Cerere unban hDk
Posted: Wed Apr 30, 2025 4:34 am
Name: hDk`
IP: 84.232.202.50
Date: 30.04.2025 ~2AM
SteamID: STEAM_1:1:1888684452
Reason: aim+demo
Unban Time: Permanent Ban
Admin Name: FuEl InJeCtEd w/ p
Description:
Ma muta fuel spec si imi spune: "hdk wg". Imi frec barba si ma gandesc, ce pana mea e un wg ? Ii spun ca n-am mai jucat cs de ~7 ani si trebuie sa imi explice ca nu inteleg.
Imi da un link, intru si imi dau seama ca e vorba de un fel de cheating-death, downloadez executabilul.
Avand experienta de ceva ani buni in cybersecurity, fac un check rapid pe virustotal si ma iau emotiile cand vad ca a fost identificat ca malitios (trojan + miner) de 24 vendori.
Intru inapoi pe server sa clarific situatia, de ce ma puneti sa instalez virusi ?
)) Primesc diverse raspunsuri si un ultimatum de la FuEl ca am 5 minute sa fac scanul. Ii cer 10 minute, nu vrea sa imi dea :<, probabil a auzit 99 de povesti lacrimogene similare cu asta, nu si-a inchipuit ca nr. 100 e adevarata.
Zic ce-o fi o fi, hai sa instalez virusu`), il scot eu dupa. Iau repede un tracer sa urmaresc ce face installerul si pornesc wg... Imi da eroare... -_-`.
Intru inapoi pe server sa anunt adminul ca mi-a dat eroare, sa nu imi dea ban ca a expirat timpul. Ma plang un pic ca am ajuns sa instalez virusi ca sa pot sa joc cs, dau alt tab sa fac debugging la installer de wg si la doua secunde clipoceste cs`u... banned -_-`.
Realizez cum arata situatia din perspectiva adminului, face sens banul. Citind povestea de mai sus, sper ca puteti vedea situatia si din perspectiva mea. Imi place serverul suficient incat sa imi infectez PC-ul, as aprecia daca ati revizui impreuna demo-ul si sa luati in considerare unban. Sunt jucator vechi de cs dadeam bine pe vremuri... momentan sunt mediocru, m-am reapucat abia acum 3-4 zile de cs. Este unu Atila suparat pe viata care sufera de el =)), auzi la el cica "IA UITE CINE MA BATE" sau ceva de genul asta. Momentan da mai bine ca mine dar in 2-4 saptamani ma reobisnuiesc cu jocul si cred ca o sa il fac sa planga).
Evidence:
CFG:
name "hDk`"
alias war3ft "connect 82.77.209.164:27015"
alias rebelii "connect 85.120.51.45:27279"
cl_crosshair_size 1
cl_righthand 0
hud_fastswitch 1
cl_bocycle 0
cl_dynamiccrosshair 0
_cl_autowepswitch 0
sensitivity 1
fps_max "101"
rate "25000"
cl_updaterate "101"
cl_cmdrate "101"
mp_consistency 0
r_detailtextures 1
gl_max_size 512
bind mwheelup "+jump;wait"
bind mwheeldown "+duck"
bind f1 "mask;helm"
bind f2 "tome;tome;tome;tome;tome;tome;tome;tome;tome;tome"
bind f3 "m4a1;ak47;primammo"
bind f4 "famas;galil;primammo"
bind f5 "awp;primammo"
bind f ultimate
bind alt stopsound
bind z vest
bind x hegren
bind c vesthelm
bind v "deagle;secammo"
bind t "flash;wait;flash"
wait;wait;wait;wait;wait;wait;clear
Investigatie executabil wargods:
https://www.virustotal.com/gui/file/78b ... c70aa0b9f2
La o prima vedere din raport (precision guesswork) se intample urmatoarele:
Cand apesi scan se creeaza si executa program.exe; Asta creeaza un task schedule (sa porneasca la startup probabil), face niste magarii sa nu primesti notificari ca instaleaza 2 programe pe naspa (alea cu nume lungi). Alea doua programe par sa instaleze mineri crypto deghizati ca doua instante de chrome "updater" - 1 pentru cpu si 1 pentru gpu probabil. Isi corecteaza magaria care a facut-o mai devreme si executa 996E.exe, programul real de anticheat. Avand in vedere ca a fost compilat ultima oara in 2020-06-08 14:32:12 UTC, vad doua posibilitati: fie baietii si-au atins scopul si mineaza de 4 ani, fie au dat gres si au abandonat ideea - tind sa cred ca e prima varianta. Putem sa verificam, sunt tare curios: Uitati-va daca aveti 2 procese deschise numite updater.exe cu locatiile "C:\Program Files (x86)\Google360_129574240\bin\updater.exe" si "C:\Program Files (x86)\Google4068_584353415\bin\updater.exe". Daca da, stergeti folderele & task scheduler si scapati de ele... si cand va mai cere cineva un scan il instalati iar ). Workaround-ul de pe site face downgrade la TLS 1.2 (protocol securitate retea) pentru tot systemul which is generally considered a bad move, TLS 1.3 e next level la performance & security.
