Fichier d'installation PWF et Trojan

**Latika** · Habitué(e) Nombre de messages: 18 Date d'inscription: 07/06/2009

Voila un sujet intéressant !!
Alors, j'ai moi aussi fait mes recherche sur l'elementclient !!
En utilisant certain logiciel, on peut voir que l'elementclient est tout d'abord crypter dans un langages propre aux jeux et ..
On peut aussi voir qu'il a été modifier par un autre logiciel (que l'on peut trouver sur le web sous plusieurs nom car plusieurs logiciel différent)

Il contient en faites une première signature, celle de bejin et celle du logiciel en question qui sert tout simplement à insérer d'autre fichier à l'intérieur mais crypter différement... troyen ou pas??

J'ai donc étudier le dossier pwf et l'hexa de l'elementclient, on y retrouve deux fichier à l'intérieur (vive les breakpoint!), le fichier "serverlist" et le fichier "task.data" j'ai donc tester moi même en supprimant directement les deux fichier qui se trouve à l'intérieur du client les fameux "serverlist.txt" et "task.data".

Surprise !! je peut toujours me connecter sur Le serveur des Tyrans et je peut continuer a jouer sans aucun soucie malgré le manque des deux fichier, et la signature est crypter dans un langages qui n'est pas reconnue par les certain antivirus.
J'ai aussi fait le test avec l'ancien client qui contient un elementclient.exe au poid modeste de 5.01mo qui lui, a besoin de ces deux fichier et qui n'est pas considérer comme virus ou troyan contrairement a celui actuellemnt utilisé qui fait environs 7mo ...
J'espère ne pas me tromper dans ce que j'engages mais je pense bien que le problème d'antivirus vient de la.
Malin les Tyrans !! une façon d'essayé de cachés l'identités de l'ip du serveur en le packant directement dans l'elementclient

pourtant, le whois est imparables ...

**PhoenixXx** · Sujet: Re: Fichier d'installation PWF et Trojan Ven 11 Sep 2009 - 20:49

Intéressant tout ça, et que contient task.data?

Joli pseudo miss ;-)

**Latika** · Sujet: Re: Fichier d'installation PWF et Trojan Sam 12 Sep 2009 - 13:38

Je ne vais pas m'avancer, mais en me promenant sur certain forum dont je ne dirait pas le nom ( pas la peine d'aller copier ce que font ces tyran hein >.<)
Il semblerait que le task.data est en faites, les quêtes de tout les différent npc !!
Donc les traduction sont faites dans le task.data et doivent être packer dans l'elementclient.exe.... surement par soucie de vol des traduction ....

**dark_archmagus** · Sujet: Re: Fichier d'installation PWF et Trojan Jeu 17 Sep 2009 - 5:21

Newsletter août 2009 a écrit:

- Votre anti-virus ne vous demandera plus de supprimer l'elementclient.exe du répertoire du jeu.

Je me marre !!!

~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~

Beaumarchais a écrit:

Sans la liberté de blâmer il n'est point d'éloge flatteur,
et il n'y a que les petites gens qui redoutent les petits écrits.

**Niania** · Sujet: Re: Fichier d'installation PWF et Trojan Jeu 17 Sep 2009 - 7:39

dark_archmagus a écrit:

Newsletter août 2009 a écrit:

- Votre anti-virus ne vous demandera plus de supprimer l'elementclient.exe du répertoire du jeu.

Je me marre !!!

~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~

**Mido** · Sujet: Re: Fichier d'installation PWF et Trojan Jeu 17 Sep 2009 - 8:34

Oui ils peuvent être très drôle quand ils le veulent Very Happy

~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~

**€instein**

dark_archmagus a écrit:

Newsletter août 2009 a écrit:

- Votre anti-virus ne vous demandera plus de supprimer l'elementclient.exe du répertoire du jeu.

Je me marre !!!

Y a pas de quoi se marré^^, a part que ils ont jamais contacté Antivir et que ils ont encore monté un email de toute pièce^^ (moi aussi je peux en faire des comme-ca).

Le secret réside dans leur façon de modifié l'exécutable. Il cherche ou et comment l'Antivirus cale sur l'exe et trouve une solution pour lui faire avalé que c'est juste une erreur^^.

