Hoş Geldin, Ziyaretçi!

Forum içeriğine ve tüm hizmetlerimize erişim sağlamak için foruma kayıt olmalı ya da giriş yapmalısınız. Foruma üye olmak tamamen ücretsizdir.

dsgn kguard
vsupload kguardedgeakademi

Çözüldü Silkroad Online Türkiye WACATAC virüsü!

kovboi

KGuardEDGE
Elite
.
Developer
Katılım
12 Eki 2019
Mesajlar
252
Çözümler
2
Alınan Beğeni
580
Ödül Puanları
93
Konum
Antalya
Biraz önce İngilizce patch konularına bakarken Silkroad klasöründe bunu kolaylaştıracak düzenleme mi yapmışlar diye merak etmiştim.
Tam ona bakıyordum ki şu hatayı aldım;

Ekran görüntüsü 2020-09-27 135208.png

Düşündüm, düşündüm... Zaten "Keşke iş bilgisayarıma yüklemeseydim, riskli oldu bu." diyordum. Bu yüzden ilk aklıma gelen Windows Defender geçmişini kontrol etmek oldu. Bir de ne göreyim?

Ekran görüntüsü 2020-09-27 134952.png

Pekala.. Nedir bu "Wacatac"?
  • Keylogger, rat, fidye virüsü gibi zararlı yazılımları içeren bir trojan. Bu zamana kadar girmiş olduğun bütün sosyal medya, tarayıcı vs. şifrelerini değiştir. Üstte verilen ücretsiz veya keyleri paylaşılmış ücretli antivirüs yazılımlarıya bilgisayarını kontrol et.
  • This threat can perform a number of actions of a malicious hacker's choice on your PC.
Oyuncular için sorun teşkil edeceğini düşünmüyorum. Bu konunun karalama konusu olmadığını ifade etmek isterim. Bu kötü niyet bizlere karşıdır ben buna eminim. Ama yine de oyunculara da söyleyeceğim şu ki; bize tonlarca laf eden o insanlar çok da masum değiller. Parasını verip lisansı satın almak bizim harcımız olsaydı çoktan alırdık zaten. Ama bu oyuncu kitlesini Silkroad piyasasında tutan bizdik. Eğer verdikleri paranın karşılığını alırlarsa bize teşekkür etmeleri lazım. Yoksa kimse 350ms lag ile iSRO oynamazdı açık olalım. Farklı MMORPG oyunlara kayarlardı.

Ben yine kaybettiğimi düşünmüyorum. Şu an sahip olduğum mesleği Silkroad Private Server dünyasına borçluyum. Bu dünya gitse de mesleğim kalacak. Zaten bilen bilir ben bu dünyadan gelir elde edemedim. Zaten kazanmadığım parayı kaybediyorum diye böyle karalamalar yayınlayacak değilim.
 
Ü

Üye silindi 3096

virüs olduğunu herkes dile getiriyor zaten :D ama bi cevap dönüş yapmıyorlar microsoft'a bildirdik yeni olduğu için virüs olarak görüyor falan dediler sadece

Teşekkürler konu için

1601204962845.png

ayrıca bak sen şu işe :D

wacatac yazınca nedense f8 ' in forumunda sadece karşılaşılmış :D

yani f8 ' in parmağı mı var yoksaaa bu işte :D






1601205132633.png
 

Spare

Machine Man
.
Katılım
28 May 2018
Mesajlar
3,336
Çözümler
2
Alınan Beğeni
3,639
Ödül Puanları
605
Konum
Bursa
Şaka mı bu ya. :)
 

sarkolata

.
Developer
Katılım
2 Tem 2019
Mesajlar
490
Çözümler
7
Alınan Beğeni
787
Ödül Puanları
93
Konum
Los Angeles, CA
Benim hazırladığım dlller de packlendiği için defender çeşit çeşit virüsler görüyor, Microsofta manuel inceleme için gönderiyorum ve 2 3 gün içinde temize çıkıyor. Tabii ki packlendiği için oluyor bu. Private server oynayan çoğu oyuncu bu duruma alışık zaten.

