Yardım Silkroad Online Türkiye WACATAC virüsü!

kovboi

Ömer Çolak
.
.
Katılım
12 Eki 2019
Mesajlar
76
Tepkime puanı
154
Puanları
33
Yaş
25
Konum
Düzce
vSRO [TL]
0
Biraz önce İngilizce patch konularına bakarken Silkroad klasöründe bunu kolaylaştıracak düzenleme mi yapmışlar diye merak etmiştim.
Tam ona bakıyordum ki şu hatayı aldım;

Ekran görüntüsü 2020-09-27 135208.png

Düşündüm, düşündüm... Zaten "Keşke iş bilgisayarıma yüklemeseydim, riskli oldu bu." diyordum. Bu yüzden ilk aklıma gelen Windows Defender geçmişini kontrol etmek oldu. Bir de ne göreyim?

Ekran görüntüsü 2020-09-27 134952.png

Pekala.. Nedir bu "Wacatac"?
  • Keylogger, rat, fidye virüsü gibi zararlı yazılımları içeren bir trojan. Bu zamana kadar girmiş olduğun bütün sosyal medya, tarayıcı vs. şifrelerini değiştir. Üstte verilen ücretsiz veya keyleri paylaşılmış ücretli antivirüs yazılımlarıya bilgisayarını kontrol et.
  • This threat can perform a number of actions of a malicious hacker's choice on your PC.
Oyuncular için sorun teşkil edeceğini düşünmüyorum. Bu konunun karalama konusu olmadığını ifade etmek isterim. Bu kötü niyet bizlere karşıdır ben buna eminim. Ama yine de oyunculara da söyleyeceğim şu ki; bize tonlarca laf eden o insanlar çok da masum değiller. Parasını verip lisansı satın almak bizim harcımız olsaydı çoktan alırdık zaten. Ama bu oyuncu kitlesini Silkroad piyasasında tutan bizdik. Eğer verdikleri paranın karşılığını alırlarsa bize teşekkür etmeleri lazım. Yoksa kimse 350ms lag ile iSRO oynamazdı açık olalım. Farklı MMORPG oyunlara kayarlardı.

Ben yine kaybettiğimi düşünmüyorum. Şu an sahip olduğum mesleği Silkroad Private Server dünyasına borçluyum. Bu dünya gitse de mesleğim kalacak. Zaten bilen bilir ben bu dünyadan gelir elde edemedim. Zaten kazanmadığım parayı kaybediyorum diye böyle karalamalar yayınlayacak değilim.
 

EfsaneSro

Roblox Oyunları Oynuyor
.
Katılım
5 Şub 2020
Mesajlar
2,764
Tepkime puanı
2,370
Puanları
113
Konum
X:6158 Y:318 Z:-157
vSRO [TL]
0
virüs olduğunu herkes dile getiriyor zaten :D ama bi cevap dönüş yapmıyorlar microsoft'a bildirdik yeni olduğu için virüs olarak görüyor falan dediler sadece

Teşekkürler konu için

1601204962845.png

ayrıca bak sen şu işe :D

wacatac yazınca nedense f8 ' in forumunda sadece karşılaşılmış :D

yani f8 ' in parmağı mı var yoksaaa bu işte :D






1601205132633.png
 
Katılım
2 Tem 2019
Mesajlar
313
Tepkime puanı
435
Puanları
63
Yaş
24
Konum
Türkiye
vSRO [TL]
0
Benim hazırladığım dlller de packlendiği için defender çeşit çeşit virüsler görüyor, Microsofta manuel inceleme için gönderiyorum ve 2 3 gün içinde temize çıkıyor. Tabii ki packlendiği için oluyor bu. Private server oynayan çoğu oyuncu bu duruma alışık zaten.

Virüs olarak tespit edilen exeler (silkroad.exe) packli mi? Boyutu nedir? Packli değil de virüs olarak görüyorsa o zaman biraz ilginç. :rolleyes:
 

EfsaneSro

Roblox Oyunları Oynuyor
.
Katılım
5 Şub 2020
Mesajlar
2,764
Tepkime puanı
2,370
Puanları
113
Konum
X:6158 Y:318 Z:-157
vSRO [TL]
0
Benim hazırladığım dlller de packlendiği için defender çeşit çeşit virüsler görüyor, Microsofta manuel inceleme için gönderiyorum ve 2 3 gün içinde temize çıkıyor. Tabii ki packlendiği için oluyor bu. Private server oynayan çoğu oyuncu bu duruma alışık zaten.

Virüs olarak tespit edilen exeler (silkroad.exe) packli mi? Boyutu nedir? Packli değil de virüs olarak görüyorsa o zaman biraz ilginç. :rolleyes:
Boyut = 2,47 MB (2.600.448 bayt)

Orjinal Isro Silkroad exe Boyut = 2,47 MB (2.597.376 bayt)

1601215757208.png
 

kovboi

Ömer Çolak
.
.
Katılım
12 Eki 2019
Mesajlar
76
Tepkime puanı
154
Puanları
33
Yaş
25
Konum
Düzce
vSRO [TL]
0
İyi de
Benim hazırladığım dlller de packlendiği için defender çeşit çeşit virüsler görüyor, Microsofta manuel inceleme için gönderiyorum ve 2 3 gün içinde temize çıkıyor. Tabii ki packlendiği için oluyor bu. Private server oynayan çoğu oyuncu bu duruma alışık zaten.

