MCLauncher - Вирусный лаунчер с ДДОСом
Услышав про новый лаунчер, который ещё и агрессивно себя пиарит (в том числе сомнительными методами), я был обязан его скачать и посмотреть на него. Моему удивлению не было предела, что я смог обнаружить... Узнайте в этой статье всё, о MCLauncher и что он представляет из себя.
Оглавление:
1) ДДОС с помощью этой программы
2) Удаление других схожих программ - лаунчеров
3) Пароли от лицензии Mojang Minecraft
4) Продажа паролей от лицензий Mojang Minecraft
5) Что говорят антивирусы о MCLauncher?
6) Итоги моего скромного анализа лаунчера
7) Видео извинений блогеров
Из-за этой статьи, наш сайт подвержен ДДОС атаке со стороны противников правды (читай MCLauncher)!
Самое главное - это ДДОС с помощью этой программы используя ваш компьютер
Кому не повезло его запустить, могли заметить, что нажимая на красную точку закрытия, он просто сворачивается. И даже в трее нет у программы меню для закрытия. То есть, без диспетчера задач, его не закрыть, чуть позже поймете зачем это сделано.
Изучая, в специальной программе по мониторингу активности софта, всё, что делает этот лаунчер, я заметил постоянно отправляющиеся запросы. Похоже он что-то активно запрашивает с своих серверов, как я понял, специальные списки адресов, необходимых для проведения ддос атаки (sheltex и cloudtree).
Примерно через 15 минут программа начала отправлять множество запросов в разные адреса с портом 25565 (стандартный порт серверов Minecraft), похоже команду с сервера наконец получил. То есть компьютер стал частью бот сети, по простому - заражённым! Поиск по любому IP куда шла атака, например, 54.36.38.171 вывел на сервер MineLegacy, именно он был целью в данный момент времени, а похоже стать может любой!
Если внимательно посмотреть на представленный скриншот (или скачать дальше лог файл анализа), то видно с каким низким таймингом отправляется множество фальшивых запросов, по простому, очень часто, и в минуту с одного компьютера может уходить десятки или даже сотни тысяч вредоносных пакетов! Если зараженных машин много, то целям - серверам Minecraft, будет не сладко... Не такой конкурентной борьбы ожидаем мы с вами от серверов в СНГ.
Теперь вам понятно, почему лаунчер нельзя выключить без диспетчера задач? Расчет идёт на слабо подкованную аудиторию, которая просто оставит его запущенным, а в этом время с компьютера будут идти вредоносные запросы. Кстати, естественно после перезапуска компьютера он запускается - всегда добавляется в автозагрузку.
Заливаю полный лог экспортированный в XML из программы анализатора (Process monitor), там же есть все запросы к файлам компьютера. Можете так же изучить, если есть такое желание. Файл весит много, поэтому лучше использовать продвинутый редактор.
Удаление других схожих программ - лаунчеров.
При каждом запуске программы, он делают проверку и удаляет другие лаунчеры Minecraft, например, TLauncher. Я уже все не стал тестировать, похоже FLauncher и MLauncher тоже. Это тоже ужасная ситуация и только за это, не стоит пользоваться им, хотя заражение компьютера в бот сеть верх цинизма!
Пароли от лицензии Mojang Minecraft
Проверить, что происходит когда вводишь данные от лицензионного аккаунта, нужно было обязательно. После ввода и нажатия на кнопку, действительно идут какие-то запросы не только к серверам Mojang, что как-бы намекает :) А в общем, он хранит пароль даже не токеном, а просто в открытом виде, что просто АХТУНГ... И они про какую то безопасность рассказывают наглецы.
Продажа паролей от лицензий Mojang Minecraft
Уже особо не скрывая вирусность своего ПО, они напрямую продают аккаунты Mojang, которые были введены в полях данного лаунчера. Про это они заявляют прямо в главном меню с помощью баннеров - "Лицензия Minecraft от 3-ёх рублей". Собственно выводы можете делать сами, откуда они ещё могут брать данные аккаунты 
.
Что говорят антивирусы о MCLauncher?
Для такого уровня проблем в программе, антивирусов которые нашли эти проблемы не так много (https://www.virustotal.com/gui/file/90b79c884ecc9a111ec763283819f59478735340cc9cdf35f2a0d38f60147478/detection). Скорее всего из-за маскировки под нормальную программу для запуска игры, но ситуация будет иной через некоторое время. Я уже разослал репорты, плюс надеюсь на вашу поддержку - отправляйте его антивирусам, так с файлом быстрее разберутся. Самый быстрый оказался Symantec, который ответил в день запроса и тоже нашел проблему. Плюс есть хороший анализатор софта hybrid-analysis.com, который так же считает файл вирусом.
Итоги моего скромного анализа лаунчера
Программа является вирусной, что даже смотреть на якобы основную его функцию - запуск Minecraft, уже вообще не хотелось, так как это не имеет никакого значения, с учетом всех проблем. Лаунчер должен быть навсегда похоронен и забыт. Для тех, кто её запускал, рекомендую запустить полную проверку системы антивирусными средствами. Учитывая, что вирус скрывается под якобы безвредным функционалом, не каждый антивирус удалит его, кто-то уже сделал гайд как удалить MCLauncher полностью, не стал перепечатывать, думаю разберетесь!
Насчет блогеров которые рекламировали данный лаунчер, мне их жаль, теперь им верить - это себя уже не уважать... Я думаю после этой статьи, никто точно не захочет уговаривать скачать MCLauncher на свой компьютер.
P.S Вот список блогеров (SlyStudio ; Blogman - ГРИФЕР ШОУ ; Маленький Мир Юни ; Дешевая Эшли ; Позитивчик) которые рекламировали MCLauncher в своих видео, тем самым став пособниками распространения вирусов и атак на сервера Minecraft. Не забудьте сказать спасибо, за зараженный компьютер.
P.S.S Учитывая, что рейтинг статьи можно было выставить без регистрации, эти глупые админы решили накрутить единиц, на комментарии тоже. Все накрученные оценки будут обнуляться. Пытаются заддосить сайт, тем самым закрывая рот, но обойдутся они.
Видео извинений блогеров
Блогеры которым заплатили за видео рекламу вируса MCLauncher, в том числе на фоне вымышленной негативной информации про тлаунчер, осознали и извинились за всё это. Возможно, даже стоит их простить.
Видео Эшли: ТЛАУНЧЕР НИЧЕГО НЕ ВОРУЕТ. ИЗВИНЕНИЕ ПЕРЕД ВАМИ
YouTube: https://www.youtube.com/watch?v=ARCwE9mOh3Y (видео скрыто)
Видео Blogman: TLauncher ворует ваши пароли? - НЕТ !!!
Видео Маленький Мир Юни: TLauncher ворует ваши пароли - НЕТ !!!
p.s канал и видео Юни были удалены, перезалил на сайт.
Видео Позитивчик: ПРОСТИ Tlauncher! ИЗВИНЕНИЕ ПЕРЕД ВАМИ МАЙНКРАФТ
