SCAM [Cảnh Báo] Phần mềm IDM crack silient có cài keylogger

[VIETNAMTraffic]

Do có quá nhiều người việt nam dùng phần mềm crack này nên em viết bài này để cảnh báo cho anh các chị. đặc biệt là dow IDM crack ở thuthuat.chiplove.biz

Tình cờ phát hiện ra file này chạy trên rất nhiều máy, có lẽ là do sử dụng IDM nên nhiễm phải file này. Copy về để RE thử xem thế nào.

File này được lưu tại: C:\\windows\\system32\\IDMSL Auto Update.exe sau khi cài đặt IDM Silient “không cần crack”. Có nhiều bản trên internet, không kiểm soát được nên các anh chị chú ý khi sử dụng, em không chắc chắn rằng bản chạy trên máy tính của bạn là một keylogger, nhưng trên máy tính của một người bạn em thì là nó. Các anh chị nên đề phòng vẫn hơn, thêm nữa. Các bản cập nhật này thường không cần sử dụng. xóa đi cũng không sao, lại càng an toàn.

Đầu tiên, ta detect xem nó được viết bằng gì?.

như vậy là,được nén bằng UPX. tiến hành Unpack đã.
Em thường sử dụng CFF Explorer để unpack nhưng file được nén bằng UPX, bản thân thấy sử dụng khá được.

Tiếp đến, xem được viết bằng gì nào?.

hum, được viết = C++ 8 cơ à, Load vào PE Explorer để view string xem sao nào.

Lại là AutoIT rồi, nhưng cha này có vẻ không dùng Ofuscate để giấu mã nguồn. Thử download exe2aut về xem sao.
Ok!. ra mã nguồn rồi. hehe. Xem có gì trong đó không nhé.

save ra cái notepaad ++ xem cho dễ nào.
————————

Dưới là file gốc, file unpack, mã nguồn em RE lại. nhờ các pro autoit phân tích tiếp, em hơi gà autoit

https://8cc.biz:443/dow/download.php?downcode=j1o3x9a8w3h0d7y3d5r1

 

[tritbt]

Up lên cho các pro vào xem thử e đang xài bản này

 

[boy_alone193]

thanks thớt, lên cho bạn nào thấy

mình chẳng bao giờ dùng mấy bản này, crack tay hết

 

[ncxn]

mua 500k nên chả lo gì mà nhìn cái file chả hiều gì

 

[watarilno1]

UP lên luôn xem sao nó làm thế thì ....

 

[heothanhtinh]

ghê quá, xài từ lâu đến h

 

[whynotMMO]

CŨNG ĐANG XÀI

 

[KimNhatThanh]

Thank tinh thần của thớt, xác nhận đã tìm thấy file này trong máy của mình. Nhưng mình nghĩ nó ko phải keylog, bởi máy mình cài bản này đã lâu và đăng nhập hầu như toàn bộ tài khoản ảo, hiện nay vẫn chưa thấy có gì là lộ pass. Hóng anh em pro auto IT xem con này nó làm gì.

 

[tutete68]

Sao mọi người không xài bằng cách fake host nhỉ, như vậy có hay hơn không mà cứ phải dùng bản path với crack làm chi

 

[luxubushops]

nói chắc các bạn ko tin chứ từ xưa đến giờ mình chưa thấy mấy cái file patch, crack nào của IDM mà ko có hàng khuyến mại kèm theo hết, và mấy cái của phần mềm khác cũng cả vậy thôi

 

[muromvn]

đang sài của của thằng chiplove. Hóng Thánh code hiển Linh phán vài câu @@

 

[timban_gai]

Sửa file hosts rồi đăng ký. Khỏi lo vấn đề hacker xâm nhập máy.

 

[hailongk44]

mình không biết AutoIT nhưng đã có dùng smtp của gmail để viết tut auto gửi mail gmail

và trong code của thớt đưa lên có đoạn gửi mail bằng smtp
cứ mỗi var của $Timer trôi qua, một email tự động được gửi đi trong đó chứa....

nhưng mình cũng đang dùng IDM slient down trong Vnzoom, vẫn chưa có dấu hiệu mất gì.



* Khi mình viết auto mail bằng smtp thì quét thử thì với antivirus nào nó cũng báo là virus cả

 

[jenty]

làm ăn thì phải chơi bản quyền cho đỡ sợ

 

[format]

uhm nếu không nhầm thì đây là 1 con update exe có chức năng làm cổng cho 1 mạng botnet .
chức năng của nó là get ip , tên computer nạn nhân rồi gửi lên email theo cổng pop3 .
nằm chờ khi có lệnh của server thì thực hiện download 1 file trên đó rồi thực thi .
cũng đang xài crack loại này nhưng chưa thấy mất cái gì

 

[haibom412]

Mình cũng đang dùng IDM crack bên chiplove, chưa thấy bị làm sao, máy mình cài KIS nên cũng yên tâm phần nào

 

[nguyenduong90]

cũng đã nhiều người xài.. scan keylog nhưng cũng k phát hiện.

 

[nguyenduong90]

từ khi có VietNam Traffic tham gia mmo.. thấy ngày càng lợi hại

 

[Decerte]

Lại là AutoIT rồi, nhưng cha này có vẻ không dùng Ofuscate để giấu mã nguồn.

Không giấu mã nguồn thì càng khó tin nó là keylogger , chưa kể đến bản thân nó code = autoit .

 

[iTunes]

Nếu dùng stmp thì khai báo tài khoản và mật khẩu luôn,ko có giá trị đó thì có ver như con keylog này chưa chạy đc