Virüs olarak tespit edilen exeler (silkroad.exe) packli mi? Boyutu nedir? Packli değil de virüs olarak görüyorsa o zaman biraz ilginç. :rolleyes:
 
Ü

Üye silindi 3096

Benim hazırladığım dlller de packlendiği için defender çeşit çeşit virüsler görüyor, Microsofta manuel inceleme için gönderiyorum ve 2 3 gün içinde temize çıkıyor. Tabii ki packlendiği için oluyor bu. Private server oynayan çoğu oyuncu bu duruma alışık zaten.

Virüs olarak tespit edilen exeler (silkroad.exe) packli mi? Boyutu nedir? Packli değil de virüs olarak görüyorsa o zaman biraz ilginç. :rolleyes:
Boyut = 2,47 MB (2.600.448 bayt)

Orjinal Isro Silkroad exe Boyut = 2,47 MB (2.597.376 bayt)

1601215757208.png
 

kovboi

KGuardEDGE
Elite
.
Developer
Katılım
12 Eki 2019
Mesajlar
252
Çözümler
2
Alınan Beğeni
580
Ödül Puanları
93
Konum
Antalya
İyi de
Benim hazırladığım dlller de packlendiği için defender çeşit çeşit virüsler görüyor, Microsofta manuel inceleme için gönderiyorum ve 2 3 gün içinde temize çıkıyor. Tabii ki packlendiği için oluyor bu. Private server oynayan çoğu oyuncu bu duruma alışık zaten.

Virüs olarak tespit edilen exeler (silkroad.exe) packli mi? Boyutu nedir? Packli değil de virüs olarak görüyorsa o zaman biraz ilginç. :rolleyes:
Ama şöyle de bir durum var. SmartAssembly Paid versiyonda pack sonrası virüs yokken crack versiyonda var. Temize çıkması bence asıl ilginç olan.
Üst üste post gönderildiği için tek mesajda birleştirildi:

Uzun lafın kısası ücretli programların ücretsizlerinde yani cracklerinde virüs olması resmen bir külttür. Olmaması gerekir mi orası da tartışılır tabi.
Ama silkroad için tabiki bu geçerli değil. Kaldı ki bu virüsü runtime sırasında yakalamış. Genel tarama sırasında değil. Runtime yakalamalar imza veya algoritma grubu aramalarından manuel olarak şifrelenerek kaçırılan virüsleri yakalayabilme potansiyeline sahip. Silkroad.exe kendi klasörü veya temporary bölümler dışında nereye ne işlem gerçekleştirebilir de antivirüs algoritmasının tehdit sanmasına sebep olabilir?
 

sarkolata

.
Developer
Katılım
2 Tem 2019
Mesajlar
490
Çözümler
7
Alınan Beğeni
787
Ödül Puanları
93
Konum
Los Angeles, CA
İyi de

Ama şöyle de bir durum var. SmartAssembly Paid versiyonda pack sonrası virüs yokken crack versiyonda var. Temize çıkması bence asıl ilginç olan.
Üst üste post gönderildiği için tek mesajda birleştirildi:

Uzun lafın kısası ücretli programların ücretsizlerinde yani cracklerinde virüs olması resmen bir külttür. Olmaması gerekir mi orası da tartışılır tabi.
Ama silkroad için tabiki bu geçerli değil. Kaldı ki bu virüsü runtime sırasında yakalamış. Genel tarama sırasında değil. Runtime yakalamalar imza veya algoritma grubu aramalarından manuel olarak şifrelenerek kaçırılan virüsleri yakalayabilme potansiyeline sahip. Silkroad.exe kendi klasörü veya temporary bölümler dışında nereye ne işlem gerçekleştirebilir de antivirüs algoritmasının tehdit sanmasına sebep olabilir?

Lisanslı enigma ile de, vmprotect ile de packlesen defender algılıyor. Bugüne kadar gönderdiğim inceleme taleplerinin hepsinde de detection'ı kaldırdılar.