Certes, c'est fort recherché mais ils ont pas trouvé ca tout seul. J'avais lu une histoire similaire sur le web^^. Faire en sorte a ce que le programme réagisse de tel ou tel façon avec d'autres programmes sur le PC qui interagissent avec lui.

Bref, pour résumé:
- *Le client contient effectivement plusieurs saloperies^^ (keylogger, trojan, backdoor,etc...)
- *Il contient aussi deux fichiers (serverlist.txt et tasks.data)
- Il contient un code qui analyse les autres programmes qui pourrait lui être nocif (tel que un Debugger ou encore Cheat Engine) et s'auto kill dans le cas ou ceux si sont lancés.
- Ils ont mi un petit programme sympa pour empêcher a tout prix le multi session sur leur serveur^^

Une vraie petite saloperie vivante et intelligente l'air de rien.

* Pour le keylogger, j'ai vu ailleurs un rapport de kaspesky le montrant clairement^^, pour le trojan/backdoor j'ai eu une mauvaise surprise en m'apercevant que le client se connectait tout seul a des serveurs anonymes et que y avait trop de packet sortant à mon goût^^. J'ai donc effectué plusieurs test avec différents logiciel d'analyse réseaux ainsi qu'avec deux elementclient.exe différent (le leur et celui que j'ai fabriqué moi même et forcément clean de toute saloperie^^). Etrangement y avait moins de packet sortant alors que j'étais à ADC à la même heure et avec le même nombre de joueur! Mais j'utilisais mon petit elementclient perso.^^

Autre remarque: quand je faisais une simple requête ping sur l'un des deux serveurs anonymes, et que j'utilisais leur client, Pouff!! ma connexion avec Genova ou Evoran était mystérieusement interrompue^^. Un Whois n'a rien donné sur ces deux serveurs (ca me semble bien étrange d'ailleurs)

* serverlist.txt (fichier qui contient l'ip et le port pour se connecté au serveur), tasks.data (fichier qui contient toutes les informations relatives au quêtes du jeu). Néanmoins je vois pas l'utilité de protéger un travail bâclé et qui est en fran/glais =|

**zhugecyr**

c'est bien un simple fichier texte les quêtes en gros et ils mettent 3plombes a traduire ça pathétique ...

oui moi j'ai toujours use l'astuce de remplacer leurs élémentclient.exe (et tiens comme par hasard sur vista le jeu est bloqué si on l'installe sous programme , alors que les autres pw fonctionnent sans problème ? qui a dit que vista n'était pas sécurisé ? :p)

~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~

**€instein**

Non ce n'est pas un simple fichier texte.^^

C'est un genre de tableau excel en plus complexe dont les données sont cryptées en plus. Vive l'éditeur HEX pour la plupart du temps.^^ Manque d'outil pour ce fichier précisément...

La ou c'est plus gênant, c'est le fait d'avoir une équipe qui ronfle et traduit une phrase tout les X mois. C'est la d'où vient la vrai lenteur de la traduction^^. Manque d'organisation et de concentration dans leur projet...

PS: pour avoir eu certains échos, c'est l'anarchie total au niveau organisation du travail chez eux...

**Mido**

Oui ce qui est encore plus marrant c'est ça

Toto a écrit:

Oui mais il nous faut soumettre le fichier à chaque patch, car la traduction augmente et le fichier change

Donc il semble qu'il soit en contact régulier avec Avira. Je vais de ce pas les contacter aussi pour voir.

Pour les joueurs actuels utilisant Antivir je vous conseil ce topic :
http://forum.avira.com/wbb/index.php?page=Thread&threadID=99533
Si vous pouviez soumettre également votre elementclient à un test dans leur lab et nous poster leur réponse ça serait super Wink

€instein a écrit:

PS: pour avoir eu certains échos, c'est l'anarchie total au niveau organisation du travail chez eux...

Pourquoi tu crois qu'il y a une quelconque organisation chez eux?! Laughing

~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~

**€instein**

Pas de l'organisation, de la manipulation.^^ Sinon ils auraient pas autant d'euro en poche.^^ Et pas autant de pigeon...

**PhoenixXx**

Je l'avais fait il y'a déjà un ptit moment de leur envoyer l'element.client.exe, pas eu de retour.
Question de Psychologie pour l'avancement. ^^.

**Mido**

Tu les as recontacté par rapport à ta demande?

~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~