Здравствуйте, буквально вчера, на просторах интернета , я умудрился найти фейковую версию GoodbyeDPI которую распостраняет человек на Github под ником - ValdikSSS. Вот ссылка на данное расширение - https://github.com/ValdikSSS/GoodbyeDPI. Что вы можете сказать по этому поводу?
4-х мегабайтный вирус, в оригинале 75 Кб. Защита от вирусов и угроз Windows сразу удалила.
Зарепортил.
Создание поддельных программ было ожидаемо, если учесть широкое распространение информации про gooddyedpi в последние дни.
а как зарепортить ? я не разобрался
Зарепортил репозиторий и пользователя.
А вирус какой? А то, просто мой друг попался на него, скачал потому что, подумал, что на него обновление вышло.
Защитник виндовс написал: VirTool:Win32/Pucrpt.A!MTB, не запускал.
Антивирусы могут по разному писать
Благодарю. Закинул репорт и на пользователя и на его фейковый репозиторий.
Ясно, просто у друга антивирус написал, что там вообще ратник. Вот и спрашиваю. А после удаления вируса ничего в системе не поменялось? И можно узнать, какой антивирус лучше всего использовать?
Тоже зарепортил репозиторий и автора.
Зарепортил пользователя и репозиторий, прикрепив скрины VirusTotal:
Данные юзеры не с подобных ли фейковых репозиториев устанавливали себе фейковый GBDPI?
Нашел пару мест, где использовали ссылку на фейк-репу - 2ch и YouTube. Зарепортил по обоим случаям.
Тоже кинул репорт на гитхабе. ValdikSSS лол.
В следующем обновлении Launcher for GoodbyeDPI обязательно добавлю проверку контрольной суммы гудбая в папке и сравнение с суммами оригинальных билдов. На всякий пожарный.
Что-то долго github реагирует.
Не факт, что чел сознательно обманывал. Может, самого обманули.
На канале всего 2 видео и содержимое ссылки во втором (по читам для игры) показывает похожую картину на VirusTotal. Там тоже 7z архив под паролем.
Всех снова приветствую, мой друг проверил антивирусом свой ПК, и после удаления данной фейковой версии GoodbyeDPI, все с его ПК хорошо, никаких других угроз не было обнаружено.
И ещё, хочу всем сказать спасибо что не остались равнодушными, и накинули репорты на данную фейковую версию.
Скорее всего, вам прогрузили легитимное ПО удалённого доступа с автоподтверждением входа, поэтому оно не обнаруживается антивирусами.
Оу, а как его теперь обнаружить?
Судя по отчетам поведения в песочницах на VT, я бы попробовал для начала запустить Windows в безопасном режиме и посмотреть “Планировщик заданий” и исключения Windows Defender, почистить лишние записи при наличии. Этот вирус закидывает туда сразу множество исполняемых файлов. Но не уверен, что этого будет достаточно.
Ведет себя как RAT и в отчете отметка, что похоже на Dark Crystal RAT.
Зарепортил кнопка “Report repository” в правой, боковой панели.
Причина
Active Malware or Exploits
Текст:
Virus And Fake
Original Repo:
https://github.com/ValdikSS/GoodbyeDPI
Original Аuthor:
https://github.com/ValdikSS
Proof:
https://ntc.party/t/%D1%84%D0%B5%D0%B9%D0%BA%D0%BE%D0%B2%D0%B0%D1%8F-%D0%B2%D0%B5%D1%80%D1%81%D0%B8%D1%8F-goodbyedpi/8725
Может кому-то еще будет полезно
Всё, поддержка снесла фейк на GitHub
Снесли и репозиторий и аккаунт.
Отличная работа, комрады.
Прям на моих глазах репу снесли. Открываю её, всё вижу. Через 10 секунд захожу на страницу автора репы, бах, 404. Возвращаюсь обратно на страницу репы, тоже 404.
Ждём когда твой лаунчер начнут подделывать. С проверками хешей из поддельных исходников всё будет сходиться 
Не подсказывайте!
Лишний барьер не помешает, я считаю.
Автор видео, которое я находил, создал новый клон репозитория с RAT трояном в архиве с релизом, заменил ссылку в описании видео и удалил наши комментарии про наличие вируса. Предлагаю снова зарепортить, чтоб забанили:
https://github.com/ValdkiSS/GoodbyeDPI
Видео и канал я тоже репортил, но YouTube не отреагировал.
