mBot Loader (Assembly editing)

I wanna edit a piece of this loader but I don't know how to get rid exactly, I'm not skilled on it. I'm just moving to use mBot, just for educational purposes :rolleyes:

Somehow NOP the spam messages but with no lossing the loader functionability. Code as reference :

Spoiler

PHP Code:


			
014A3740   > 55             PUSH EBP

014A3741   . 8BEC           MOV EBP,ESP

014A3743   . 6A FF          PUSH -1

014A3745   . 68 12704B01    PUSH mBotLoad.014B7012

014A374A   . 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]

014A3750   . 50             PUSH EAX

014A3751   . 81EC 14080000  SUB ESP,814

014A3757   . 53             PUSH EBX

014A3758   . 56             PUSH ESI

014A3759   . 57             PUSH EDI

014A375A   . 8DBD E0F7FFFF  LEA EDI,DWORD PTR SS:[EBP-820]

014A3760   . B9 05020000    MOV ECX,205

014A3765   . B8 CCCCCCCC    MOV EAX,CCCCCCCC

014A376A   . F3:AB          REP STOS DWORD PTR ES:[EDI]

014A376C   . A1 AC134C01    MOV EAX,DWORD PTR DS:[14C13AC]

014A3771   . 33C5           XOR EAX,EBP

014A3773   . 8945 F0        MOV DWORD PTR SS:[EBP-10],EAX

014A3776   . 50             PUSH EAX

014A3777   . 8D45 F4        LEA EAX,DWORD PTR SS:[EBP-C]

014A377A   . 64:A3 00000000 MOV DWORD PTR FS:[0],EAX

014A3780   . 8D4D CC        LEA ECX,DWORD PTR SS:[EBP-34]

014A3783   . E8 DBD9FFFF    CALL mBotLoad.014A1163

014A3788   . C745 FC 000000>MOV DWORD PTR SS:[EBP-4],0

014A378F   . 8D4D A4        LEA ECX,DWORD PTR SS:[EBP-5C]

014A3792   . E8 CCD9FFFF    CALL mBotLoad.014A1163

014A3797   . C645 FC 01     MOV BYTE PTR SS:[EBP-4],1

014A379B   . 8BF4           MOV ESI,ESP

014A379D   . 8D85 00FEFFFF  LEA EAX,DWORD PTR SS:[EBP-200]

014A37A3   . 50             PUSH EAX                                 ; /pWSAData

014A37A4   . 6A 02          PUSH 2                                   ; |RequestedVersion = 2 (2.0.)

014A37A6   . FF15 5C2A4C01  CALL DWORD PTR DS:[<&WS2_32.#115>]       ; \WSAStartup

014A37AC   . 3BF4           CMP ESI,ESP

014A37AE   . E8 E6DFFFFF    CALL mBotLoad.014A1799

014A37B3   . 85C0           TEST EAX,EAX

014A37B5   . 74 0D          JE SHORT mBotLoad.014A37C4

014A37B7   . 68 00CB4B01    PUSH mBotLoad.014BCB00                   ;  ASCII "WSAStartup() failed"

014A37BC   . E8 86E1FFFF    CALL mBotLoad.014A1947

014A37C1   . 83C4 04        ADD ESP,4

014A37C4   > 8BF4           MOV ESI,ESP

014A37C6   . 6A 06          PUSH 6                                   ; /Protocol = IPPROTO_TCP

014A37C8   . 6A 01          PUSH 1                                   ; |Type = SOCK_STREAM

014A37CA   . 6A 02          PUSH 2                                   ; |Family = AF_INET

014A37CC   . FF15 602A4C01  CALL DWORD PTR DS:[<&WS2_32.#23>]        ; \socket

014A37D2   . 3BF4           CMP ESI,ESP

014A37D4   . E8 C0DFFFFF    CALL mBotLoad.014A1799

014A37D9   . 8985 ECF9FFFF  MOV DWORD PTR SS:[EBP-614],EAX

014A37DF   . 8BF4           MOV ESI,ESP

014A37E1   . 68 ECCA4B01    PUSH mBotLoad.014BCAEC                   ; /Name = "getip.joysro.com"

