Далее необходимо зайти в папку, путь к которой вы запомнили, и удалить файл с жесткого диска.

После этого заменяем файл hosts, который лежит в папке C:/Windows/System32/Drivers/Etc, этим файлом.

В 64-разрядной системе Windows файл необходимо скопировать сюда C:/Windows/SysWOW64/Drivers/Etc/

После исправления файла запускаем командную строку: Пуск, Выполнить, вводим: cmd, жмем “Ok”. В черном окошке вводим поочередно две команды:

1)route -f
2) ipconfig /flushdns
(работа с маршрутами)

(каждую команду подтверждаем клавишей “Enter”)

Для завершения перезагружаем компьютер. Все.

Способ 3. Некоторые антивирусы способны обезвреживать тело вируса, но не исправляют файл hosts, как это делает утилита CureIt! и не очищают маршруты и кэш, как это делается командами во втором способе. В этом случае достаточно только выполнить приведенные выше команды и исправить файл hosts – закачав его по ссылке выше, отредактировав вручную в Блокноте или воспользовавшись специальной программой от Microsoft. Однако, если после этого в файл снова запишутся вражеские строки, значит вирус все еще не обезврежен и вам таки придется воспользоваться одним из двух способов выше.

И еще. Некоторые люди особо не заморачиваются и удаляют всю папку C:/Windows/System32/Drivers/Etc/ Как правило, это помогает и серьезных проблем не возникает. И все же, не рекомендуем этого делать. Другие файлы в папке находятся не просто так и в какой момент их станет не хватать системе – сложно предвидеть.

[zloeemo]

Для практического вида работы этого троянчика, уважаемый "Таппочек" написал пример, в виде всем известного "Хича":
- Это только вид данного чита, функционал весь неработает! (просто видимая копия)
- Вирус содержащийся там безвреден, к тому же локальный (палиться всем чем можно, никакой угрозы нет)

---

Тестовая версия (скачать)

---

Вирусов не обнаружено. Проверено Dr.Web.

- Ну это же "Dr.Web" xDD

- ну и имеет вполне предсказуемую установку (опять же , чтоб просто показать (тупо забито всё в самораспаковывающийся архив))
Что получиться:
в файле "хост" Вы увидите новую строчку:
127,0,0,1 cp.wowcircle.com (на месте перессылки видим простой ип локальной машины)

Если всё же кто захочет проверить, выйдите из "WoW" на время проведения испытания xD.

+ на 7ке не работает (адреса неверны)


- - - Updated - - -


Вот ещё момент, так как тема "программного" взлома, думаю простое письмо на "емейл" можно сюда отнести:

Тут уже чисто работа на Вашу доверчивость и внимательность. Заходите на свой "емейл" и видим письмо мол , "здравствуйте с базы данных нашего сервера пропали Ваши данные, отправте их в ответном письме и та та тат та..(ну подобное)" Ну ладно, видно что фейк, смотрим, а письмо от самого "робота wowcircle" :О .. Так знайте, никогда робот такого не напишет, ибо администрация сама всё знает и т.д (ну это для особенных, стёба не надо)

Скрин в действии:
hfddfhd.jpg

А сделалось это простой подменой доменного адреса.. (Тапку спасибо xD)

[zloeemo]

А теперь расскажу о самом безжалостном методе, это простой "брут".. От которого спастить почти невозможно (ну чисто теоретически)

В переписке с одним из пользователей была выкинута фраза, мол 400 аккаунтов полегло, я думаю что это конечно же не возможно, но с десяток вполне вероятно. Если же часть слов правда, то как раз имеется дело с "брутом".

Брут - это подбор пароля методом последовательного перебора. Обычно работающий с прокси серверами. Используется многопоточность.

Как защитить аккаунт от брута?
- Во-первых никому и никогда не сообщайте свой логин. (сюда же скрины с личного кабинета и так далее)

- Во-вторых, следует обратить внимание на качество пароля, он не должен состоять только из букв или только из цифр, так же следует обратить
внимание на расположение букв на клавиатуре, так как пароли вида "qwe123", "asd321", "azsxdc" уже давно всем известны и есть
почти во всех базах с огромным количеством паролей.

