Çözüldü Silkroad Online Türkiye WACATAC virüsü!

Biraz önce İngilizce patch konularına bakarken Silkroad klasöründe bunu kolaylaştıracak düzenleme mi yapmışlar diye merak etmiştim.
Tam ona bakıyordum ki şu hatayı aldım;



Düşündüm, düşündüm... Zaten "Keşke iş bilgisayarıma yüklemeseydim, riskli oldu bu." diyordum. Bu yüzden ilk aklıma gelen Windows Defender geçmişini kontrol etmek oldu. Bir de ne göreyim?



Pekala.. Nedir bu "Wacatac"?

• Keylogger, rat, fidye virüsü gibi zararlı yazılımları içeren bir trojan. Bu zamana kadar girmiş olduğun bütün sosyal medya, tarayıcı vs. şifrelerini değiştir. Üstte verilen ücretsiz veya keyleri paylaşılmış ücretli antivirüs yazılımlarıya bilgisayarını kontrol et.
  
  Ziyaretçiler için gizlenmiş link,görmek için Giriş yap veya üye ol.
• This threat can perform a number of actions of a malicious hacker's choice on your PC.
  
  Ziyaretçiler için gizlenmiş link,görmek için Giriş yap veya üye ol.

Oyuncular için sorun teşkil edeceğini düşünmüyorum. Bu konunun karalama konusu olmadığını ifade etmek isterim. Bu kötü niyet bizlere karşıdır ben buna eminim. Ama yine de oyunculara da söyleyeceğim şu ki; bize tonlarca laf eden o insanlar çok da masum değiller. Parasını verip lisansı satın almak bizim harcımız olsaydı çoktan alırdık zaten. Ama bu oyuncu kitlesini Silkroad piyasasında tutan bizdik. Eğer verdikleri paranın karşılığını alırlarsa bize teşekkür etmeleri lazım. Yoksa kimse 350ms lag ile iSRO oynamazdı açık olalım. Farklı MMORPG oyunlara kayarlardı.

Ben yine kaybettiğimi düşünmüyorum. Şu an sahip olduğum mesleği Silkroad Private Server dünyasına borçluyum. Bu dünya gitse de mesleğim kalacak. Zaten bilen bilir ben bu dünyadan gelir elde edemedim. Zaten kazanmadığım parayı kaybediyorum diye böyle karalamalar yayınlayacak değilim.

virüs olduğunu herkes dile getiriyor zaten ama bi cevap dönüş yapmıyorlar microsoft'a bildirdik yeni olduğu için virüs olarak görüyor falan dediler sadece

Teşekkürler konu için



ayrıca bak sen şu işe

wacatac yazınca nedense f8 ' in forumunda sadece karşılaşılmış

yani f8 ' in parmağı mı var yoksaaa bu işte

Şaka mı bu ya.

Benim hazırladığım dlller de packlendiği için defender çeşit çeşit virüsler görüyor, Microsofta manuel inceleme için gönderiyorum ve 2 3 gün içinde temize çıkıyor. Tabii ki packlendiği için oluyor bu. Private server oynayan çoğu oyuncu bu duruma alışık zaten.

Virüs olarak tespit edilen exeler (silkroad.exe) packli mi? Boyutu nedir? Packli değil de virüs olarak görüyorsa o zaman biraz ilginç.

privateler bile böyle acemi değil. rezilsin zeyd

sarkolata' Alıntı:

Benim hazırladığım dlller de packlendiği için defender çeşit çeşit virüsler görüyor, Microsofta manuel inceleme için gönderiyorum ve 2 3 gün içinde temize çıkıyor. Tabii ki packlendiği için oluyor bu. Private server oynayan çoğu oyuncu bu duruma alışık zaten.

Virüs olarak tespit edilen exeler (silkroad.exe) packli mi? Boyutu nedir? Packli değil de virüs olarak görüyorsa o zaman biraz ilginç.

Genişletmek için tıkla ...

Boyut = 2,47 MB (2.600.448 bayt)

Orjinal Isro Silkroad exe Boyut = 2,47 MB (2.597.376 bayt)

İyi de

sarkolata' Alıntı:

Benim hazırladığım dlller de packlendiği için defender çeşit çeşit virüsler görüyor, Microsofta manuel inceleme için gönderiyorum ve 2 3 gün içinde temize çıkıyor. Tabii ki packlendiği için oluyor bu. Private server oynayan çoğu oyuncu bu duruma alışık zaten.

Virüs olarak tespit edilen exeler (silkroad.exe) packli mi? Boyutu nedir? Packli değil de virüs olarak görüyorsa o zaman biraz ilginç.

Genişletmek için tıkla ...

Ama şöyle de bir durum var. SmartAssembly Paid versiyonda pack sonrası virüs yokken crack versiyonda var. Temize çıkması bence asıl ilginç olan.