014A37E6   . FF15 582A4C01  CALL DWORD PTR DS:[<&WS2_32.#52>]        ; \gethostbyname

014A37EC   . 3BF4           CMP ESI,ESP

014A37EE   . E8 A6DFFFFF    CALL mBotLoad.014A1799

014A37F3   . 8985 E0F9FFFF  MOV DWORD PTR SS:[EBP-620],EAX

014A37F9   . 8BF4           MOV ESI,ESP

014A37FB   . 6A 50          PUSH 50                                  ; /NetShort = 50

014A37FD   . FF15 542A4C01  CALL DWORD PTR DS:[<&WS2_32.#9>]         ; \ntohs

014A3803   . 3BF4           CMP ESI,ESP

014A3805   . E8 8FDFFFFF    CALL mBotLoad.014A1799

014A380A   . 66:8985 CAF9FF>MOV WORD PTR SS:[EBP-636],AX

014A3811   . B8 02000000    MOV EAX,2

014A3816   . 66:8985 C8F9FF>MOV WORD PTR SS:[EBP-638],AX

014A381D   . 8B85 E0F9FFFF  MOV EAX,DWORD PTR SS:[EBP-620]

014A3823   . 8B48 0C        MOV ECX,DWORD PTR DS:[EAX+C]

014A3826   . 8B11           MOV EDX,DWORD PTR DS:[ECX]

014A3828   . 8B02           MOV EAX,DWORD PTR DS:[EDX]

014A382A   . 8985 CCF9FFFF  MOV DWORD PTR SS:[EBP-634],EAX

014A3830   . 8BF4           MOV ESI,ESP

014A3832   . 6A 10          PUSH 10                                  ; /AddrLen = 10 (16.)

014A3834   . 8D85 C8F9FFFF  LEA EAX,DWORD PTR SS:[EBP-638]           ; |

014A383A   . 50             PUSH EAX                                 ; |pSockAddr

014A383B   . 8B8D ECF9FFFF  MOV ECX,DWORD PTR SS:[EBP-614]           ; |

014A3841   . 51             PUSH ECX                                 ; |Socket

014A3842   . FF15 502A4C01  CALL DWORD PTR DS:[<&WS2_32.#4>]         ; \connect

014A3848   . 3BF4           CMP ESI,ESP

014A384A   . E8 4ADFFFFF    CALL mBotLoad.014A1799

014A384F   . 85C0           TEST EAX,EAX

014A3851   . 74 20          JE SHORT mBotLoad.014A3873

014A3853   . C645 FC 00     MOV BYTE PTR SS:[EBP-4],0

014A3857   . 8D4D A4        LEA ECX,DWORD PTR SS:[EBP-5C]

014A385A   . E8 F9DEFFFF    CALL mBotLoad.014A1758

014A385F   . C745 FC FFFFFF>MOV DWORD PTR SS:[EBP-4],-1

014A3866   . 8D4D CC        LEA ECX,DWORD PTR SS:[EBP-34]

014A3869   . E8 EADEFFFF    CALL mBotLoad.014A1758

014A386E   . E9 5A030000    JMP mBotLoad.014A3BCD

014A3873   > 68 10CC4B01    PUSH mBotLoad.014BCC10                   ;  ASCII "GET /custom/getMBotNews.php HTTP/1.0

"

014A3878   . 8D4D CC        LEA ECX,DWORD PTR SS:[EBP-34]

014A387B   . E8 60DEFFFF    CALL mBotLoad.014A16E0

014A3880   . 68 9CCA4B01    PUSH mBotLoad.014BCA9C                   ;  ASCII "Host: getip.joysro.com

"

014A3885   . 8D4D CC        LEA ECX,DWORD PTR SS:[EBP-34]

014A3888   . E8 53DEFFFF    CALL mBotLoad.014A16E0

014A388D   . 68 98CA4B01    PUSH mBotLoad.014BCA98                   ;  ASCII "

"

014A3892   . 8D4D CC        LEA ECX,DWORD PTR SS:[EBP-34]

014A3895   . E8 46DEFFFF    CALL mBotLoad.014A16E0

014A389A   . 8BF4           MOV ESI,ESP

014A389C   . 6A 00          PUSH 0

014A389E   . 8D4D CC        LEA ECX,DWORD PTR SS:[EBP-34]

