Ник | Пост | Дата |
---|---|---|
Kadzuma(Антон) | Здравствуйте, буквально вчера, на просторах интернета , я умудрился найти фейковую версию GoodbyeDPI которую распостраняет человек на Github под ником - ValdikSSS. Вот ссылка на данное расширение - https://github.com/ValdikSSS/GoodbyeDPI. Что вы можете сказать по этому поводу? | 2024-08-04T21:02:28.831Z |
Xunlei | 4-х мегабайтный вирус, в оригинале 75 Кб. Защита от вирусов и угроз Windows сразу удалила. Зарепортил. | 2024-08-04T21:12:19.574Z |
yatolkosprosit | Создание поддельных программ было ожидаемо, если учесть широкое распространение информации про gooddyedpi в последние дни. | 2024-08-04T21:46:37.100Z |
GagaMaga600(GagaMaga600) | а как зарепортить ? я не разобрался | 2024-08-04T22:33:12.881Z |
Xunlei |
Зарепортил репозиторий и пользователя. | 2024-08-04T22:37:15.289Z |
Xunlei | 2024-08-04T22:50:44.805Z | |
Kadzuma(Антон) | А вирус какой? А то, просто мой друг попался на него, скачал потому что, подумал, что на него обновление вышло. | 2024-08-04T23:00:08.944Z |
Xunlei | Защитник виндовс написал: | 2024-08-04T23:01:48.586Z |
Chookity | Антивирусы могут по разному писать | 2024-08-04T23:04:29.517Z |
GagaMaga600(GagaMaga600) | Благодарю. Закинул репорт и на пользователя и на его фейковый репозиторий. | 2024-08-04T23:06:44.319Z |
Kadzuma(Антон) | Ясно, просто у друга антивирус написал, что там вообще ратник. Вот и спрашиваю. А после удаления вируса ничего в системе не поменялось? И можно узнать, какой антивирус лучше всего использовать? | 2024-08-04T23:12:42.334Z |
artenox | 2024-08-04T23:51:25.042Z | |
Moonlighter | Тоже зарепортил репозиторий и автора. | 2024-08-05T00:02:53.321Z |
xX_RUP3R7_P4UL50N_Xx | Зарепортил пользователя и репозиторий, прикрепив скрины VirusTotal: | 2024-08-05T01:52:04.970Z |
Anonimno(Anonimno) | Данные юзеры не с подобных ли фейковых репозиториев устанавливали себе фейковый GBDPI? | 2024-08-05T01:55:49.529Z |
Moonlighter | Нашел пару мест, где использовали ссылку на фейк-репу - 2ch и YouTube. Зарепортил по обоим случаям. | 2024-08-05T03:31:13.201Z |
TOPER(TOPER) | Тоже кинул репорт на гитхабе. ValdikSSS лол. | 2024-08-05T04:43:36.236Z |
artenox | Что-то долго github реагирует. Не факт, что чел сознательно обманывал. Может, самого обманули. | 2024-08-05T05:07:15.030Z |
Moonlighter |
На канале всего 2 видео и содержимое ссылки во втором (по читам для игры) показывает похожую картину на VirusTotal. Там тоже 7z архив под паролем. | 2024-08-05T05:15:39.075Z |
Kadzuma(Антон) | Всех снова приветствую, мой друг проверил антивирусом свой ПК, и после удаления данной фейковой версии GoodbyeDPI, все с его ПК хорошо, никаких других угроз не было обнаружено. | 2024-08-05T05:20:55.988Z |
ValdikSS | Скорее всего, вам прогрузили легитимное ПО удалённого доступа с автоподтверждением входа, поэтому оно не обнаруживается антивирусами. | 2024-08-05T05:27:22.850Z |
ValdikSS | 2024-08-05T05:28:16.597Z | |
Kadzuma(Антон) | Оу, а как его теперь обнаружить? | 2024-08-05T05:29:15.527Z |
Moonlighter | Судя по отчетам поведения в песочницах на VT, я бы попробовал для начала запустить Windows в безопасном режиме и посмотреть “Планировщик заданий” и исключения Windows Defender, почистить лишние записи при наличии. Этот вирус закидывает туда сразу множество исполняемых файлов. Но не уверен, что этого будет достаточно. Ведет себя как RAT и в отчете отметка, что похоже на Dark Crystal RAT. | 2024-08-05T06:53:28.914Z |
Laomedon | Зарепортил кнопка “Report repository” в правой, боковой панели.
