主题 : [新闻]超级警报!DOOM3 携带病毒而来
级别: 模拟之星
UID: 331
精华: 0
发帖: 1280
威望: 0 星
金钱: 483 浮游币
贡献值: 0 点
好评度: 321 点
人气: 0 点
在线时间: 55(时)
注册时间: 2004-03-26
最后登录: 2012-12-03
楼主  发表于: 2004-08-10 09:23

[新闻]超级警报!DOOM3 携带病毒而来

注意:此文只涉及盗版的翻刻 DOOM3,与正版 DOOM3 没有任何关系。

  原定 8/3 上市的 doom3 在7/31 号已经由著名的0daygamez 团体打包流传出来了。8/1 DOOM3 在国外的yourceff.com 以及类似的BT站开始发送下载。国内也在第一时间开始躁动起来,许多p2p大站也相继推出了下载,所有人为之疯狂!


  我在几个小时内从FTP/BT 上各下载了三个版本,一个是从国内某VipFTP内下载的。(就3个ISO什么都没有) 第二个是ftp 下载版.bin 格式3CD,没有包含keygen,最后一个是从国内bt 站下载的3 ISO 版本,而且带keygen。

  以下是三个版本的screenshot:

user posted image
user posted image


  随后大家可以惊奇的发现,有一个版本的大小和其它两个版本并不一样。理论上说如果是clone 过来的产品其光盘内所有的文件应该保持一致,文件生成时间也应该和母盘绝对的一样。除非光盘经过了改造后再RIP 或者 Clone。

  这个发现使我感觉有必要去搞清楚到底哪里不一样。于是我开始进行系统化对比,最后我发现了这个:
[IMG]
http://www.pcgames.com.cn/pcgames/pcnews/g...hoto0804d03.jpg[/IMG]

  经过分析,有2类 3CD 的 iso A 盘的autorun.exe 与其中一张不一样...一种是3M大小的autorun 一种是只有28k 的autorun,但是仔细看下来大家可以发现。3m 的authrun.exe 下面还多了一个同样也只有28k 的setup.exe 而且图标是一样的。再经过FileMon 跟踪察看,发现3M 的 autorun 在执行了一堆“秘密任务”后,转而再去执行setup.exe ,而 28k 的autorun.exe 则直接执行。


  那么现在的问题是,到底3m 的是真的还是28k 的? 没办法,反正有套专门玩游戏的系统,出现什么问题也不怕。逐一安装和执行吧。

  结果是:3m 的autorun 被人植入了一些Bot 程序,得到分析的结果是这个bot程序而且是被高度定制好的。首先,会给你安装一个Alexa bar(www.alexa.com),如图:
user posted image
  (编辑注:在资源管理器里面调出这个bar之后,资源管理器会不断连接网络,由于编辑的代理服务器需要帐户访问,所以经常弹出输入帐号密码的提示)这个bar 其实只是一个伪装,每当开启浏览器时系统将会发多个线程访问一个某种 counter 程序.访问地址分别是:
  ent.myrice.com / sms1.ctn.com.cn/ www.alexa.com
  windows\system32\ 下还会生成 alexa.dll alxRes.dll AlxTB1.dll ,删除这些文件之后,alexa bar消失,但 IE 依然会继续访问上面那些站点,而且会不停的启动线程经常使cpu 占用100% ,当关闭 IE 时还会不定期的访问 open.wz101.net 严格的来说alexa bar 并不能算是一个病毒,但是危险的地方就是alexa bar被doom3 的某位中国发布者(因为ent.myrice.com sms1.ctn.com.cn 全部是国内站点,可能是希望借助此次doom3 的安装狂潮让提高自己网站或者某个计数装置的计算量)在不通知使用者的情况下被安装进用户系统,而且给用户系统造成巨大的负担。这点不能不使人感到痛恨。

  起初我还在想为什么作为一个著名的warez 组织需要在这个万众瞩目的的游戏内放入它们需要用户特定访问的东西,但是后来觉得warez 组织的发展靠的就是良好的口碑,如果因为急于壮大自己的而这么做,是很容易会遭到来自其它组织的唾骂的。


  最后我想告诉大家现在发布的doom3 的确是真的,至少我已经玩到了level3 也未有任何不正常的现象. 忘掉这个“病毒”事件给我们带来的不愉快吧,doom3 我们为你而疯狂!

  删除病毒的办法.

  1) 首先关闭掉所有IE
  2) 删除 windows\system32\alx*.dll & alexa.dll
  3) 删除 windows\system32\dotnetlib.dll & font.dll
  4) 删除注册表中所有包含 'font.dll'
  5) 删除 EntryKey: { 3CEFF6CD-6F08-4e4d-BCCD-FF7415288C3B }
  或者 直接regedit搜索alexa关键字删除.


  编辑注:microkof告诉大家一个最简单的方法玩DOOM3,而且不用去管正版盗版。

  方法是从3张CD下的Setup/Data文件夹下的全部文件拷贝到硬盘某一个目录,然后从本站下载DOOM3免CD补丁也放在硬盘的目录,就可以运行游戏了,这样还可以跳过输入CD-KEY的过程。这样做只能单机玩的,希望联网的还要继续加工:在Data文件夹下建立记事本文件,输入

################
// Do not give this file to ANYONE.
// id Software and Activision will NOT ask you to send this file to them.

  一串井字号表示DOOM3的序列号,没有短横线。保存之后命名为doomkey(没有扩展名),这样就可以联网玩DOOM3。

自由骑士
级别: 模拟之星
UID: 9012
精华: 0
发帖: 1378
威望: 0 星
金钱: 4986 浮游币
贡献值: 18 点
好评度: 714 点
人气: 10 点
在线时间: 112(时)
注册时间: 2004-07-07
最后登录: 2024-08-06
沙发  发表于: 2004-08-11 18:12

我在外面买的碟,没有发现楼主说的那些文件,应该值得庆兴吧 kaixin.gif