014A38A1   . E8 92E0FFFF    CALL mBotLoad.014A1938

014A38A6   . 50             PUSH EAX

014A38A7   . 8D4D CC        LEA ECX,DWORD PTR SS:[EBP-34]

014A38AA   . E8 BFDCFFFF    CALL mBotLoad.014A156E

014A38AF   . 50             PUSH EAX                                 ; |Data

014A38B0   . 8B85 ECF9FFFF  MOV EAX,DWORD PTR SS:[EBP-614]           ; |

014A38B6   . 50             PUSH EAX                                 ; |Socket

014A38B7   . FF15 4C2A4C01  CALL DWORD PTR DS:[<&WS2_32.#19>]        ; \send

014A38BD   . 3BF4           CMP ESI,ESP

014A38BF   . E8 D5DEFFFF    CALL mBotLoad.014A1799

014A38C4   . 8BF0           MOV ESI,EAX

014A38C6   . 8D4D CC        LEA ECX,DWORD PTR SS:[EBP-34]

014A38C9   . E8 6AE0FFFF    CALL mBotLoad.014A1938

014A38CE   . 3BF0           CMP ESI,EAX

014A38D0   . 74 25          JE SHORT mBotLoad.014A38F7

014A38D2   . C645 FC 00     MOV BYTE PTR SS:[EBP-4],0

014A38D6   . 8D4D A4        LEA ECX,DWORD PTR SS:[EBP-5C]

014A38D9   . E8 7ADEFFFF    CALL mBotLoad.014A1758

014A38DE   . C745 FC FFFFFF>MOV DWORD PTR SS:[EBP-4],-1

014A38E5   . 8D4D CC        LEA ECX,DWORD PTR SS:[EBP-34]

014A38E8   . E8 6BDEFFFF    CALL mBotLoad.014A1758

014A38ED   . E9 DB020000    JMP mBotLoad.014A3BCD

014A38F2   . E9 96020000    JMP mBotLoad.014A3B8D

014A38F7   > C745 98 000400>MOV DWORD PTR SS:[EBP-68],400

014A38FE   . 8BF4           MOV ESI,ESP

014A3900     6A 00          PUSH 0                                   ; /Flags = 0

014A3902     68 00040000    PUSH 400                                 ; |BufSize = 400 (1024.)

014A3907     8D85 F8F9FFFF  LEA EAX,DWORD PTR SS:[EBP-608]           ; |

014A390D     50             PUSH EAX                                 ; |Buffer

014A390E     8B8D ECF9FFFF  MOV ECX,DWORD PTR SS:[EBP-614]           ; |

014A3914     51             PUSH ECX                                 ; |Socket

014A3915     FF15 482A4C01  CALL DWORD PTR DS:[<&WS2_32.#16>]        ; \recv

014A391B   . 3BF4           CMP ESI,ESP

014A391D   . E8 77DEFFFF    CALL mBotLoad.014A1799

014A3922   . 8945 98        MOV DWORD PTR SS:[EBP-68],EAX

014A3925   . 837D 98 00     CMP DWORD PTR SS:[EBP-68],0

014A3929   . 0F8E 5E020000  JLE mBotLoad.014A3B8D

014A392F   . 8B45 98        MOV EAX,DWORD PTR SS:[EBP-68]

014A3932   . 50             PUSH EAX

014A3933   . 6A 00          PUSH 0

014A3935   . 8D8D 1CF8FFFF  LEA ECX,DWORD PTR SS:[EBP-7E4]

014A393B   . 51             PUSH ECX

014A393C   . 8D95 F8F9FFFF  LEA EDX,DWORD PTR SS:[EBP-608]

014A3942   . 52             PUSH EDX

014A3943   . 8D8D F4F7FFFF  LEA ECX,DWORD PTR SS:[EBP-80C]

014A3949   . E8 3FE0FFFF    CALL mBotLoad.014A198D

014A394E   . 8985 ECF7FFFF  MOV DWORD PTR SS:[EBP-814],EAX

014A3954   . 8B85 ECF7FFFF  MOV EAX,DWORD PTR SS:[EBP-814]

