上一主题下一主题
«12»Pages: 1/2     Go
主题 : [新闻]超级警报!DOOM3 携带病毒而来
级别: 模拟之星
UID: 331
精华: 0
发帖: 1280
威望: 0 星
金钱: 483 浮游币
贡献值: 0 点
好评度: 321 点
人气: 0 点
在线时间: 55(时)
注册时间: 2004-03-26
最后登录: 2012-12-03
楼主  发表于: 2004-08-10 09:23

[新闻]超级警报!DOOM3 携带病毒而来

注意:此文只涉及盗版的翻刻 DOOM3,与正版 DOOM3 没有任何关系。

  原定 8/3 上市的 doom3 在7/31 号已经由著名的0daygamez 团体打包流传出来了。8/1 DOOM3 在国外的yourceff.com 以及类似的BT站开始发送下载。国内也在第一时间开始躁动起来,许多p2p大站也相继推出了下载,所有人为之疯狂!


  我在几个小时内从FTP/BT 上各下载了三个版本,一个是从国内某VipFTP内下载的。(就3个ISO什么都没有) 第二个是ftp 下载版.bin 格式3CD,没有包含keygen,最后一个是从国内bt 站下载的3 ISO 版本,而且带keygen。

  以下是三个版本的screenshot:

user posted image
user posted image


  随后大家可以惊奇的发现,有一个版本的大小和其它两个版本并不一样。理论上说如果是clone 过来的产品其光盘内所有的文件应该保持一致,文件生成时间也应该和母盘绝对的一样。除非光盘经过了改造后再RIP 或者 Clone。

  这个发现使我感觉有必要去搞清楚到底哪里不一样。于是我开始进行系统化对比,最后我发现了这个:
[IMG]
http://www.pcgames.com.cn/pcgames/pcnews/g...hoto0804d03.jpg[/IMG]

  经过分析,有2类 3CD 的 iso A 盘的autorun.exe 与其中一张不一样...一种是3M大小的autorun 一种是只有28k 的autorun,但是仔细看下来大家可以发现。3m 的authrun.exe 下面还多了一个同样也只有28k 的setup.exe 而且图标是一样的。再经过FileMon 跟踪察看,发现3M 的 autorun 在执行了一堆“秘密任务”后,转而再去执行setup.exe ,而 28k 的autorun.exe 则直接执行。


  那么现在的问题是,到底3m 的是真的还是28k 的? 没办法,反正有套专门玩游戏的系统,出现什么问题也不怕。逐一安装和执行吧。

  结果是:3m 的autorun 被人植入了一些Bot 程序,得到分析的结果是这个bot程序而且是被高度定制好的。首先,会给你安装一个Alexa bar(www.alexa.com),如图:
user posted image
  (编辑注:在资源管理器里面调出这个bar之后,资源管理器会不断连接网络,由于编辑的代理服务器需要帐户访问,所以经常弹出输入帐号密码的提示)这个bar 其实只是一个伪装,每当开启浏览器时系统将会发多个线程访问一个某种 counter 程序.访问地址分别是:
  ent.myrice.com / sms1.ctn.com.cn/ www.alexa.com
  windows\system32\ 下还会生成 alexa.dll alxRes.dll AlxTB1.dll ,删除这些文件之后,alexa bar消失,但 IE 依然会继续访问上面那些站点,而且会不停的启动线程经常使cpu 占用100% ,当关闭 IE 时还会不定期的访问 open.wz101.net 严格的来说alexa bar 并不能算是一个病毒,但是危险的地方就是alexa bar被doom3 的某位中国发布者(因为ent.myrice.com sms1.ctn.com.cn 全部是国内站点,可能是希望借助此次doom3 的安装狂潮让提高自己网站或者某个计数装置的计算量)在不通知使用者的情况下被安装进用户系统,而且给用户系统造成巨大的负担。这点不能不使人感到痛恨。

  起初我还在想为什么作为一个著名的warez 组织需要在这个万众瞩目的的游戏内放入它们需要用户特定访问的东西,但是后来觉得warez 组织的发展靠的就是良好的口碑,如果因为急于壮大自己的而这么做,是很容易会遭到来自其它组织的唾骂的。


  最后我想告诉大家现在发布的doom3 的确是真的,至少我已经玩到了level3 也未有任何不正常的现象. 忘掉这个“病毒”事件给我们带来的不愉快吧,doom3 我们为你而疯狂!

  删除病毒的办法.

  1) 首先关闭掉所有IE
  2) 删除 windows\system32\alx*.dll & alexa.dll
  3) 删除 windows\system32\dotnetlib.dll & font.dll
  4) 删除注册表中所有包含 'font.dll'
  5) 删除 EntryKey: { 3CEFF6CD-6F08-4e4d-BCCD-FF7415288C3B }
  或者 直接regedit搜索alexa关键字删除.