Тоже зарепортил гитхаб и ютуб. Ждём VladikSS’a
+1 reported abuse
Virus And Fake
Original Repo: https://github.com/ValdikSS/GoodbyeDPI
Original Аuthor: https://github.com/ValdikSS
Proof: https://ntc.party/t/%D1%84%D0%B5%D0%B9%D0%BA%D0%BE%D0%B2%D0%B0%D1%8F-%D0%B2%D0%B5%D1%80%D1%81%D0%B8%D1%8F-goodbyedpi-%D0%BD%D0%BE%D0%B2%D1%8B%D0%B9-%D1%80%D0%B5%D0%BF%D0%BE%D0%B7%D0%B8%D1%82%D0%BE%D1%80%D0%B8%D0%B9/8835
Пожаловался на репозиторий, видео, пользователя lornum4047, который и в прошлый раз оставлял комментарий к видео.
goodbyedpi-0.2.3rc1.7z(7.34 MiB) - downloaded 54 times. Last updated on 2024-08-05
goodbyedpi-0.2.2.7z(6.97 MiB) - downloaded 74 times. Last updated on 2024-08-05
Github удалён.
Всё, кончился fake
+репорт. жесть там уже скачали сколько.
upd: удалили, всем спасибо за работу.
(тему эту кста реально лучше не закрывать. похоже это не последний фейк будет)
Но скорее всего пока что будут пересоздавать бесконечно. Даже если снесут YouTube канал, то тоже могут зарегать новый.
мне интересно, насколько админы гитхаба лояльны к таким ситуациям ?
скажут “так как же вы зае****” и снесут ориджинал.
Или они за таким замечены небыли ?
Почему GitHub сам себя на вирусы не проверяет ? Это же не первый такой раз - с тучей утилит такое было
Считаю что надо делать дисклнймер о подделках на гитхабе оригинала
Фейкер паролит архив с вирусом
Хитро, тогда пусть при выгрузке просят пароль от архива, в без него не пропускают. Или надрочить ИИ открывать такие архивы, ведь пароль где то рядом
Мои комментарии под роликом в шадоубане, возможно автор сам их скрывает.
Ютуб на абьюз не реагирует.
Зато по описанию к видео можно мониторить фейковые репозитории с фейковым GBDPI)
Пора добавлять сплэш о первоисточнике
Кстати да, подтверждаю. Если зайти на видео в режиме “инкогнито”, то наших комментариев не видно.
https://github.com/ValdkiSSS/GoodbyeDPI
+1 reported abuse
Virus And Fake
Original Repo:
https://github.com/ValdikSS/GoodbyeDPI
Original Аuthor:
https://github.com/ValdikSS
Proof: https://ntc.party/t/%D1%84%D0%B5%D0%B9%D0%BA%D0%BE%D0%B2%D0%B0%D1%8F-%D0%B2%D0%B5%D1%80%D1%81%D0%B8%D1%8F-goodbyedpi/8725
если поставить упорядочить “сначала новые”, то видно больше комментариев
Третий репо https://github.com/ValdkiSSS/GoodbyeDPI
Зарепортил. И еще раз на YouTube, описав подробнее.
Удалено.
Вместо ValdikSS можно еще создать VladikSS. Разница будет почти незаметна.
Можно, но такой уже занят кем-то с парой репозиториев от 2016 года, не связанных с текущей ситуацией.
Новый вредоносный репозиторий. ValdlkSS.
https://github.com/ValdlkSS/GoodbyeDPI
Тролли развлекаются.
это ркп )
Вредоносных архивов нет в Releases, уже хорошо
Ой, а я зарепортил. Но все же это все равно фейк.
Сегодня нет, а завтра будут.
Удалено.
Теперь malware загружена на mediafire.
https://www.mediafire.com/help/submit_a_ticket.php?type=abuse ⇒ I have a general inquiry about MediaFire
mediafire.com/file/iz72oolvkd5z3xl/goodbyedpi-0.2.3rc1.7z/file
видео только что заприватили, перед этим скрыли. вот ссыль на канал если кто-то потерял https://www.youtube.com/@katawacheats/videos
Github позволяет создать аккаунт с таким же именем после удаления? То есть мы можем сами пересоздать разные комбинации фейков и оставить их лежать пустыми?