014A395A   . 8985 E8F7FFFF  MOV DWORD PTR SS:[EBP-818],EAX

014A3960   . C645 FC 02     MOV BYTE PTR SS:[EBP-4],2

014A3964   . 8B8D E8F7FFFF  MOV ECX,DWORD PTR SS:[EBP-818]

014A396A   . E8 35DDFFFF    CALL mBotLoad.014A16A4

014A396F   . 8985 E4F7FFFF  MOV DWORD PTR SS:[EBP-81C],EAX

014A3975   . 8B8D E4F7FFFF  MOV ECX,DWORD PTR SS:[EBP-81C]

014A397B   . 898D E0F7FFFF  MOV DWORD PTR SS:[EBP-820],ECX

014A3981   . C645 FC 03     MOV BYTE PTR SS:[EBP-4],3

014A3985   . 8B95 E0F7FFFF  MOV EDX,DWORD PTR SS:[EBP-820]

014A398B   . 52             PUSH EDX

014A398C   . 8D4D A4        LEA ECX,DWORD PTR SS:[EBP-5C]

014A398F   . E8 59DFFFFF    CALL mBotLoad.014A18ED

014A3994   . C645 FC 02     MOV BYTE PTR SS:[EBP-4],2

014A3998   . 8D8D 1CF8FFFF  LEA ECX,DWORD PTR SS:[EBP-7E4]

014A399E   . E8 B5DDFFFF    CALL mBotLoad.014A1758

014A39A3   . C645 FC 01     MOV BYTE PTR SS:[EBP-4],1

014A39A7   . 8D8D F4F7FFFF  LEA ECX,DWORD PTR SS:[EBP-80C]

014A39AD   . E8 A6DDFFFF    CALL mBotLoad.014A1758

014A39B2   . 6A 00          PUSH 0

014A39B4   . 68 08CC4B01    PUSH mBotLoad.014BCC08                   ;  ASCII "[NEWS]"

014A39B9   . 8D4D A4        LEA ECX,DWORD PTR SS:[EBP-5C]

014A39BC   . E8 4EDBFFFF    CALL mBotLoad.014A150F

014A39C1   . 8985 BCF9FFFF  MOV DWORD PTR SS:[EBP-644],EAX

014A39C7   . 8B85 BCF9FFFF  MOV EAX,DWORD PTR SS:[EBP-644]

014A39CD   . 3B05 88CA4B01  CMP EAX,DWORD PTR DS:[14BCA88]

014A39D3   . 0F84 B7000000  JE mBotLoad.014A3A90

014A39D9   . A1 88CA4B01    MOV EAX,DWORD PTR DS:[14BCA88]

014A39DE   . 50             PUSH EAX

014A39DF   . 6A 00          PUSH 0

014A39E1   . 68 80CA4B01    PUSH mBotLoad.014BCA80                   ;  ASCII "



"

014A39E6   . 8D4D A4        LEA ECX,DWORD PTR SS:[EBP-5C]

014A39E9   . E8 21DBFFFF    CALL mBotLoad.014A150F

014A39EE   . 50             PUSH EAX

014A39EF   . 8D8D 44F8FFFF  LEA ECX,DWORD PTR SS:[EBP-7BC]

014A39F5   . 51             PUSH ECX

014A39F6   . 8D4D A4        LEA ECX,DWORD PTR SS:[EBP-5C]

014A39F9   . E8 A6DCFFFF    CALL mBotLoad.014A16A4

014A39FE   . 8985 ECF7FFFF  MOV DWORD PTR SS:[EBP-814],EAX

014A3A04   . 8B95 ECF7FFFF  MOV EDX,DWORD PTR SS:[EBP-814]

014A3A0A   . 8995 E8F7FFFF  MOV DWORD PTR SS:[EBP-818],EDX

014A3A10   . C645 FC 04     MOV BYTE PTR SS:[EBP-4],4

014A3A14   . 8B85 E8F7FFFF  MOV EAX,DWORD PTR SS:[EBP-818]

014A3A1A   . 50             PUSH EAX

014A3A1B   . 8D4D A4        LEA ECX,DWORD PTR SS:[EBP-5C]