Текст:
Может кому-то еще будет полезно | 2024-08-05T06:54:57.816Z |
Moonlighter | Всё, поддержка снесла фейк на GitHub | 2024-08-05T07:14:23.898Z |
mrplap | Снесли и репозиторий и аккаунт. | 2024-08-05T07:15:41.602Z |
GagaMaga600(GagaMaga600) | Отличная работа, комрады. | 2024-08-05T07:31:43.988Z |
boltor | Прям на моих глазах репу снесли. Открываю её, всё вижу. Через 10 секунд захожу на страницу автора репы, бах, 404. Возвращаюсь обратно на страницу репы, тоже 404. | 2024-08-05T07:39:54.550Z |
boltor | Ждём когда твой лаунчер начнут подделывать. С проверками хешей из поддельных исходников всё будет сходиться | 2024-08-05T07:42:16.088Z |
mrplap | Не подсказывайте! | 2024-08-05T11:30:13.822Z |
TOPER(TOPER) | Лишний барьер не помешает, я считаю. | 2024-08-05T11:40:55.994Z |
ValdikSS | 2024-08-05T11:46:09.278Z | |
Moonlighter | Автор видео, которое я находил, создал новый клон репозитория с RAT трояном в архиве с релизом, заменил ссылку в описании видео и удалил наши комментарии про наличие вируса. Предлагаю снова зарепортить, чтоб забанили: | 2024-08-06T10:35:35.907Z |
ValdikSS | 2024-08-06T10:45:55.296Z | |
boltor | Тоже зарепортил гитхаб и ютуб. Ждём VladikSS’a | 2024-08-06T10:50:21.683Z |
Anonimno(Anonimno) | +1 reported abuse
| 2024-08-06T10:51:55.429Z |
ValdikSS | Пожаловался на репозиторий, видео, пользователя lornum4047, который и в прошлый раз оставлял комментарий к видео. | 2024-08-06T10:53:35.073Z |
ValdikSS |
| 2024-08-06T11:09:00.040Z |
ValdikSS | Github удалён. | 2024-08-06T11:15:19.480Z |
Anonimno(Anonimno) | Всё, кончился fake | 2024-08-06T11:15:36.274Z |
GagaMaga600(GagaMaga600) | +репорт. жесть там уже скачали сколько. upd: удалили, всем спасибо за работу. (тему эту кста реально лучше не закрывать. похоже это не последний фейк будет) | 2024-08-06T11:16:21.512Z |
Moonlighter | Но скорее всего пока что будут пересоздавать бесконечно. Даже если снесут YouTube канал, то тоже могут зарегать новый. | 2024-08-06T11:17:16.082Z |
GagaMaga600(GagaMaga600) | мне интересно, насколько админы гитхаба лояльны к таким ситуациям ? | 2024-08-06T11:18:42.193Z |
PatchDragon(Patch) | Почему GitHub сам себя на вирусы не проверяет ? Это же не первый такой раз - с тучей утилит такое было Считаю что надо делать дисклнймер о подделках на гитхабе оригинала | 2024-08-06T11:44:40.684Z |
Anonimno(Anonimno) | Фейкер паролит архив с вирусом | 2024-08-06T11:48:14.221Z |
PatchDragon(Patch) | Хитро, тогда пусть при выгрузке просят пароль от архива, в без него не пропускают. Или надрочить ИИ открывать такие архивы, ведь пароль где то рядом | 2024-08-06T11:54:03.718Z |
Dhohbr | Мои комментарии под роликом в шадоубане, возможно автор сам их скрывает. | 2024-08-06T12:13:31.963Z |
Anonimno(Anonimno) | Зато по описанию к видео можно мониторить фейковые репозитории с фейковым GBDPI) | 2024-08-06T12:25:03.758Z |
KatouMegumi-osu | Пора добавлять сплэш о первоисточнике | 2024-08-06T12:27:08.162Z |
GagaMaga600(GagaMaga600) | Кстати да, подтверждаю. Если зайти на видео в режиме “инкогнито”, то наших комментариев не видно. | 2024-08-06T12:31:44.966Z |
