WARNUNG: Vor dem neuen CrossFire Hack (Analyse)

[ChEaLsEa$miLe]

Also, wie du es herausgefunden hast?

WIE? Nur weil die Datei größer war?

Thx.

€: Latschko dein Taskmanager sieht aus als wenn er tot wäre... oO

Sicher das, dass an dem Hack liegt.

[TTTOM93]

ok ich nehm ihn raus!!!!!

[lxraptorxxl2]

lol bei mir ist überhaupt nichts anderes xD was erzählst du da?!

[Zacherl]

Ich habe es herausgefunden, indem ich die EXE Datei analysiert habe. Diese droppt die modifizierte DLL Datei. Diese habe ich auch analysiert und verdächtige APIs entdeckt, die auf einen Keylogger hinweisen.

Die Manipulation der InternetExplorer Sicherheitseinstellungen haben mir dann den Rest gegeben!

Beweisvideo direkt von meiner VM:

[Mirco']

Quote:

Originally Posted by Zacherl

Hey,

ich muss euch leider warnen vor dem neuen CrossFire Hack mit Fly, Superjump, etc.

Benutzt ihn auf keinen FALL!

Wenn ihr ihn einmal ausführt, wird die originale LTMsg.dll (ca. 6KiB) aus dem Spieleordner ausgetauscht (neue Datei ca 1.19MiB).
Diese DLL wird fortan IMMER geladen, wenn ihr das Spiel startet. Auch dann, wenn ihr den Hack nicht laufen habt. Nach eingehender Analyse der Datei konnte ich festellen, dass:

1) Die Sicherheitszonen-Einstellungen des Internet Explorers manipuliert werden
2) Alle in CrossFire eingegebenen Tastatureingabenen geloggt und verschickt werden

Ich kann euch nur warnen, den Hack nicht zu benutzen! Fals ihr es schon getan habt, löscht eure komplette CrossFire Installation und achtet besonders darauf, dass die manipulierte LTMsg.dll weg ist, bevor ihr neu installiert.

Viele Grüße
Zacherl

^true CF deinstalieren & neu installieren.

Er läd im Hintergrund was runter (kA was)

Sieht man nicht so auf an Hieb aber in Prozesse + Netzwerk sieht man die veränderung.

[ChEaLsEa$miLe]

@TTTOM93

Ist das wirklich ein Virus / Keylogger?

Leute was labert ihr? Meine Prozesse sind okay, und Avria Premium findet auch nix, außer
den Hack selbst..

Ich werde ihn weiter benutzen, es ist ein Spiel und mehr nicht.

[moonlightxxx]

bei mir ist alles normal

 Spoiler

[Latschko]

Ok Taskmanager problem is gelöst ich habs herausgefunden wie ich den wiederherstelle aber wenn ich hack starte passiert es wieder ich glaub der will das mann i-einen prozess nicht schliessen kann
mfg Latschko

[Zacherl]

Endlich mal jemand, der die Bedrohung ernst nimmt. Bin grade dabei eine genauere Analyse anzufertigen.

[BestOfElite]

OMG hmm also
pro:
bei mir hat die dll auch ohne das ich das spiel starte 6mb

contra(wie auch imma):
bei mir wurde trotzdem die dll üerschrieben als ich den hack das erste mal startete...
er wurde 2008 geändert xD (da hab ich noch nicht mal gespielt ^^)
als ich es zum ersten mal startete wa auch der letzte zugriff...

komisch das er so viele seiten startet vllt macht er das um sich so viel zeit zu schaffen bevor man alle schliest

[Zacherl]

Normal ist die DLL 6Kilobyte und nach dem Hack Start 1.2Megabyte. Seht euch auch das Video von meiner VM an.

Im Taskmanager sieht man nichts. Der Keylogger ist nur dann aktiv, wenn ihr CrossFire.exe laufen habt. Er bedindet sich ja in der DLL, die von CrossFire geladen wird.

[moonlightxxx]

sorry,hab dich da wohl unterschaetzt

aber wie gesagt ist bei mir alles normal oO

[ChEaLsEa$miLe]

Wenn ich dann Cf während der Hack läuft starte, auch keine Auffälligen Prozesse, und wenn etwas über die Dll verschickt wird, zeigt der Security / Normale Taskmanager schon etwas an.

[Zacherl]

Quote:

Originally Posted by ChEaLsEa$miLe

Wenn ich dann Cf während der Hack läuft starte, auch keine Auffälligen Prozesse, und wenn etwas über die Dll verschickt wird, zeigt der Security / Normale Taskmanager schon etwas an.

Die Dummen sterben halt nicht aus. Wenns dich nicht interessiert, dann spamm nicht rumm und halt dich einfach raus aus dem Thread.
WIE ICH BEREITS SAGTE, FÜR DIE LEUTE, DIE NICHT LESEN KÖNNEN, IM TASKMANAGER SIEHT MAN NIX!!!

ALSO NIX AUFFÄLLIGER PROZESS. Sondern ganz einfach nur CrossFire.exe. Und wenn über die DLL was verschickt wird, zeigen deine Taskmanager rein gar nichts an. Nichtmal deine Firewall wird meckern, da du CrossFire sicherlich den Internetzugriff erlaubt hast

[ChEaLsEa$miLe]

Mir wurscht, zocke mit Noob-Acc : )