014A3A1E   . E8 CADEFFFF    CALL mBotLoad.014A18ED

014A3A23   . C645 FC 01     MOV BYTE PTR SS:[EBP-4],1

014A3A27   . 8D8D 44F8FFFF  LEA ECX,DWORD PTR SS:[EBP-7BC]

014A3A2D   . E8 26DDFFFF    CALL mBotLoad.014A1758

014A3A32   . A1 88CA4B01    MOV EAX,DWORD PTR DS:[14BCA88]

014A3A37   . 50             PUSH EAX

014A3A38   . 6A 00          PUSH 0

014A3A3A   . 68 08CC4B01    PUSH mBotLoad.014BCC08                   ;  ASCII "[NEWS]"

014A3A3F   . 8D4D A4        LEA ECX,DWORD PTR SS:[EBP-5C]

014A3A42   . E8 C8DAFFFF    CALL mBotLoad.014A150F

014A3A47   . 83C0 06        ADD EAX,6

014A3A4A   . 50             PUSH EAX

014A3A4B   . 8D8D 6CF8FFFF  LEA ECX,DWORD PTR SS:[EBP-794]

014A3A51   . 51             PUSH ECX

014A3A52   . 8D4D A4        LEA ECX,DWORD PTR SS:[EBP-5C]

014A3A55   . E8 4ADCFFFF    CALL mBotLoad.014A16A4

014A3A5A   . 8985 ECF7FFFF  MOV DWORD PTR SS:[EBP-814],EAX

014A3A60   . 8B95 ECF7FFFF  MOV EDX,DWORD PTR SS:[EBP-814]

014A3A66   . 8995 E8F7FFFF  MOV DWORD PTR SS:[EBP-818],EDX

014A3A6C   . C645 FC 05     MOV BYTE PTR SS:[EBP-4],5

014A3A70   . 8B85 E8F7FFFF  MOV EAX,DWORD PTR SS:[EBP-818]

014A3A76   . 50             PUSH EAX

014A3A77   . 8D4D A4        LEA ECX,DWORD PTR SS:[EBP-5C]

014A3A7A   . E8 6EDEFFFF    CALL mBotLoad.014A18ED

014A3A7F   . C645 FC 01     MOV BYTE PTR SS:[EBP-4],1

014A3A83   . 8D8D 6CF8FFFF  LEA ECX,DWORD PTR SS:[EBP-794]

014A3A89   . E8 CADCFFFF    CALL mBotLoad.014A1758

014A3A8E   . EB 20          JMP SHORT mBotLoad.014A3AB0

014A3A90   > C645 FC 00     MOV BYTE PTR SS:[EBP-4],0

014A3A94   . 8D4D A4        LEA ECX,DWORD PTR SS:[EBP-5C]

014A3A97   . E8 BCDCFFFF    CALL mBotLoad.014A1758

014A3A9C   . C745 FC FFFFFF>MOV DWORD PTR SS:[EBP-4],-1

014A3AA3   . 8D4D CC        LEA ECX,DWORD PTR SS:[EBP-34]

014A3AA6   . E8 ADDCFFFF    CALL mBotLoad.014A1758

014A3AAB   . E9 1D010000    JMP mBotLoad.014A3BCD

014A3AB0   > C785 B0F9FFFF >MOV DWORD PTR SS:[EBP-650],0

014A3ABA   . 68 04CC4B01    PUSH mBotLoad.014BCC04                   ;  ASCII "##"

014A3ABF   . 8D8D 88F9FFFF  LEA ECX,DWORD PTR SS:[EBP-678]

014A3AC5   . E8 C3DEFFFF    CALL mBotLoad.014A198D

014A3ACA   . C645 FC 06     MOV BYTE PTR SS:[EBP-4],6

014A3ACE   . C785 7CF9FFFF >MOV DWORD PTR SS:[EBP-684],0

014A3AD8   > 6A 00          PUSH 0

014A3ADA   . 8D85 88F9FFFF  LEA EAX,DWORD PTR SS:[EBP-678]

014A3AE0   . 50             PUSH EAX

014A3AE1   . 8D4D A4        LEA ECX,DWORD PTR SS:[EBP-5C]