ValdikSS | https://github.com/ValdkiSSS/GoodbyeDPI | 2024-08-06T15:59:31.104Z |
Anonimno(Anonimno) | +1 reported abuse
| 2024-08-06T16:05:04.047Z |
lol | если поставить упорядочить “сначала новые”, то видно больше комментариев | 2024-08-06T16:11:25.186Z |
Moonlighter | Третий репо https://github.com/ValdkiSSS/GoodbyeDPI | 2024-08-06T16:17:09.230Z |
ValdikSS | Удалено. | 2024-08-06T16:52:12.990Z |
yatolkosprosit | Вместо ValdikSS можно еще создать VladikSS. Разница будет почти незаметна. | 2024-08-06T17:27:56.553Z |
Moonlighter | Можно, но такой уже занят кем-то с парой репозиториев от 2016 года, не связанных с текущей ситуацией. | 2024-08-06T17:33:10.510Z |
ValdikSS | Новый вредоносный репозиторий. ValdlkSS. | 2024-08-06T17:33:13.353Z |
yatolkosprosit | Тролли развлекаются. | 2024-08-06T17:35:25.539Z |
lol | это ркп ) | 2024-08-06T17:43:40.937Z |
Anonimno(Anonimno) | Вредоносных архивов нет в Releases, уже хорошо | 2024-08-06T17:43:54.149Z |
Moonlighter | Ой, а я зарепортил. Но все же это все равно фейк. | 2024-08-06T17:46:46.081Z |
yatolkosprosit |
Сегодня нет, а завтра будут. | 2024-08-06T18:01:38.117Z |
ValdikSS | Удалено. | 2024-08-06T18:14:35.953Z |
ValdikSS | Теперь malware загружена на mediafire. https://www.mediafire.com/help/submit_a_ticket.php?type=abuse ⇒ I have a general inquiry about MediaFire
| 2024-08-06T18:29:58.356Z |
0ka(0ka) | видео только что заприватили, перед этим скрыли. вот ссыль на канал если кто-то потерял https://www.youtube.com/@katawacheats/videos | 2024-08-06T18:35:20.126Z |
tempuser | Github позволяет создать аккаунт с таким же именем после удаления? То есть мы можем сами пересоздать разные комбинации фейков и оставить их лежать пустыми? | 2024-08-07T09:37:15.226Z |
GagaMaga600(GagaMaga600) | на 4pda наткнулся на ссылку, с “модифицированной” версией. virustotal вроде всё ок. судя по содержимому файлов, там сделали разные батники с разными конфигами. | 2024-08-07T11:00:12.300Z |
jestxfot(YoutubeNotWork) | Сравнить можно хэш файла exe, если он такой же а отличаются только cmd, то ничего страшного думаю | 2024-08-07T11:52:27.471Z |
Moonlighter | Проверил. Хэши exe, dll и sys файлов совпадают с официальным релизом 0.2.3rc1. В cmd файлах тоже ничего опасного. Просто добавили варианты cmd файлов под разных провайдеров. | 2024-08-07T15:01:54.026Z |
PatchDragon(Patch) | На 4pda какой только вирус я не находил, многое из этого не детектится, крайне плохой источник. Плюс 4pda сами удаляли средства блокировки когда на них надавили и отобрали 4pda.ru, так что это вдвойне странно | 2024-08-07T15:28:35.824Z |
Anonimno(Anonimno) |
Видео про GBDPI снова стало доступно. Мониторим фейки) А собственно вот и фейки. | 2024-08-07T15:38:06.485Z |
Anonimno(Anonimno) |
Всё, 404 | 2024-08-07T16:29:04.454Z |
ElMario | Снова это существо вылезло. | 2024-08-08T00:37:27.196Z |
Anonimno(Anonimno) | GitHub отписку прислал на жaлoбу по этому фейку… | 2024-08-08T06:53:05.974Z |
GagaMaga600(GagaMaga600) | как я и говорил. они рано или поздно (рано), начнут забивать на этих фейков и будут реагировать крайне неохотно. | 2024-08-08T07:21:49.779Z |