на 4pda наткнулся на ссылку, с “модифицированной” версией.
я не уверен и не утверждаю что там что-то “нехорошее”, но стоит взять во внимание.
судя по “скачиваниям” является популярной ссылкой.
virustotal вроде всё ок.
архив распаковывать не рискнул, песочницы у меня нет.
судя по содержимому файлов, там сделали разные батники с разными конфигами.
Сравнить можно хэш файла exe, если он такой же а отличаются только cmd, то ничего страшного думаю
Проверил. Хэши exe, dll и sys файлов совпадают с официальным релизом 0.2.3rc1. В cmd файлах тоже ничего опасного. Просто добавили варианты cmd файлов под разных провайдеров.
На 4pda какой только вирус я не находил, многое из этого не детектится, крайне плохой источник.
Плюс 4pda сами удаляли средства блокировки когда на них надавили и отобрали 4pda.ru, так что это вдвойне странно
Видео про GBDPI снова стало доступно. Мониторим фейки)
А собственно вот и фейки.
Всё, 404
Снова это существо вылезло.
https://github.com/ValidlkSSS/GoddyeDPl
GitHub отписку прислал на жaлoбу по этому фейку…
как я и говорил. они рано или поздно (рано), начнут забивать на этих фейков и будут реагировать крайне неохотно.
это уже получатся спам в сторону админов.
Зарепортил. Он пока ещё жив. Видать решил на ночь глядя фейки плодить, чтобы подольше подержалось.
Снесли валидлка.
предлагаю не писать в теме когда репо сносят, автор может мониторить почту так же как и вы сейчас
Тему читает не только автор. Пусть сам скажет если не нужно.
я про автора вируса (он может наблюдать за темой), а не автора темы
Я думал вы про Валдикса. При чём тут тогда предложение не писать в тему, если автор вируса всё равно мониторит почту и по-любому получает уведомление от гитхаба, что его очередной фейк забанили? Из этой темы он не узнает об этом раньше.
Как появится снова на гитхабе, сохраните страницу пользователя и репозитория, пожалуйста.
https://www.youtube.com/watch?v=u6mu5kn_1xs
https://www.youtube.com/@Lixxeon
Ссылка в комментариях на версию с трояном, youtube 1.exe — стилер
https://mega.nz/folder/dFR3yQBK#dy-PPoSRGYHUPd37ysFs-g
На Ютубе нашёл видео с подозрительной ссылкой на скачивание в описании: https://ify.ac/1JdR
Открывается вот такое:
Нижняя кнопка вроде ведёт на оригинальный репозиторий, а верхняя выглядит очень подозрительно, обещают запароленный архив и всё такое, но я по ней так скачать ничего не смог. Сейчас вообще у меня 404 показывает. Может кто проверить?
Чьё-то перезалитое видео на Ютуб со ссылкой на гугл диск с запароленным .rar архивом. Пароль не указан, но я наугад сразу подобрал 123.
Внутри троян:
UPD. Гугл диск заблочили, видимо гугл в реальном времени подтягивает инфу с Вирустотала и блочит малварь в своём облаке.
Покидал абьюзы к последним видосам.
Вообще забавно конечно, что на заблокированном Ютубе выкладывают инструкции как его разблокировать)
А наверно на рутюбе их ещё больше, кто-нибудь там искал?
https://www.youtube.com/watch?v=WqJiHU6nmIQ ⇒ https://www.youtube.com/@midoviyworm2095
https://www.youtube.com/watch?v=aMJYbHh--kc ⇒ https://www.youtube.com/@yaumryivsezabydyt9347
https://www.youtube.com/watch?v=Nmo68r-Ik5c ⇒ https://www.youtube.com/@goress6536
Здравствуйте, можете подсказать ссылку на оригинальный DPI , а то запрос google и yandex кидают только на vladikSS а там вот, а как страница нормального приложения выглядит я не знаю, в статьях тоже на него все кидают
Нужен ValdikSS
на скрине у вас оригинальный репозиторий с “ValdikSS”, всё верно, качайте оттуда а не из телеграм Release 0.2.3rc1 · ValdikSS/GoodbyeDPI · GitHub
Ну вот скачал с этого сайта архив, антивирус винды ругается totalvirus вот что показывает, это норма?