014A3AE4   . E8 45DEFFFF    CALL mBotLoad.014A192E

014A3AE9   . 8985 B0F9FFFF  MOV DWORD PTR SS:[EBP-650],EAX

014A3AEF   . 8B8D B0F9FFFF  MOV ECX,DWORD PTR SS:[EBP-650]

014A3AF5   . 3B0D 88CA4B01  CMP ECX,DWORD PTR DS:[14BCA88]

014A3AFB   . 74 76          JE SHORT mBotLoad.014A3B73

014A3AFD   . 8B85 B0F9FFFF  MOV EAX,DWORD PTR SS:[EBP-650]

014A3B03   . 50             PUSH EAX

014A3B04   . 6A 00          PUSH 0

014A3B06   . 8D8D 54F9FFFF  LEA ECX,DWORD PTR SS:[EBP-6AC]

014A3B0C   . 51             PUSH ECX

014A3B0D   . 8D4D A4        LEA ECX,DWORD PTR SS:[EBP-5C]

014A3B10   . E8 8FDBFFFF    CALL mBotLoad.014A16A4

014A3B15   . C645 FC 07     MOV BYTE PTR SS:[EBP-4],7

014A3B19   . 8D85 54F9FFFF  LEA EAX,DWORD PTR SS:[EBP-6AC]

014A3B1F   . 50             PUSH EAX

014A3B20   . 8B8D 7CF9FFFF  MOV ECX,DWORD PTR SS:[EBP-684]

014A3B26   . C1E1 05        SHL ECX,5

014A3B29   . 81C1 40154C01  ADD ECX,mBotLoad.014C1540

014A3B2F   . E8 14D8FFFF    CALL mBotLoad.014A1348

014A3B34   . 8D8D 88F9FFFF  LEA ECX,DWORD PTR SS:[EBP-678]

014A3B3A   . E8 F9DDFFFF    CALL mBotLoad.014A1938

014A3B3F   . 0385 B0F9FFFF  ADD EAX,DWORD PTR SS:[EBP-650]

014A3B45   . 50             PUSH EAX

014A3B46   . 6A 00          PUSH 0

014A3B48   . 8D4D A4        LEA ECX,DWORD PTR SS:[EBP-5C]

014A3B4B   . E8 E8D8FFFF    CALL mBotLoad.014A1438

014A3B50   . 8B85 7CF9FFFF  MOV EAX,DWORD PTR SS:[EBP-684]

014A3B56   . 83C0 01        ADD EAX,1

014A3B59   . 8985 7CF9FFFF  MOV DWORD PTR SS:[EBP-684],EAX

014A3B5F   . C645 FC 06     MOV BYTE PTR SS:[EBP-4],6

014A3B63   . 8D8D 54F9FFFF  LEA ECX,DWORD PTR SS:[EBP-6AC]

014A3B69   . E8 EADBFFFF    CALL mBotLoad.014A1758

014A3B6E   .^E9 65FFFFFF    JMP mBotLoad.014A3AD8

014A3B73   > 8B85 7CF9FFFF  MOV EAX,DWORD PTR SS:[EBP-684]

014A3B79   . A3 00104C01    MOV DWORD PTR DS:[14C1000],EAX

014A3B7E   . C645 FC 01     MOV BYTE PTR SS:[EBP-4],1

014A3B82   . 8D8D 88F9FFFF  LEA ECX,DWORD PTR SS:[EBP-678]

014A3B88   . E8 CBDBFFFF    CALL mBotLoad.014A1758

014A3B8D   > 8BF4           MOV ESI,ESP

014A3B8F   . 8B85 ECF9FFFF  MOV EAX,DWORD PTR SS:[EBP-614]

014A3B95   . 50             PUSH EAX                                 ; /Socket

014A3B96   . FF15 442A4C01  CALL DWORD PTR DS:[<&WS2_32.#3>]         ; \closesocket

014A3B9C   . 3BF4           CMP ESI,ESP

014A3B9E   . E8 F6DBFFFF    CALL mBotLoad.014A1799

014A3BA3   . 8BF4           MOV ESI,ESP

014A3BA5   . FF15 3C2A4C01  CALL DWORD PTR DS:[<&WS2_32.#116>]       ; [WSACleanup

014A3BAB   . 3BF4           CMP ESI,ESP

014A3BAD   . E8 E7DBFFFF    CALL mBotLoad.014A1799

014A3BB2   . C645 FC 00     MOV BYTE PTR SS:[EBP-4],0

014A3BB6   . 8D4D A4        LEA ECX,DWORD PTR SS:[EBP-5C]

