AlterMW3 помогает DDOS-атаке на сайт Teknogods

Архив


Многие заметили, что сайт teknogods.com часто лежал в дауне из-за DDOS-атаки на прошлой неделе, после тщательного расследования все тайны выплыли наружу: AlterMW3 используют ВАС для атаки. Это часть ботнет-сети, атакующей главный сайт программистов, и превращают ваш компьютер в управляемого зомби.

Любой, кто играет через alterMW3 причастен к этой грязной работенке. Таким образом использовали всех, более 60000 человек по всему миру.

Для доказательств было выложено содержание файла iw5m.dll от AlterMW3. В нем содержатся особая функция, запускающаяся прямо во время игры.

 Содержание dll

.text:100EBF70 push ebp
.text:100EBF71 mov ebp, esp
.text:100EBF73 sub esp, 354h
.text:100EBF79 mov eax, dword_1029C6D0
.text:100EBF7E xor eax, ebp
.text:100EBF80 mov [ebp+var_4], eax
.text:100EBF83 push ebx
.text:100EBF84 push esi
.text:100EBF85 push edi
.text:100EBF86 push 3
.text:100EBF88 call sub_100BE567
.text:100EBF8D add esp, 4
.text:100EBF90 call sub_100BF381
.text:100EBF95 mov [ebp+var_8], eax
.text:100EBF98 cmp [ebp+var_8], 0
.text:100EBF9C jz loc_100EC483
.text:100EBFA2
.text:100EBFA2 loc_100EBFA2:
.text:100EBFA2 mov eax, 1
.text:100EBFA7 test eax, eax
.text:100EBFA9 jz loc_100EC483
.text:100EBFAF push 0FAh ; delay for the thread loop
.text:100EBFB4 call ds:Sleep
.text:100EBFBA mov [ebp+var_108], 't' ; encrypted link to teknogods forums
.text:100EBFC1 mov [ebp+var_107], 'h'
.text:100EBFC8 mov [ebp+var_106], 'h'
.text:100EBFCF mov [ebp+var_105], 'l'
.text:100EBFD6 mov [ebp+var_104], '&'
.text:100EBFDD mov [ebp+var_103], '3'
.text:100EBFE4 mov [ebp+var_102], '3'
.text:100EBFEB mov [ebp+var_101], 'k'
.text:100EBFF2 mov [ebp+var_100], 'k'
.text:100EBFF9 mov [ebp+var_FF], 'k'
.text:100EC000 mov [ebp+var_FE], '2'
.text:100EC007 mov [ebp+var_FD], 'h'
.text:100EC00E mov [ebp+var_FC], 'y'
.text:100EC015 mov [ebp+var_FB], 'w'
.text:100EC01C mov [ebp+var_FA], 'r'
.text:100EC023 mov [ebp+var_F9], 's'
.text:100EC02A mov [ebp+var_F8], '{'
.text:100EC031 mov [ebp+var_F7], 's'
.text:100EC038 mov [ebp+var_F6], 'x'
.text:100EC03F mov [ebp+var_F5], 'o'
.text:100EC046 mov [ebp+var_F4], '2'
.text:100EC04D mov [ebp+var_F3], ''
.text:100EC054 mov [ebp+var_F2], 's'
.text:100EC05B mov [ebp+var_F1], 'q'
.text:100EC062 mov [ebp+var_F0], '3'
.text:100EC069 mov [ebp+var_EF], 'l'
.text:100EC070 mov [ebp+var_EE], 't'
.text:100EC077 mov [ebp+var_ED], 'l'
.text:100EC07E mov [ebp+var_EC], '~'
.text:100EC085 mov [ebp+var_EB], '~'
.text:100EC08C mov [ebp+var_EA], '3'
.text:100EC093 mov [ebp+var_E9], 1Ch
.text:100EC09A mov [ebp+var_20C], 0

Как видите, если сложить код по частицам, получится закодированный код "thhl&33kkk2hywrs{sxo2.sq3ltl~~". Если преобразовать его методом XOR с 0x1C, получится “http://www.teknogods.com/phpbb”. Именно поэтому ссылку на форум перенесли на phpbb_a. Новая версия файла еще и подключается к IRC, что может сделать ваш ПК контролируемым издалека.

Админам сайта teknogods трудно сдержать свои эмоции, они называют это "самым идиотским применением", удивляются такому использованию игроков, ну и просто называют их ламерами и слабаками, ведь их метод запуска Call of Duty: Modern Warfare 3 оказался хуже, и они пошли на такие отчаянные меры.

Но все это никак не помешает дальнейшему улучшению фикса, новая версия TeknoMW3 почти готова!

На форуме alterMW3 уже много тем с жалобами, сообщениями в стиле "что вы творите? как вам не стыдно?", ну а админы молчат и, наверное, краснеют от стыда.