Screenshot_20200927-191256_Chrome.jpg

Hatta aynı şekilde wacatac çıkmış.
Packlenmediği halde wacatac çıkması garip. Isro launcher ile birebir aynı olmaması da garip, launcherda niye değişiklik olsun ki? Özel exe compile ettiklerini sanmıyorum.

Bir diğer olay da ben şahsi hesabımdan gönderiyorum microsoft'a inceleme için ve 2 3 günde cevap alıyorum. İşletmeler için çok daha hızlı dönüş oluyor diye biliyorum.
 

kovboi

KGuardEDGE
Elite
.
Developer
Katılım
12 Eki 2019
Mesajlar
252
Çözümler
2
Alınan Beğeni
580
Ödül Puanları
93
Konum
Antalya
Lisanslı enigma ile de, vmprotect ile de packlesen defender algılıyor. Bugüne kadar gönderdiğim inceleme taleplerinin hepsinde de detection'ı kaldırdılar.

İçeriği görebilmek için Uye olmanız gerekiyor.

Hatta aynı şekilde wacatac çıkmış.
Packlenmediği halde wacatac çıkması garip. Isro launcher ile birebir aynı olmaması da garip, launcherda niye değişiklik olsun ki? Özel exe compile ettiklerini sanmıyorum.

Bir diğer olay da ben şahsi hesabımdan gönderiyorum microsoft'a inceleme için ve 2 3 günde cevap alıyorum. İşletmeler için çok daha hızlı dönüş oluyor diye biliyorum.

Demek ki o işten anlayan yok.
Senin dll'de pack öncesi de wacatac çıkabilir. Bildiğim kadarıyla pc limiti gizli bir dosya halinde saklıyorsun ve şifreleyerek gönderiyorsun. Sakladığın yerden dolayı wacatac görmesi muhtemel. Çünkü codecave var, codecave yaptığı uygulamada tcp bağlantısı var, dış dosyalara müdahale var... Belki pack sonrası takılmasının sebebi packer algoritmasının kendisine codecave yaptığı bir metot vardır veya virüs tanıma algoritmaları packed olmasını da risk faktörü olarak ekleyip anca onunla taşıyordur.

Silkroad.exe'de bunların hiç biri geçerli değil. Herhangi bir basit c++ projesini pack edince de wacatac algılamaz diye tahmin ediyorum. Packer algoritmanın içeriğinin wacatac virüsü ile benzeşmediğini varsayarak tabi.
 

sarkolata

.
Developer
Katılım
2 Tem 2019
Mesajlar
490
Çözümler
7
Alınan Beğeni
787
Ödül Puanları
93
Konum
Los Angeles, CA
Evet ama ilginç bir şekilde packlenmediği durumda asla detection olmuyor. O da garip.

Silkroad.exe neden 2küsür mb ki zaten? Yeni model clientler hakkında bilgim yok, görseller pk2den exeye mi taşındı? Dosya indirip replacer ile pk2ye yazan ve sro clienti başlatan bir uygulama niye bu kadar büyük olur? Yeni model launcherlarda bilmediğimiz bir şey vardır belki.

Veya: Isronun launcher.exe'si de aslında algılanıyor ama Joymax gerekli yerlere inceleme talebinde bulunarak detection'ı kaldırttı. Silkroad.exe yıllarca değişmeyecek bir şey zaten. Gamegami için tekrar compile edilince veya kendileri bir şekilde modifiye edince dosya değişti ve tekrar algılanmaya başladı. Bu antiviruslerde dışlama işi nasıl yapılıyor arkaplanda bilmiyorum ama checksum kullanılıyor olabilir. Farklı bir dosya olduğu için de algılanması muhtemel.
 
AdBlock Detected

Anlıyoruz, reklamlar can sıkıcı!

Elbette, reklam engelleme yazılımı reklamları engellemede harika bir iş çıkarır, ancak aynı zamanda web sitemizin faydalı özelliklerini de engeller. En iyi site deneyimi için lütfen AdBlocker'ınızı devre dışı bırakın.

AdBlock'u Devre Dışı Bıraktım.