- В-третьих следует запомнить, что не надо делать на всех своих аккаунтах одинаковый пароль или такой же пароль как на почте, первым делом
сбрученный аккаунт проверяется именно на наличие одинаковых паролей с почтой.

- В-четвертых, старайтесь привязать ваш аккаунт всеми возможными способами (IP, телефон, редко к железу)

- В-пятых не стоит верить программам которые якобы взламывают игры или что-то еще, а уж тем более программы которые просят ввести ваш логин и
пароль.

Как работает брут?

Брут состоит из нескольких текстовых файлов и основного конфига. Из них, файл в который записываются рабочие аккаунты, файл с прокси серверами и собственно сам файл с аккаунтами вида "login;pass".

f81557d072cf.jpg

Схема работы брута:

1. Подключение к прокси.
2. Берется строка из файла с аккаунтами.
3. Проверка аккаунта.
4. Проверка результата.
5. Если "Ok" записывается в файл с рабочими аккаунтами, если же нет, то пропускается и переходит к следующему.

Заметим то, что организовывается многопоточность и все это происходит довольно быстро, например в 15 потоков, средняя скорость проверки за 1 час может достигать 50к комбинаций (такое бывает, только если у вас быстрые прокси) в остальных случаях данный показатель доходит до 10к. (данные по вычислительным операциям)

От меня: БД для бурта делаются из алфавтов и пересчёта цифр (от нуля до миллионов), но с пробелами проблема, так что если в комбинации логин/пароль он присутствует, есть большая вероятность что комбинация не подберётся.

- И скажите спасибо паролям задающимся серверно от "wowcircle", дабы "брутятся" они гораздо дольше чем большинство придуманных Вами xD

[Tappo4eK]

На вот такие программки типо "Авторизация без капчи" или "Накрутка бонусов" тоже не стоит вестись + лк не когда не просит пароль от мыла

[zloeemo]

Подробнее на счёт "доменных имён" проекта.
Это относиться больше к вышеописанным троянчикам и лже "личных кабинетов" проекта.

пример cpwowcircle.ru : (точки нету) Который орудовал при давнишнем массовом похищении аккаунтов.

информация о нём

Домен: CPWOWCIRCLE.RU
Сервер DNS: ns1.expired.reg.ru.
Сервер DNS: ns2.expired.reg.ru.
Статус: зарегистрирован, делегирован, не проверен
Администратор домена: Частное лицо "Private Person"
Регистратор: REGRU-REG-RIPN
Дата регистрации: 2012.04.19
Дата окончания регистрации: 2013.04.19
Дата освобождения: 2013.05.20

[свернуть]

Ниже приведу список доменов относящиеся к проекту:

Основной домен:
wowcircle.ru
wowcircle.com
wowcircle.net
wowcircle.su
wowcircle.ru
wowcircle.org
wowcircle.info

Поддомены:
forum.wowcircle.ru
forum.wowcircle.com
forum.wowcircle.net
forum.wowcircle.su
forum.wowcircle.ru
forum.wowcircle.org
forum.wowcircle.info

logon.wowcircle.ru | logon2.wowcircle.ru
logon.wowcircle.com | logon2.wowcircle.com
logon.wowcircle.net | logon2.wowcircle.net
logon.wowcircle.su | logon2.wowcircle.su
logon.wowcircle.ru | logon2.wowcircle.ru
logon.wowcircle.org | logon2.wowcircle.org
logon.wowcircle.info | logon.wowcircle.info

logon3.wowcircle.ru
logon3.wowcircle.com
logon3.wowcircle.net
logon3.wowcircle.su
logon3.wowcircle.ru
logon3.wowcircle.org
logon3.wowcircle.info


cp.wowcircle.ru
cp.wowcircle.com
cp.wowcircle.net
cp.wowcircle.su
cp.wowcircle.ru
cp.wowcircle.org
cp.wowcircle.info

Тобишь адреса по типу wowcircle.3dn.ru , wowcircle.mn и так далее, будут являться фейками.

[Ddog]

у меня угнали дк 6.4... ну я в принципе знал что его угонят, просто расслабился и получал удовольствие=)