超级玩家
 
- 贡献度
- 62
- 金元
- 4341
- 积分
- 682
- 精华
- 0
- 注册时间
- 2009-12-9
|
本帖最后由 Arx_Fatalis 于 2012-2-12 07:30 编辑
原文:
http://teknogods.com/?p=732
翻译:
许多人都注意到了过去的一周我们遭受了严重的DDOS攻击。搞定它之后,我们调查了到底是哪个SB用它的木鸡网络干的。
今天真相大白了,攻击我们网站的就是玩家“你”!
他们利用了所有那些玩A组MW3破解的玩家,超过60000人,来干他们肮脏的勾当。
下面是A组“iw5m.dll"的部分代码(来自原文件,未做任何修改)。这dll文件包含了一条指令,在你玩A组破解的时候会一直运行,运行来干什么?用来攻击我们的服务器!
.text:100EBF70 push ebp
.text:100EBF71 mov ebp, esp
.text:100EBF73 sub esp, 354h
.text:100EBF79 mov eax, dword_1029C6D0
.text:100EBF7E xor eax, ebp
.text:100EBF80 mov [ebp+var_4], eax
.text:100EBF83 push ebx
.text:100EBF84 push esi
.text:100EBF85 push edi
.text:100EBF86 push 3
.text:100EBF88 call sub_100BE567
.text:100EBF8D add esp, 4
.text:100EBF90 call sub_100BF381
.text:100EBF95 mov [ebp+var_8], eax
.text:100EBF98 cmp [ebp+var_8], 0
.text:100EBF9C jz loc_100EC483
.text:100EBFA2
.text:100EBFA2 loc_100EBFA2:
.text:100EBFA2 mov eax, 1
.text:100EBFA7 test eax, eax
.text:100EBFA9 jz loc_100EC483
.text:100EBFAF push 0FAh ; delay for the thread loop
.text:100EBFB4 call ds:Sleep
.text:100EBFBA mov [ebp+var_108], 't' ; encrypted link to teknogods forums
.text:100EBFC1 mov [ebp+var_107], 'h'
.text:100EBFC8 mov [ebp+var_106], 'h'
.text:100EBFCF mov [ebp+var_105], 'l'
.text:100EBFD6 mov [ebp+var_104], '&'
.text:100EBFDD mov [ebp+var_103], '3'
.text:100EBFE4 mov [ebp+var_102], '3'
.text:100EBFEB mov [ebp+var_101], 'k'
.text:100EBFF2 mov [ebp+var_100], 'k'
.text:100EBFF9 mov [ebp+var_FF], 'k'
.text:100EC000 mov [ebp+var_FE], '2'
.text:100EC007 mov [ebp+var_FD], 'h'
.text:100EC00E mov [ebp+var_FC], 'y'
.text:100EC015 mov [ebp+var_FB], 'w'
.text:100EC01C mov [ebp+var_FA], 'r'
.text:100EC023 mov [ebp+var_F9], 's'
.text:100EC02A mov [ebp+var_F8], '{'
.text:100EC031 mov [ebp+var_F7], 's'
.text:100EC038 mov [ebp+var_F6], 'x'
.text:100EC03F mov [ebp+var_F5], 'o'
.text:100EC046 mov [ebp+var_F4], '2'
.text:100EC04D mov [ebp+var_F3], ''
.text:100EC054 mov [ebp+var_F2], 's'
.text:100EC05B mov [ebp+var_F1], 'q'
.text:100EC062 mov [ebp+var_F0], '3'
.text:100EC069 mov [ebp+var_EF], 'l'
.text:100EC070 mov [ebp+var_EE], 't'
.text:100EC077 mov [ebp+var_ED], 'l'
.text:100EC07E mov [ebp+var_EC], '~'
.text:100EC085 mov [ebp+var_EB], '~'
.text:100EC08C mov [ebp+var_EA], '3'
.text:100EC093 mov [ebp+var_E9], 1Ch
.text:100EC09A mov [ebp+var_20C], 0
.text:100EC0A4 jmp short loc_100EC0B5
.text:100EC0A4 jmp short loc_100EC0B5
As you can see, this piece of code builds an encrypted string “thhl&33kkk2hywrs{sxo2.sq3ltl~~”. If we XOR this string with 0x1C, the result is “http://www.teknogods.com/phpbb”
This is the exact URL that we got attacked at constantly (that is why we moved our forum to phpbb_a). You can thank ntauthority for making you a part of HIS private botnet. We’re wondering though, what else he has used you people for? TeknoGods would never do anything like this, because it is lame, way below our standards and not to mention illegal.
Our dedicated servers work even when user is fully offline and do not require users to register for anything. Anyone can play from anywhere, anytime, offline and online (there are still a few bugs, but we’re working constantly to fix them).
TL;DR: Altermw3 is a malware; ntauthority of alteriw.net is using altermw3 users for a DDoS (distributed denial of service) attack against our web page.
If you’re a reverse-engineer, download the altermw3 ‘iw5m.dll’ malware here a see for yourself!
PS. New version of TeknoMW3 is almost ready!
Regards,
- TeknoGods Team -
一个插曲:某玩家在A组论坛发帖说服务器又挂了,我是否能提供帮助?
回答说:这是alpha测试,我们没要求你们来测,一边去等着,不然就ban了。
呵呵,玩家好像也没要求被利用去攻击T组网站吧。每天大姨妈,靠玩家的广告流量赚钱,还拿自己当爹一样。
PS:如果T组不发布破解,A这样能匆忙放出alpha测试吗?这满是bug的alpha测试计划中本就不存在,急忙发布来抢玩家人气的东西
这A组真是恬不知耻,我个人表示目前用的T组,以后也绝不碰A。
更新1:
A组玩家在论坛对此事件的讨论:
http://alteriw.net/viewtopic.php?f=140&t=109477
愤怒的A组玩家要求NTA来当面解释,结果遭锁帖。然后就有了下面某个管理员出来发的解释帖。
更新2:
A组对此事的主页回应:
http://alteriw.net/viewtopic.php?t=109481
1.这是"NTAuthority"给T组人开的一个“小玩笑”
点评:NTAuthority,我不小心把你老婆上了,其实是个玩笑啊,别在意~
2.这是"NTAuthority"的个人行为,现在其他管理员劝说下改回来了。
点评:谁都知道只有拿钱的那个才会干这种攻击行为,而且A组的主程序就NTA一人,根本不存在所谓管理组
更新3:
A组管理员(也就是发主页回应的那个人),去T组论坛回帖道歉并表示再也不会发生类似事情了
”we are very sorry and we make sure it won't happen again."
更新4:
之前主页新闻被撤(那篇虽然承认自己干了,但试图将问题淡化的)
他们显然认为上次做的太保守了,这次的主页转守为攻:
《来自Teknogods的恶意软件指控》(真是有趣,就在他们对T组道歉完之后)
http://alteriw.net/viewtopic.php?t=109616
某帖NTA遭人肉曝光
http://teknogods.com/phpbb_a/vie ... 2ced19e6f24cdf603e4
(个人不想发表评论,我不喜欢这种直接攻击人的行为,不过有好事者爱看就放在这了) |
|
[复制链接]
发表于 2012-2-9 12:11
收藏