014A3BB9   . E8 9ADBFFFF    CALL mBotLoad.014A1758

014A3BBE   . C745 FC FFFFFF>MOV DWORD PTR SS:[EBP-4],-1

014A3BC5   . 8D4D CC        LEA ECX,DWORD PTR SS:[EBP-34]

014A3BC8   . E8 8BDBFFFF    CALL mBotLoad.014A1758

014A3BCD   > 52             PUSH EDX

014A3BCE   . 8BCD           MOV ECX,EBP

014A3BD0   . 50             PUSH EAX

014A3BD1   . 8D15 083C4A01  LEA EDX,DWORD PTR DS:[14A3C08]

014A3BD7   . E8 35D7FFFF    CALL mBotLoad.014A1311

014A3BDC   . 58             POP EAX

014A3BDD   . 5A             POP EDX

014A3BDE   . 8B4D F4        MOV ECX,DWORD PTR SS:[EBP-C]

014A3BE1   . 64:890D 000000>MOV DWORD PTR FS:[0],ECX

014A3BE8   . 59             POP ECX

014A3BE9   . 5F             POP EDI

014A3BEA   . 5E             POP ESI

014A3BEB   . 5B             POP EBX

014A3BEC   . 8B4D F0        MOV ECX,DWORD PTR SS:[EBP-10]

014A3BEF   . 33CD           XOR ECX,EBP

014A3BF1   . E8 F0D4FFFF    CALL mBotLoad.014A10E6

014A3BF6   . 81C4 20080000  ADD ESP,820

014A3BFC   . 3BEC           CMP EBP,ESP

014A3BFE   . E8 96DBFFFF    CALL mBotLoad.014A1799

014A3C03   . 8BE5           MOV ESP,EBP

014A3C05   . 5D             POP EBP

014A3C06   . C3             RETN

I'm not entirelly sure if it's working using a website (as the original crack) but I know is that not with it getip.joysro.com/custom/getMBotNews.php So I want to remove it with his OnExit event.

I'm trying to avoid using a loopback adapter or any other suspicious loaders (2mb+ just for injecting and/or getting a web response? funny enough!)

Also, there is an IP (46.28.206.6) that could be the reason for mBot login but my suspicious are low since is hosted from switzerland company. Please, think about me like Jon Snow when I'm looking asm.

Here the loader executable :

The binary is a mess because it was compiled in debug mode. Seems to be a thing in sro ... no idea why ... its dumb and makes ppl get random missing dll errors leading them to download random dlls from malicious sites.

[Only registered and activated users can see links. Click Here To Register...]

I'm going to post some generated pseudo-code. It's easier to understand. I don't think going for pure assembly is necessary.

The code you got there is the "news download code". Doesn't seem to be really interesting. Just some WS2_32 communication stuff.

This part seems to open the web page: [Only registered and activated users can see links. Click Here To Register...]

Whats interesting is this part: [Only registered and activated users can see links. Click Here To Register...]
It loops a messagebox ... dafug ... and dword_811000 is set in .... GetNews!

[Only registered and activated users can see links. Click Here To Register...]

Ahhaaaa
[Only registered and activated users can see links. Click Here To Register...]
dword_811000 is the number of news available, and the loop from above just displays one news at a time. Very ... annoying ... (I actually purely guessed this part based on the "##" being also present in the news output [Only registered and activated users can see links. Click Here To Register...])

Anyway ... the heart of the crack ... the heart of about any mBotCrack out there ... is this:
[Only registered and activated users can see links. Click Here To Register...]

I think everyone is just reusing the crack.dll made by coldFever/NoEx. His server went offline long time ago, so the crack stopped working. Everyone is just replacing the ip inside the dll with a different one. Thats all. No crack magic performed by anyone.
I have no idea what this server is doing; what it has to answer; if it has to answer at all ... but it shouldnt be that hard to figure out since there is at least one left online.