boltor | Зарепортил. Он пока ещё жив. Видать решил на ночь глядя фейки плодить, чтобы подольше подержалось. | 2024-08-08T07:22:08.079Z |
boltor | Снесли валидлка. | 2024-08-08T08:31:04.342Z |
0ka(0ka) | предлагаю не писать в теме когда репо сносят, автор может мониторить почту так же как и вы сейчас | 2024-08-08T08:31:31.537Z |
boltor | Тему читает не только автор. Пусть сам скажет если не нужно. | 2024-08-08T08:34:14.861Z |
0ka(0ka) | я про автора вируса (он может наблюдать за темой), а не автора темы | 2024-08-08T08:35:42.158Z |
boltor | Я думал вы про Валдикса. При чём тут тогда предложение не писать в тему, если автор вируса всё равно мониторит почту и по-любому получает уведомление от гитхаба, что его очередной фейк забанили? Из этой темы он не узнает об этом раньше. | 2024-08-08T08:39:58.571Z |
ValdikSS | Как появится снова на гитхабе, сохраните страницу пользователя и репозитория, пожалуйста. | 2024-08-08T09:15:37.034Z |
ValdikSS | https://www.youtube.com/watch?v=u6mu5kn_1xs | 2024-08-08T12:09:32.771Z |
boltor | На Ютубе нашёл видео с подозрительной ссылкой на скачивание в описании: Нижняя кнопка вроде ведёт на оригинальный репозиторий, а верхняя выглядит очень подозрительно, обещают запароленный архив и всё такое, но я по ней так скачать ничего не смог. Сейчас вообще у меня 404 показывает. Может кто проверить? | 2024-08-08T12:15:29.776Z |
boltor | Чьё-то перезалитое видео на Ютуб со ссылкой на гугл диск с запароленным .rar архивом. Пароль не указан, но я наугад сразу подобрал 123. UPD. Гугл диск заблочили, видимо гугл в реальном времени подтягивает инфу с Вирустотала и блочит малварь в своём облаке. | 2024-08-08T12:32:41.822Z |
Dhohbr | Покидал абьюзы к последним видосам. | 2024-08-08T12:44:47.409Z |
ValdikSS | https://www.youtube.com/watch?v=WqJiHU6nmIQ ⇒ https://www.youtube.com/@midoviyworm2095 | 2024-08-08T16:47:17.202Z |
Yesckela(Алексей) |
| 2024-08-10T10:53:59.546Z |
Xunlei |
Нужен ValdikSS | 2024-08-10T10:56:37.957Z |
0ka(0ka) | на скрине у вас оригинальный репозиторий с “ValdikSS”, всё верно, качайте оттуда а не из телеграм Release 0.2.3rc1 · ValdikSS/GoodbyeDPI · GitHub | 2024-08-10T10:57:09.026Z |
Yesckela(Алексей) | Ну вот скачал с этого сайта архив, антивирус винды ругается totalvirus вот что показывает, это норма? | 2024-08-10T11:02:30.459Z |
0ka(0ka) | на virustotal оригинальный файл, это норма. а на счёт защитника винды не в курсе, видимо нужно добавить в исключения | 2024-08-10T11:04:34.309Z |
mrplap | Вот на всякий случай, на что надо обратить внимание. Оригинальный репозиторий создан давно. И да, на VirusTotal действительно так определяется. | 2024-08-10T11:04:43.360Z |
Yesckela(Алексей) | Если я кидаю ссылку, то файл проходит проверку, а если качаю файл и кидаю на сайт вручную, то вот можете проверить это? А то мне кажется, что я сейчас все снесу с компа. | 2024-08-10T11:09:02.472Z |
GagaMaga600(GagaMaga600) | Вам только что ответили. Это норма. Не плодите сообщения. | 2024-08-10T11:09:50.115Z |
0ka(0ka) | virustotal не может скачать файл по этой ссылке, она с редиректом | 2024-08-10T11:11:51.160Z |