на virustotal оригинальный файл, это норма. а на счёт защитника винды не в курсе, видимо нужно добавить в исключения
Вот на всякий случай, на что надо обратить внимание. Оригинальный репозиторий создан давно.
Точно с него качали? GitHub - ValdikSS/GoodbyeDPI: GoodbyeDPI — Deep Packet Inspection circumvention utility (for Windows)
И да, на VirusTotal действительно так определяется.
Если я кидаю ссылку, то файл проходит проверку,
а если качаю файл и кидаю на сайт вручную, то вот
можете проверить это? А то мне кажется, что я сейчас все снесу с компа.
Вам только что ответили. Это норма. Не плодите сообщения.
virustotal не может скачать файл по этой ссылке, она с редиректом
На дату коммитов смотреть на надо, это дата проставляется автором фиксации, можно 1970-01-01 проставить (для аутенфикации даты есть TSA).
Ложноположительное сканирование на вирустотал?
Возможно. Но пока что на всех фейках комиты совпадали с датой создания репозитория
Сравнил хеши последней версии под x64, совпадают с оригиналом.
А на лаунчер вирустотал ругается.
Судя по описанию авторы, topersoft сами его писали.
Вроде как автор даже тут на форуме есть
Если смотретьна реакцию известных и качественных продуктов, а не, прости господи, авастов и белорусских антивирусов, то срабатывания вполне честные
A Variant Of Win32/GoodbyeDPI_AGen - NOD32
PUA:Win32/Packunwan - Microsoft
RiskWare.PacketInspector - Malwarebytes
Они вполне ясно говорят: “это GoodbyeDPI” (а вы, скачивая GoodbyeDPI, ожидали там увидеть внутри что? армян, играющих в нарды?), “это инспектор сетевых пакетов” (вы скачали программу, цель которой - модифицировать сетевые пакеты, почему вас удивляет, что антивирусы её детектируют, как программу для модификации сетевых пакетов?), “это потенциально нежелательное ПО” (и это правда, некоторые онлайн-игры с античитами очень не любят драйвер WinDivert, потому что им пользуются и в читерских целях).
Все очень просто. То что делают товарищи в ркн считается хакерством по определению, ну или в цивилизованим мире мошеничетсвом, та же подмена днс и сертификатов туда же. А противостояние к этому также подразумевает хакерство. Против лома нет приема как говорится.
А пароль к нему - github
Нашел ещё один фейк репозиторий. Файл в релизах весит 2 мб. Аккаунт создан 16 часов назад
Зарепортил, что ответит в этот раз GitHub.
Зарепортил его.
Походу мамкин хацкер, даже в ридми ссылки на оригилальную репу оставил)
Ну судя по описанию нам стараются толкнуть нечто невероятное )
“В отличии от обычной версии, про которую все пишут, эта версия работает практически у всех”
Ну и размер вырос с 1 мб до 6.
Последняя официальная версия, тупо набитая кучей батников с фейк-ген 29 и дополнительной мешаниной. С выполнением требований из ридми на гитхабе, какие модсеты на каком прове не работают. Даже какой-то батник привинтил для генерации мешанины для fake-from-hex 
В общем, обычное дерьмецо. Но работа по копипасту проведена “гигантская” 
Есть даже локализация - все батники на кирилице, о как!
Да он никак не успокоится )
Зарепортил
Зарепортил, долго ли он так будет делать ещё?(
Кто в гитхабе и его кухне разбирается, в чем смысл вот таких например репозиториев? Я что-то смысла понять не могу (
Я не большой спец по гитхабу, но по приведенной ссылке, как я понял, зеркало репозитория (которое, в отличие от форков, синхронизируется с оригиналом автоматически в реальном времени). Человек, видимо, создал его как резервную копию, чтобы сохранить все данные и историю изменений в случае потери оригинального репозитория.
Целый фейковый сайт обнаружил goodbyedpi[.]com
GitHub actions как вариант
надо в ркн жаловаться чтоб блокировали фейковые сайты goodbyedpi
Ну, качаются оттуда просто исходники с гитхаба в архиве. Возможно, на самом сайте что-то вредоносное сидит. Это только в CF жаловаться, сайт висит на их резольвере.