IP: 84.232.202.50
Date: 30.04.2025 ~2AM
SteamID: STEAM_1:1:1888684452
Reason: aim+demo
Unban Time: Permanent Ban
Admin Name: FuEl InJeCtEd w/ p
Description:
Ma muta fuel spec si imi spune: "hdk wg". Imi frec barba si ma gandesc, ce pana mea e un wg ? Ii spun ca n-am mai jucat cs de ~7 ani si trebuie sa imi explice ca nu inteleg.
Imi da un link, intru si imi dau seama ca e vorba de un fel de cheating-death, downloadez executabilul.
Avand experienta de ceva ani buni in cybersecurity, fac un check rapid pe virustotal si ma iau emotiile cand vad ca a fost identificat ca malitios (trojan + miner) de 24 vendori.
Intru inapoi pe server sa clarific situatia, de ce ma puneti sa instalez virusi ?
)) Primesc diverse raspunsuri si un ultimatum de la FuEl ca am 5 minute sa fac scanul. Ii cer 10 minute, nu vrea sa imi dea :<, probabil a auzit 99 de povesti lacrimogene similare cu asta, nu si-a inchipuit ca nr. 100 e adevarata.Zic ce-o fi o fi, hai sa instalez virusu`
), il scot eu dupa. Iau repede un tracer sa urmaresc ce face installerul si pornesc wg... Imi da eroare... -_-`. Intru inapoi pe server sa anunt adminul ca mi-a dat eroare, sa nu imi dea ban ca a expirat timpul. Ma plang un pic ca am ajuns sa instalez virusi ca sa pot sa joc cs, dau alt tab sa fac debugging la installer de wg si la doua secunde clipoceste cs`u... banned -_-`.
Realizez cum arata situatia din perspectiva adminului, face sens banul. Citind povestea de mai sus, sper ca puteti vedea situatia si din perspectiva mea. Imi place serverul suficient incat sa imi infectez PC-ul, as aprecia daca ati revizui impreuna demo-ul si sa luati in considerare unban. Sunt jucator vechi de cs dadeam bine pe vremuri... momentan sunt mediocru, m-am reapucat abia acum 3-4 zile de cs. Este unu Atila suparat pe viata care sufera de el =)), auzi la el cica "IA UITE CINE MA BATE" sau ceva de genul asta. Momentan da mai bine ca mine dar in 2-4 saptamani ma reobisnuiesc cu jocul si cred ca o sa il fac sa planga
).Evidence:
CFG:
name "hDk`"
alias war3ft "connect 82.77.209.164:27015"
alias rebelii "connect 85.120.51.45:27279"
cl_crosshair_size 1
cl_righthand 0
hud_fastswitch 1
cl_bocycle 0
cl_dynamiccrosshair 0
_cl_autowepswitch 0
sensitivity 1
fps_max "101"
rate "25000"
cl_updaterate "101"
cl_cmdrate "101"
mp_consistency 0
r_detailtextures 1
gl_max_size 512
bind mwheelup "+jump;wait"
bind mwheeldown "+duck"
bind f1 "mask;helm"
bind f2 "tome;tome;tome;tome;tome;tome;tome;tome;tome;tome"
bind f3 "m4a1;ak47;primammo"
bind f4 "famas;galil;primammo"
bind f5 "awp;primammo"
bind f ultimate
bind alt stopsound
bind z vest
bind x hegren
bind c vesthelm
bind v "deagle;secammo"
bind t "flash;wait;flash"
wait;wait;wait;wait;wait;wait;clear
Investigatie executabil wargods:
https://www.virustotal.com/gui/file/78b ... c70aa0b9f2
La o prima vedere din raport (precision guesswork) se intample urmatoarele:
Cand apesi scan se creeaza si executa program.exe; Asta creeaza un task schedule (sa porneasca la startup probabil), face niste magarii sa nu primesti notificari ca instaleaza 2 programe pe naspa (alea cu nume lungi). Alea doua programe par sa instaleze mineri crypto deghizati ca doua instante de chrome "updater" - 1 pentru cpu si 1 pentru gpu probabil. Isi corecteaza magaria care a facut-o mai devreme si executa 996E.exe, programul real de anticheat. Avand in vedere ca a fost compilat ultima oara in 2020-06-08 14:32:12 UTC, vad doua posibilitati: fie baietii si-au atins scopul si mineaza de 4 ani, fie au dat gres si au abandonat ideea - tind sa cred ca e prima varianta. Putem sa verificam, sunt tare curios: Uitati-va daca aveti 2 procese deschise numite updater.exe cu locatiile "C:\Program Files (x86)\Google360_129574240\bin\updater.exe" si "C:\Program Files (x86)\Google4068_584353415\bin\updater.exe". Daca da
, stergeti folderele & task scheduler si scapati de ele... si cand va mai cere cineva un scan il instalati iar ). Workaround-ul de pe site face downgrade la TLS 1.2 (protocol securitate retea) pentru tot systemul which is generally considered a bad move, TLS 1.3 e next level la performance & security.Code: Select all
Shell commands
"C:\Users\<USER>\AppData\Local\Temp\program.exe"
C:\Users\<USER>\AppData\Local\Temp\program.exe
C:\Windows\System32\svchost.exe -k netsvcs -p
C:\Windows\system32\SecurityHealthService.exe
"%SAMPLEPATH%\39BDC55A9E26E6EAE4FA2B46CF79D79F.exe"
"%SAMPLEPATH%\78bc50bbd753cb431221e4d2c5f67177c18611c0afcc83438f2a14c70aa0b9f2.exe"
"C:\Program Files (x86)\Google360_129574240\bin\updater.exe" --crash-handler --system "--database=C:\Program Files (x86)\Google\GoogleUpdater\126.0.6441.0\Crashpad" --url=https://clients2.google.com/cr/report --annotation=prod=Update4 --annotation=ver=126.0.6441.0 "--attachment=C:\Program Files (x86)\Google\GoogleUpdater\updater.log" --initial-client-data=0x250,0x254,0x258,0x22c,0x25c,0x1677654,0x1677660,0x167766c
"C:\Program Files (x86)\Google360_129574240\bin\updater.exe" --update --system --enable-logging --vmodule=*/chrome/updater/*=2 /sessionid {815B4C8C-8C7D-4C1C-9487-472A5DC879D0}
"C:\Program Files (x86)\Google4068_584353415\bin\updater.exe" --update --system --enable-logging --vmodule=*/chrome/updater/*=2 /sessionid {A755ED6C-78E3-4B32-B0AE-BA13AA885F76} --enable-logging --vmodule=*/components/winhttp/*=1,*/components/update_client/*=2,*/chrome/updater/*=2
"C:\Program Files (x86)\Google4068_584353415\bin\updater.exe" --crash-handler --enable-logging --vmodule=*/components/winhttp/*=1,*/components/update_client/*=2,*/chrome/updater/*=2 --system "--database=C:\Program Files (x86)\Google\GoogleUpdater\121.0.6116.0\Crashpad" --url=https://clients2.google.com/cr/report --annotation=prod=Update4 --annotation=ver=121.0.6116.0 "--attachment=C:\Program Files (x86)\Google\GoogleUpdater\updater.log" --initial-client-data=0x254,0x258,0x25c,0x230,0x260,0x1221bec,0x1221bf8,0x1221c04
"C:\Program Files\Google1528_159192697\bin\updater.exe" --update --system --enable-logging --vmodule=*/chrome/updater/*=2 /sessionid {445CC1C4-4D20-44F0-BD96-3551021EAE36}
"C:\Program Files\Google3872_472657317\bin\updater.exe" --update --system --enable-logging --vmodule=*/chrome/updater/*=2 /sessionid {6EC7510F-DBA1-41DF-B7A1-D6E33B16D233}
C:\Windows\System32\wuapihost.exe -Embedding
C:\Windows\system32\UI0Detect.exe
"C:\Documents and Settings\Administrator\Local Settings\Temp\EB93A6\996E.exe"