  编辑注:microkof告诉大家一个最简单的方法玩DOOM3,而且不用去管正版盗版。

  方法是从3张CD下的Setup/Data文件夹下的全部文件拷贝到硬盘某一个目录,然后从本站下载DOOM3免CD补丁也放在硬盘的目录,就可以运行游戏了,这样还可以跳过输入CD-KEY的过程。这样做只能单机玩的,希望联网的还要继续加工:在Data文件夹下建立记事本文件,输入

################
// Do not give this file to ANYONE.
// id Software and Activision will NOT ask you to send this file to them.

  一串井字号表示DOOM3的序列号,没有短横线。保存之后命名为doomkey(没有扩展名),这样就可以联网玩DOOM3。

级别: 模拟之星
UID: 204
精华: 0
发帖: 1720
威望: 0 星
金钱: 2424 浮游币
贡献值: 30 点
好评度: 1440 点
人气: 1 点
在线时间: 180(时)
注册时间: 2004-03-25
最后登录: 2008-03-23
沙发  发表于: 2004-08-10 10:44

猫女盗版也有这个问题。
级别: 模拟新血
UID: 249
精华: 0
发帖: 43
威望: 0 星
金钱: 2625 浮游币
贡献值: 0 点
好评度: 0 点
人气: 0 点
在线时间: 0(时)
注册时间: 2004-03-25
最后登录: 2004-08-23
板凳  发表于: 2004-08-10 11:29

本站ftp上的是这个版本么?
级别: 模拟新血
UID: 131
精华: 0
发帖: 41
威望: 0 星
金钱: 2625 浮游币
贡献值: 0 点
好评度: 0 点
人气: 0 点
在线时间: 0(时)
注册时间: 2004-03-25
最后登录: 2005-03-23
地板  发表于: 2004-08-10 11:46

聯盟上的版本CD1是466MB
所以是沒問題的
此人头衔过长
级别: 论坛版主
UID: 66
精华: 1
发帖: 6474
威望: 14 星
金钱: 30509 浮游币
贡献值: 8777 点
好评度: 8223 点
人气: 1090 点
在线时间: 1409(时)
注册时间: 2004-03-25
最后登录: 2024-11-12
草席  发表于: 2004-08-10 13:08

引用 (井上 @ 2004-08-10 10:33:59)
猫女盗版也有这个问题。

yunsi.gif em32.gif 这个是真的吗??你指的是哪种的版本,不会联盟FTP上的那版吧~~~
级别: 模拟之星
UID: 930
精华: 0
发帖: 1156
威望: 0 星
金钱: 2103 浮游币
贡献值: 0 点
好评度: 7 点
人气: 0 点
在线时间: 30(时)
注册时间: 2004-03-29
最后登录: 2024-08-06
5楼  发表于: 2004-08-10 13:19

无论哪个版本,杀毒先 em32.gif
Fei
级别: 模拟小生
UID: 141
精华: 0
发帖: 501
威望: 0 星
金钱: 2646 浮游币
贡献值: 0 点
好评度: 21 点
人气: 0 点
在线时间: 1(时)
注册时间: 2004-03-25
最后登录: 2008-09-12
6楼  发表于: 2004-08-10 13:47

我在联盟下的CD1运行过autorun.exe但没出现Alexa bar,我想应该没问题吧em32.gif
级别: 模拟专家
UID: 194
精华: 0
发帖: 495
威望: 0 星
金钱: 31 浮游币
贡献值: 0 点
好评度: 16 点
人气: 0 点
在线时间: 176(时)
注册时间: 2004-03-25
最后登录: 2014-10-14
7楼  发表于: 2004-08-10 14:07

那个是bt上的版本才有的吧...联盟的没得
级别: 模拟之星
UID: 204
精华: 0
发帖: 1720
威望: 0 星
金钱: 2424 浮游币
贡献值: 30 点
好评度: 1440 点
人气: 1 点
在线时间: 180(时)
注册时间: 2004-03-25
最后登录: 2008-03-23
8楼  发表于: 2004-08-10 14:13

引用 (sakuraniu @ 2004-08-10 13:08:53)
无论哪个版本,杀毒先 em32.gif

那个不是病毒来的,基本上杀毒软件都查不到。
级别: 模拟专家
UID: 457
精华: 0
发帖: 377
威望: 0 星
金钱: 2071 浮游币
贡献值: 12 点
好评度: 53 点
人气: 0 点
在线时间: 32(时)
注册时间: 2004-03-26
最后登录: 2014-08-26
9楼  发表于: 2004-08-10 18:53