выс валдикасом то перетирали на етот сщёт? может он на биржу собирается выходить сос воей софтиной 
а мы щас за репортим ето дело всё там даж какойто номер телефона есь можн позвонить 
тоже схожу репорт ему кину. и так у народа проблемы, а кто-то ещё подкинуть свинью хочет
За что? Это базовый функционал GitHub.
за размещение вирусной программы вместо goodbyedpi
Но ведь там нет вирусной программы, если речь идет о
такой же в зоне .ru
Старая история, кстати. Опять вылез, видимо
@zzr А нечего тут обсуждать )
Мне лично было бы спокойнее, если бы бинарники были подписаны.
И лаучер мог бы эту подпись проверять.
Лаунчеру достаточно проверить контрольную сумму файла (минимум по MD5 и SHA-1) и этого бы вполне хватило, чтобы убедиться, что файл никем и ничем не изменен. Никаких подписей не нужно.
Единственная проблема в этом решении - лаунчер никогда не успевает за выходом новых EXE гудбая, так что просто так при такой системе вы новый EXE скачанный откуда положено в лаунчер не воткнете. Но это и смысла не имеет, так как новыми возможностями вы все равно воспользоваться не сможете - их тупо в лаунчере не будет.
3 posts were split to a new topic: Фейковая версия известной сборки zapret - будьте осторожны!
Её нужно сравнивать с эталоном, малварщики просто поменяют эталонный хэш в лаунчере. Придётся обфусцировать строку, защищать лаунчер от модификации, ну и дальше по тернистой дорожке борьбы шароварщиков с крякерами…
Долго фейк живёт. GitHub на мой report молчит пока.
Report
https://support.github.com/contact/report-abuse?category=report-content&report=VeldikSS&report_content_url=https%3A%2F%2Fgithub.com%2FVeldikSS%2FGoodbyeDPI&report_id=179220765&report_type=content
Please select a category for your issue
Active Malware or Exploits
What would you like to report
Write
Urgent: Report of Malicious Activity in Repository
Dear GitHub Support Team,
I am writing to bring to your attention a serious concern regarding a repository hosted on GitHub that appears to be distributing files containing viruses.
Here are the relevant links for your review:
- Repository: [VeldikSS/GoodbyeDPI](https://github.com/VeldikSS/GoodbyeDPI)
- Release 1.0.2: [Download Link](https://github.com/VeldikSS/GoodbyeDPI/releases/download/1.0.2/goodbyedpi-1.0.2.zip)
- VirusTotal Report: [1.0.2 Report](https://www.virustotal.com/gui/file/c684850cdccb35c46e8383db5c40da57044631b2ec69c7e44cef0120963a2dfa)
../goodbyedpi-1.0.2/x86_64/goodbyedpi.exe
- Release 1.0.5: [Download Link](https://github.com/VeldikSS/GoodbyeDPI/releases/download/1.0.5/goodbyedpi-1.0.5.zip)
- VirusTotal Report: [1.0.5 Report](https://www.virustotal.com/gui/file/48ce3b823cb509f6dd7532d72d155a81fa76aba4e0786cc55c5f357c838f331e)
../goodbyedpi-1.0.5/x86_64/goodbyedpi.exe
Both releases have been flagged for containing malicious content, as indicated by the VirusTotal reports linked above. This poses a significant risk to users who may unknowingly download and execute these files.
I urge you to investigate this matter promptly and take appropriate action to protect the GitHub community from potential harm.
Thank you for your attention to this urgent issue.
Best regards,
[No Thought is a Crime](https://ntc.party/c/27/8)
По последнему фейку картинка красивая после запуска 48ce3b823cb5 | VMRay Platform Report
Writes 512 bytes to master boot record (MBR).
это крипово
upd: а, ну да, это при запуске картинка выдается. Прикольно. Кто-то решил серьезно подойти к делу видимо. Надеюсь когда-нибудь антивирусные компании выпустят статью аля “Эволюция вирусов во время обхода блокировок”
Петя?! Серьезно? Что дальше? Винлокер?
Все новое - хорошо забытое старое ) Сколько лет уж прошло, около 15-20? Пора возвращать