Acest ”instrument de hacking” pentru CS:GO îți poate afecta calculatorul

de: Bogdan Cristea
24 12. 2016

ExternalCounterstrike este un malware deghizat într-un hacking tool pentru CS:GO.

Având în vedere numărul uriaș de persoane care joacă CS:GO, era clar că vom vedea foarte mulți hackeri. Însă, în mod interesant, cineva a creat de curând un instrument prin care îi pedepsește pe cei care își obțin software-ul de hacking dintr-o anumită sursă.

Astfel, după cum scrie site-ul Bleeping Computer, numele programului este ExternalCounterstrike, iar în loc să-i ajute pe utilizatori să obțină scoruri mai bune în joc (stricând, în același timp, experiența tuturor celorlalți oameni), acesta rescrie MBR-ul (Master Boot Record), prevenind procesul de boot. Din câte se pare, instrumentul a fost descoperit de către utilizatorul de Twitter @YoureMom696 și analizat de către @MalwreHunterTeam.

Mai jos, puteți vedea toate elementele incluse în arhiva pe care o descarcă cei care apelează la ExternalCounterStrike. Singurul care nu se află acolo în fază inițială este ”fuck_mpgh.exe”. Pentru ca acesta să fie descărcat, este necesar ca utilizatorul să deschidă fișierul ”.sln”, care, la rândul său, execută o comandă PowerShell. Aceasta din urmă descarcă și rulează ”fuck_mpgh.exe”.

Ulterior, executabilul rescris MBR-ul hard drive-ului, astfel că, la fiecare boot, calculatorul va afișa textul pe care îl puteți vedea deasupra. ”Restartând, vei observa că ceva ți-a rescris MBR-ul. Este trist faptul că aventurile tale s-au încheiat aici. Acesta este rezultatul incompetenței programelor care analizează fișierele de pe MPGH. Dacă ai nevoie de coduri, folosește ceva diferit de MPGH. Salutări de la ULLR. <3”, scrie în mesajul respectiv.

MPGH este, de fapt, MultiPlayer Game Hacking & Cheats, un forum extrem de cunoscut de pe care oamenii pot descărca programe pentru trișat. Nu trebuie decât să ne uităm peste mesajul transmis victimelor și peste numele executabilului (fuck_mpgh.exe), pentru a ne da seama că avem de-a face cu un membru nemulțumit al forumului. Cel mai probabil, acesta a fost afectat în trecut de un malware asemănător.