有点恐怖,以后P2P游戏要小心了
级别: 模拟小生
UID: 431
精华: 0
发帖: 506
威望: 0 星
金钱: 2636 浮游币
贡献值: 0 点
好评度: 13 点
人气: 0 点
在线时间: 2(时)
注册时间: 2004-03-26
最后登录: 2009-12-11
10楼  发表于: 2004-08-10 19:40

的确是这样的....
还好我下的是CLONE版....
级别: 模拟之星
UID: 6388
精华: 0
发帖: 789
威望: 0 星
金钱: 2450 浮游币
贡献值: 1 点
好评度: 381 点
人气: 0 点
在线时间: 572(时)
注册时间: 2004-06-05
最后登录: 2024-12-17
11楼  发表于: 2004-08-10 20:37

还好偶没资本疯狂:(
ctg
级别: 模拟之星
UID: 7
精华: 0
发帖: 2925
威望: 0 星
金钱: 2620 浮游币
贡献值: 3 点
好评度: 0 点
人气: 0 点
在线时间: 0(时)
注册时间: 2004-03-24
最后登录: 2011-10-18
12楼  发表于: 2004-08-10 20:52

没法玩所以下都没下~~
级别: 模拟新血
UID: 556
精华: 0
发帖: 23
威望: 0 星
金钱: 2625 浮游币
贡献值: 0 点
好评度: 0 点
人气: 0 点
在线时间: 0(时)
注册时间: 2004-03-27
最后登录: 2004-08-16
13楼  发表于: 2004-08-10 23:01

我中了.但是不是DOOM3的ISO.是别的东西.但我不知道是什么东西令我中了.只知道,我搞不掉他,不想重装.用了第一楼的方法.有其中一个文件删不掉.
此人头衔过长
级别: 论坛版主
UID: 66
精华: 1
发帖: 6474
威望: 14 星
金钱: 30509 浮游币
贡献值: 8777 点
好评度: 8223 点
人气: 1090 点
在线时间: 1409(时)
注册时间: 2004-03-25
最后登录: 2024-11-12
14楼  发表于: 2004-08-10 23:46

引用 (fatbear @ 2004-08-10 22:50:20)
我中了.但是不是DOOM3的ISO.是别的东西.但我不知道是什么东西令我中了.只知道,我搞不掉他,不想重装.用了第一楼的方法.有其中一个文件删不掉.

删不掉的就进安全模式下删~~~~~
魔神王路西法
级别: 论坛版主

UID: 62
精华: 35
发帖: 7692
威望: 83 星
金钱: 806 浮游币
贡献值: 10144 点
好评度: 13251 点
人气: 1271 点
在线时间: 1965(时)
注册时间: 2004-03-25
最后登录: 2024-12-23
15楼  发表于: 2004-08-11 09:08

这个比病毒还狠,因为它不是病毒,杀毒软件识别不出。
级别: 模拟之星
UID: 331
精华: 0
发帖: 1280
威望: 0 星
金钱: 483 浮游币
贡献值: 0 点
好评度: 321 点
人气: 0 点
在线时间: 55(时)
注册时间: 2004-03-26
最后登录: 2012-12-03
16楼  发表于: 2004-08-11 09:43

引用 (Zombie_WB @ 2004-08-10 23:35:25)
删不掉的就进安全模式下删~~~~~

正解,此法可用于各种病毒手工移除或者在dos下删掉也可以
自由骑士
级别: 模拟之星
UID: 9012
精华: 0
发帖: 1378
威望: 0 星
金钱: 4986 浮游币
贡献值: 18 点
好评度: 714 点
人气: 10 点
在线时间: 112(时)
注册时间: 2004-07-07
最后登录: 2024-08-06
17楼  发表于: 2004-08-11 18:12

我在外面买的碟,没有发现楼主说的那些文件,应该值得庆兴吧 kaixin.gif
级别: 模拟新血
UID: 1403
精华: 0
发帖: 30
威望: 0 星
金钱: 2625 浮游币
贡献值: 0 点
好评度: 0 点
人气: 0 点
在线时间: 4(时)
注册时间: 2004-04-02
最后登录: 2005-06-23
18楼  发表于: 2004-08-11 19:54

天阿...這還真是沒良心....還好我玩不起....
级别: 模拟小生
UID: 2708
精华: 0
发帖: 213
威望: 0 星
金钱: 2625 浮游币
贡献值: 0 点
好评度: 0 点
人气: 0 点
在线时间: 0(时)
注册时间: 2004-04-15
最后登录: 2008-06-28
19楼  发表于: 2004-08-11 20:05

一样`~玩不起~~免除~~唉
不知道这算不算一种悲哀的幸运
上一主题下一主题
«12»Pages: 1/2     Go