Xunlei | На дату коммитов смотреть на надо, это дата проставляется автором фиксации, можно 1970-01-01 проставить (для аутенфикации даты есть TSA). | 2024-08-10T11:16:20.812Z |
Dhohbr | Ложноположительное сканирование на вирустотал? | 2024-08-10T11:21:01.094Z |
mrplap | Возможно. Но пока что на всех фейках комиты совпадали с датой создания репозитория | 2024-08-10T11:21:03.746Z |
Dhohbr |
Сравнил хеши последней версии под x64, совпадают с оригиналом. Судя по описанию авторы, topersoft сами его писали. | 2024-08-10T11:40:42.123Z |
mrplap |
Вроде как автор даже тут на форуме есть | 2024-08-10T11:41:35.561Z |
dartraiden(Alexander Gavrilov) |
Если смотретьна реакцию известных и качественных продуктов, а не, прости господи, авастов и белорусских антивирусов, то срабатывания вполне честные
Они вполне ясно говорят: “это GoodbyeDPI” (а вы, скачивая GoodbyeDPI, ожидали там увидеть внутри что? армян, играющих в нарды?), “это инспектор сетевых пакетов” (вы скачали программу, цель которой - модифицировать сетевые пакеты, почему вас удивляет, что антивирусы её детектируют, как программу для модификации сетевых пакетов?), “это потенциально нежелательное ПО” (и это правда, некоторые онлайн-игры с античитами очень не любят драйвер WinDivert, потому что им пользуются и в читерских целях). | 2024-08-10T14:26:45.849Z |
anon9001(anon) |
Все очень просто. То что делают товарищи в ркн считается хакерством по определению, ну или в цивилизованим мире мошеничетсвом, та же подмена днс и сертификатов туда же. А противостояние к этому также подразумевает хакерство. Против лома нет приема как говорится. | 2024-08-10T15:41:52.491Z |
DigitalRes77 | А пароль к нему - github | 2024-08-15T21:19:13.596Z |
Storik4pro(Storik4pro) | Нашел ещё один фейк репозиторий. Файл в релизах весит 2 мб. Аккаунт создан 16 часов назад | 2024-10-01T06:39:50.795Z |
Anonimno(Anonimno) | Зарепортил, что ответит в этот раз GitHub. | 2024-10-01T07:25:28.146Z |
Dhohbr | Зарепортил его. | 2024-10-01T12:15:20.097Z |
Dimx | Ну судя по описанию нам стараются толкнуть нечто невероятное ) | 2024-10-01T12:32:54.088Z |
KDS | Последняя официальная версия, тупо набитая кучей батников с фейк-ген 29 и дополнительной мешаниной. С выполнением требований из ридми на гитхабе, какие модсеты на каком прове не работают. Даже какой-то батник привинтил для генерации мешанины для fake-from-hex | 2024-10-01T12:45:49.280Z |
Dimx | Да он никак не успокоится ) | 2024-10-02T15:36:49.277Z |
KDS | Зарепортил | 2024-10-02T16:02:16.401Z |
voper | Зарепортил, долго ли он так будет делать ещё?( | 2024-10-02T18:56:58.149Z |
KDS | Кто в гитхабе и его кухне разбирается, в чем смысл вот таких например репозиториев? Я что-то смысла понять не могу ( | 2024-10-04T11:20:48.406Z |
BigBro | Я не большой спец по гитхабу, но по приведенной ссылке, как я понял, зеркало репозитория (которое, в отличие от форков, синхронизируется с оригиналом автоматически в реальном времени). Человек, видимо, создал его как резервную копию, чтобы сохранить все данные и историю изменений в случае потери оригинального репозитория. | 2024-10-04T12:09:52.937Z |
throwaway1 | Целый фейковый сайт обнаружил goodbyedpi[.]com | 2024-10-04T12:23:53.642Z |