Virüs olarak tespit edilen exeler (silkroad.exe) packli mi? Boyutu nedir? Packli değil de virüs olarak görüyorsa o zaman biraz ilginç. :rolleyes:
Ama şöyle de bir durum var. SmartAssembly Paid versiyonda pack sonrası virüs yokken crack versiyonda var. Temize çıkması bence asıl ilginç olan.
Üst üste post gönderildiği için tek mesajda birleştirildi:

Uzun lafın kısası ücretli programların ücretsizlerinde yani cracklerinde virüs olması resmen bir külttür. Olmaması gerekir mi orası da tartışılır tabi.
Ama silkroad için tabiki bu geçerli değil. Kaldı ki bu virüsü runtime sırasında yakalamış. Genel tarama sırasında değil. Runtime yakalamalar imza veya algoritma grubu aramalarından manuel olarak şifrelenerek kaçırılan virüsleri yakalayabilme potansiyeline sahip. Silkroad.exe kendi klasörü veya temporary bölümler dışında nereye ne işlem gerçekleştirebilir de antivirüs algoritmasının tehdit sanmasına sebep olabilir?
 
Katılım
2 Tem 2019
Mesajlar
313
Tepkime puanı
435
Puanları
63
Yaş
24
Konum
Türkiye
vSRO [TL]
0
İyi de

Ama şöyle de bir durum var. SmartAssembly Paid versiyonda pack sonrası virüs yokken crack versiyonda var. Temize çıkması bence asıl ilginç olan.
Üst üste post gönderildiği için tek mesajda birleştirildi:

Uzun lafın kısası ücretli programların ücretsizlerinde yani cracklerinde virüs olması resmen bir külttür. Olmaması gerekir mi orası da tartışılır tabi.
Ama silkroad için tabiki bu geçerli değil. Kaldı ki bu virüsü runtime sırasında yakalamış. Genel tarama sırasında değil. Runtime yakalamalar imza veya algoritma grubu aramalarından manuel olarak şifrelenerek kaçırılan virüsleri yakalayabilme potansiyeline sahip. Silkroad.exe kendi klasörü veya temporary bölümler dışında nereye ne işlem gerçekleştirebilir de antivirüs algoritmasının tehdit sanmasına sebep olabilir?

Lisanslı enigma ile de, vmprotect ile de packlesen defender algılıyor. Bugüne kadar gönderdiğim inceleme taleplerinin hepsinde de detection'ı kaldırdılar.

Screenshot_20200927-191256_Chrome.jpg

Hatta aynı şekilde wacatac çıkmış.
Packlenmediği halde wacatac çıkması garip. Isro launcher ile birebir aynı olmaması da garip, launcherda niye değişiklik olsun ki? Özel exe compile ettiklerini sanmıyorum.

Bir diğer olay da ben şahsi hesabımdan gönderiyorum microsoft'a inceleme için ve 2 3 günde cevap alıyorum. İşletmeler için çok daha hızlı dönüş oluyor diye biliyorum.
 

kovboi

Ömer Çolak
.
.
Katılım
12 Eki 2019
Mesajlar
76
Tepkime puanı
154
Puanları
33
Yaş
25
Konum
Düzce
vSRO [TL]
0
Lisanslı enigma ile de, vmprotect ile de packlesen defender algılıyor. Bugüne kadar gönderdiğim inceleme taleplerinin hepsinde de detection'ı kaldırdılar.


Hatta aynı şekilde wacatac çıkmış.
Packlenmediği halde wacatac çıkması garip. Isro launcher ile birebir aynı olmaması da garip, launcherda niye değişiklik olsun ki? Özel exe compile ettiklerini sanmıyorum.

Bir diğer olay da ben şahsi hesabımdan gönderiyorum microsoft'a inceleme için ve 2 3 günde cevap alıyorum. İşletmeler için çok daha hızlı dönüş oluyor diye biliyorum.

Demek ki o işten anlayan yok.
Senin dll'de pack öncesi de wacatac çıkabilir. Bildiğim kadarıyla pc limiti gizli bir dosya halinde saklıyorsun ve şifreleyerek gönderiyorsun. Sakladığın yerden dolayı wacatac görmesi muhtemel. Çünkü codecave var, codecave yaptığı uygulamada tcp bağlantısı var, dış dosyalara müdahale var... Belki pack sonrası takılmasının sebebi packer algoritmasının kendisine codecave yaptığı bir metot vardır veya virüs tanıma algoritmaları packed olmasını da risk faktörü olarak ekleyip anca onunla taşıyordur.

Silkroad.exe'de bunların hiç biri geçerli değil. Herhangi bir basit c++ projesini pack edince de wacatac algılamaz diye tahmin ediyorum. Packer algoritmanın içeriğinin wacatac virüsü ile benzeşmediğini varsayarak tabi.
 
Katılım
2 Tem 2019
Mesajlar
313
Tepkime puanı
435
Puanları
63
Yaş
24
Konum
Türkiye
vSRO [TL]
0
Evet ama ilginç bir şekilde packlenmediği durumda asla detection olmuyor. O da garip.

Silkroad.exe neden 2küsür mb ki zaten? Yeni model clientler hakkında bilgim yok, görseller pk2den exeye mi taşındı? Dosya indirip replacer ile pk2ye yazan ve sro clienti başlatan bir uygulama niye bu kadar büyük olur? Yeni model launcherlarda bilmediğimiz bir şey vardır belki.

Veya: Isronun launcher.exe'si de aslında algılanıyor ama Joymax gerekli yerlere inceleme talebinde bulunarak detection'ı kaldırttı. Silkroad.exe yıllarca değişmeyecek bir şey zaten. Gamegami için tekrar compile edilince veya kendileri bir şekilde modifiye edince dosya değişti ve tekrar algılanmaya başladı. Bu antiviruslerde dışlama işi nasıl yapılıyor arkaplanda bilmiyorum ama checksum kullanılıyor olabilir. Farklı bir dosya olduğu için de algılanması muhtemel.
 
Üst