PDA

Просмотр полной версии : Бот отсылает инфу...


Ancalagon
16.06.2008, 02:51
Уважаемые, объясните пожалуйста нубу, почему и зачем бот отсылает что-то на сайт www.mer4.com? Чего от них ждать и стоит ли беспокоиться за безопасность аккаунта? *странно, что я раньше этого не заметил*

vitt
16.06.2008, 07:58
где брал бота? На их сайте?

Чего от них ждать и стоит ли беспокоиться за безопасность аккаунта?
Да, если что-то отсылается куда-то не туда, то стоит ожидать самого худшего - там скорее всего это твои логин и пасс.

P.S: Можешь выложить бота в том виде, в каком ты там его скачал(а то сайт прикрылся)? Тогда точно смогу сказать, что он отсылает.

Ancalagon
16.06.2008, 10:35
Не. Бота я брал отсюда. В том и загвоздка. А вчера решил глянуть процессы и обнаружил, что собсна и описал.

Добавлено через 3 минуты 3 секунды
http://depositfiles.com/files/5174997

Вот ссылочка на бота, используемого мной. + к этому WX интерфейс.

http://depositfiles.com/files/4113440

vitt
16.06.2008, 16:48
А вчера решил глянуть процессы и обнаружил, что собсна и описал
Хех, а ну давай-ка расскажи, что ты там такого глядел, как глядел, и как понял, куда отправляется?

P.S:Скорей всего это какие-то трояны. Ты скачивал ботов(или что еще) с каких-нить других сайтов? Антивирь/фаервол стоит?

Ancalagon
16.06.2008, 20:20
Хых. Я и написал - объясните нубу. На компе стоит файрвол, антитроян, антивирь и прочая муета. Опыт использования бота больше года. Естественно, всё проверяеца до установки. И разрешение в фаерволе даётся ТОЛЬКО после проверки антивирусом. Естественно, что-нибудь я скачивал с других сайтов, но ботов только отсюда. Ну не суть...
Суть - просто так решил заглянуть в активные процессы в фаерволе. И что я там вижу - два процесса wxstart.exe: один смирно посылает данные на 81.177.13.39, а другой, цук, также тихонько сидит и шлёт НЕЧТО на www.mer4.com. Вот и решил спросить у людей знающих - шо це таке? Значит, только я проверяю процессы в фаерволе? Кстати, сёня просканировал всю систему - ничего не нашёл подозрительного.

vitt
16.06.2008, 21:34
Ну, что могу посоветовать - можешь скачать бота с официального сайта http://www.openkore.com/. Можешь попробовать запустить через start.exe. Попробуй в файлах бота поискать адрес этого сомнительного ресурса.

P.S: Я такого не замечал, чтобы бот что-то не то куда-то не туда посылал. Единственное - в настройках бота по умолчанию включена(отключается опцией) анонимная отсылка(естественно не на http://www.mer4.com/), но там отсылается только сервер, на котором запускается бот, и эта инфа доступна только разработчикам. Короче, хз что у тебя там.

Ancalagon
16.06.2008, 21:47
Да не. Меня это не беспокоит больше. Я сразу же эту отсылку заблокировал. Вопрос поднят для ознакомления. Да и разобраться с этим не помешало бы. Вдруг враги задумали измену? ;)

vitt
16.06.2008, 21:53
Ну дак возьми и разберись. Это ж только у тебя происходит. Как нам это искать, если у нас этого нету?))

numayeah
16.06.2008, 23:19
Добрый день.Огромное спасибо за форум и за такое кол-во инфы,очень много почерпнул полезного.

По теме: как и автор темы скачал(вчера) OpenKore_206SVN6341 + WXv22 - все файли лил по ссылкам с главной паги ragbot.ru .

Заметил так же активность процесса wxstart.exe ,висел на -> piter2.dns-rus.net:http

В принципе поффиг ибо сижу через роутер на котором файерволл да еще и за NAT, однако все равно не понятно чего он туда цепляется.

От простого добавил в виндовый hosts запись:
127.0.0.1 piter2.dns-rus.net

(скрин активности - http://i036.radikal.ru/0806/df/5f6daff0c2eb.jpg ) (104KB)

ps- да,кстати еще и сюда ему надо --> 34.173.232.72.static.reverse.ltdomains.com:http

=)

Ancalagon
16.06.2008, 23:49
Тож выложу скрин активности.

http://i028.radikal.ru/0806/12/5b5834f05767.jpg

P.S. Не только у меня.

vitt
17.06.2008, 00:30
Эээ маленький вопросик.
Если бота запускать через start.exe а не через wxstart.exe, то всё так же, или никуда ничего теперь не отправляется?

numayeah
17.06.2008, 01:09
Так же долбится по тем же ip-шникам.

Ancalagon
17.06.2008, 01:59
И даже если заблокировать анонимную отсылку статистики, то продолжает лезть куда не следует. Я предполагаю, что где-то это прописано. Возможно в исполняемом файле, а возможно и в каких-нибудь текстовых. Остаётся только искать.

Вызывает, также, интерес - различия адресов на которые лезет бот. Если все качали с одного места, то и адреса должны быть одинаковы.

numayeah
17.06.2008, 10:39
Вызывает, также, интерес - различия адресов на которые лезет бот.

Адреса всего два и оба на 80-удаленные порты коннектятся( скрин (http://i054.radikal.ru/0806/41/1c1455f2f90a.jpg) )

Я бы советовал открыть блокнотом файл C:\WINDOWS\system32\drivers\etc\hosts
и отредактировать его,добавив строки:
127.0.0.1 77.221.136.50
127.0.0.1 72.232.173.34

Ancalagon
18.06.2008, 20:50
И что будет после этого? о_О

vitt
18.06.2008, 21:25
После этого всё, что должно отсылаться по этим указанным адресам, будет отсылаться на адрес 127.0.0.1 (это твой комп)

4epT
18.06.2008, 22:12
Дамы и господа, попрошу без паники, мы все умрём!

Запариваться в объяснениях не буду, в кратце:
Есть некие товарищи, которые делают у меня заказ платят половину стоимости и сваливают с моим готовым вариантом.. Была придумана "защита" от таких гадов, дабы проучить их в этом случае.

Т.к. сборки я собираю по кусочкам, то в неё хотите верте, а хотите нет случайно (без злого умысла) попалась эта "защитка".

Сборки перезалил заного!

Даю слово что эти данные дальше меня не пойдут. Хотя и мне они не нужны (я не играю на раге).

Всем рекомендую сменить пароль и скачать по новой бота!

Ancalagon
18.06.2008, 23:13
Мммм. Вот собственно этого я и добивался, т.к. знаю, что сборки выкладывал САМ *бъёца в поклоне*. Молодец, что признался и исправил. Респект! Всё. Тему можно закрывать.*ok*