Uzun lafın kısası ücretli programların ücretsizlerinde yani cracklerinde virüs olması resmen bir külttür. Olmaması gerekir mi orası da tartışılır tabi.
Ama silkroad için tabiki bu geçerli değil. Kaldı ki bu virüsü runtime sırasında yakalamış. Genel tarama sırasında değil. Runtime yakalamalar imza veya algoritma grubu aramalarından manuel olarak şifrelenerek kaçırılan virüsleri yakalayabilme potansiyeline sahip. Silkroad.exe kendi klasörü veya temporary bölümler dışında nereye ne işlem gerçekleştirebilir de antivirüs algoritmasının tehdit sanmasına sebep olabilir?

kovboi' Alıntı:

İyi de

Ama şöyle de bir durum var. SmartAssembly Paid versiyonda pack sonrası virüs yokken crack versiyonda var. Temize çıkması bence asıl ilginç olan.

Üst üste post gönderildiği için tek mesajda birleştirildi: 27 Eyl 2020

Uzun lafın kısası ücretli programların ücretsizlerinde yani cracklerinde virüs olması resmen bir külttür. Olmaması gerekir mi orası da tartışılır tabi.
Ama silkroad için tabiki bu geçerli değil. Kaldı ki bu virüsü runtime sırasında yakalamış. Genel tarama sırasında değil. Runtime yakalamalar imza veya algoritma grubu aramalarından manuel olarak şifrelenerek kaçırılan virüsleri yakalayabilme potansiyeline sahip. Silkroad.exe kendi klasörü veya temporary bölümler dışında nereye ne işlem gerçekleştirebilir de antivirüs algoritmasının tehdit sanmasına sebep olabilir?

Genişletmek için tıkla ...

Lisanslı enigma ile de, vmprotect ile de packlesen defender algılıyor. Bugüne kadar gönderdiğim inceleme taleplerinin hepsinde de detection'ı kaldırdılar.



Hatta aynı şekilde wacatac çıkmış.
Packlenmediği halde wacatac çıkması garip. Isro launcher ile birebir aynı olmaması da garip, launcherda niye değişiklik olsun ki? Özel exe compile ettiklerini sanmıyorum.

Bir diğer olay da ben şahsi hesabımdan gönderiyorum microsoft'a inceleme için ve 2 3 günde cevap alıyorum. İşletmeler için çok daha hızlı dönüş oluyor diye biliyorum.

sarkolata' Alıntı:

Lisanslı enigma ile de, vmprotect ile de packlesen defender algılıyor. Bugüne kadar gönderdiğim inceleme taleplerinin hepsinde de detection'ı kaldırdılar.

Spoyler: Resim

İçeriği görebilmek için Uye olmanız gerekiyor.

Hatta aynı şekilde wacatac çıkmış.
Packlenmediği halde wacatac çıkması garip. Isro launcher ile birebir aynı olmaması da garip, launcherda niye değişiklik olsun ki? Özel exe compile ettiklerini sanmıyorum.

Bir diğer olay da ben şahsi hesabımdan gönderiyorum microsoft'a inceleme için ve 2 3 günde cevap alıyorum. İşletmeler için çok daha hızlı dönüş oluyor diye biliyorum.

Genişletmek için tıkla ...

Demek ki o işten anlayan yok.
Senin dll'de pack öncesi de wacatac çıkabilir. Bildiğim kadarıyla pc limiti gizli bir dosya halinde saklıyorsun ve şifreleyerek gönderiyorsun. Sakladığın yerden dolayı wacatac görmesi muhtemel. Çünkü codecave var, codecave yaptığı uygulamada tcp bağlantısı var, dış dosyalara müdahale var... Belki pack sonrası takılmasının sebebi packer algoritmasının kendisine codecave yaptığı bir metot vardır veya virüs tanıma algoritmaları packed olmasını da risk faktörü olarak ekleyip anca onunla taşıyordur.

Silkroad.exe'de bunların hiç biri geçerli değil. Herhangi bir basit c++ projesini pack edince de wacatac algılamaz diye tahmin ediyorum. Packer algoritmanın içeriğinin wacatac virüsü ile benzeşmediğini varsayarak tabi.

Evet ama ilginç bir şekilde packlenmediği durumda asla detection olmuyor. O da garip.

Silkroad.exe neden 2küsür mb ki zaten? Yeni model clientler hakkında bilgim yok, görseller pk2den exeye mi taşındı? Dosya indirip replacer ile pk2ye yazan ve sro clienti başlatan bir uygulama niye bu kadar büyük olur? Yeni model launcherlarda bilmediğimiz bir şey vardır belki.

Veya: Isronun launcher.exe'si de aslında algılanıyor ama Joymax gerekli yerlere inceleme talebinde bulunarak detection'ı kaldırttı. Silkroad.exe yıllarca değişmeyecek bir şey zaten. Gamegami için tekrar compile edilince veya kendileri bir şekilde modifiye edince dosya değişti ve tekrar algılanmaya başladı. Bu antiviruslerde dışlama işi nasıl yapılıyor arkaplanda bilmiyorum ama checksum kullanılıyor olabilir. Farklı bir dosya olduğu için de algılanması muhtemel.