voper | GitHub actions как вариант | 2024-10-04T12:30:46.751Z |
rewhat | надо в ркн жаловаться чтоб блокировали фейковые сайты goodbyedpi | 2024-10-04T12:31:10.488Z |
KDS | Ну, качаются оттуда просто исходники с гитхаба в архиве. Возможно, на самом сайте что-то вредоносное сидит. Это только в CF жаловаться, сайт висит на их резольвере. | 2024-10-04T12:33:51.754Z |
zzr | выс валдикасом то перетирали на етот сщёт? может он на биржу собирается выходить сос воей софтиной | 2024-10-04T12:50:49.477Z |
Ippe | тоже схожу репорт ему кину. и так у народа проблемы, а кто-то ещё подкинуть свинью хочет | 2024-10-04T13:35:51.222Z |
Anonimno(Anonimno) |
За что? Это базовый функционал GitHub. | 2024-10-04T13:47:42.448Z |
Ippe | за размещение вирусной программы вместо goodbyedpi | 2024-10-04T13:55:28.904Z |
Anonimno(Anonimno) | Но ведь там нет вирусной программы, если речь идет о | 2024-10-04T15:27:16.242Z |
gosduma(aaa) | такой же в зоне .ru | 2024-10-04T20:43:14.382Z |
KDS | Старая история, кстати. Опять вылез, видимо @zzr А нечего тут обсуждать ) | 2024-10-04T21:27:04.224Z |
haste | Мне лично было бы спокойнее, если бы бинарники были подписаны. | 2024-10-05T00:59:29.763Z |
KDS | Лаунчеру достаточно проверить контрольную сумму файла (минимум по MD5 и SHA-1) и этого бы вполне хватило, чтобы убедиться, что файл никем и ничем не изменен. Никаких подписей не нужно. Единственная проблема в этом решении - лаунчер никогда не успевает за выходом новых EXE гудбая, так что просто так при такой системе вы новый EXE скачанный откуда положено в лаунчер не воткнете. Но это и смысла не имеет, так как новыми возможностями вы все равно воспользоваться не сможете - их тупо в лаунчере не будет. | 2024-10-05T01:55:42.283Z |
KDS | 3 posts were split to a new topic: Фейковая версия известной сборки zapret - будьте осторожны! | 2024-11-06T23:25:21.240Z |
dartraiden(Alexander Gavrilov) |
Её нужно сравнивать с эталоном, малварщики просто поменяют эталонный хэш в лаунчере. Придётся обфусцировать строку, защищать лаунчер от модификации, ну и дальше по тернистой дорожке борьбы шароварщиков с крякерами… | 2024-11-07T07:05:17.439Z |
MayanKoyote(Mayan Koyote) | 2024-11-18T20:09:16.065Z | |
Anonimno(Anonimno) | Долго фейк живёт. GitHub на мой report молчит пока. | 2024-11-19T08:54:34.819Z |
nzkhammatov(Ainur Khammatov) | Report
Please select a category for your issue
What would you like to report Write
| 2024-11-19T10:32:30.822Z |
nzkhammatov(Ainur Khammatov) | 2024-11-19T10:42:13.154Z | |
Anonimno(Anonimno) | По последнему фейку картинка красивая после запуска 48ce3b823cb5 | VMRay Platform Report | 2024-11-20T06:52:59.316Z |
rewhat |
это крипово upd: а, ну да, это при запуске картинка выдается. Прикольно. Кто-то решил серьезно подойти к делу видимо. Надеюсь когда-нибудь антивирусные компании выпустят статью аля “Эволюция вирусов во время обхода блокировок” | 2024-11-20T15:57:41.929Z |
Avanairn(Avanairn) | Петя?! Серьезно? Что дальше? Винлокер? | 2024-11-20T17:44:07.774Z |
KDS | Все новое - хорошо забытое старое ) Сколько лет уж прошло, около 15-20? Пора возвращать | 2024-11-20T19:11:17.904Z |