Discussione Aeldra ruba i tuoi file!

Slat3

Utente Palladium
16 Maggio 2013
2,149
205
2,010
1,559
Salve, girovagando sul web ho trovato un articolo abbastanza interessante che riguardava il server Aeldra, e in particolar modo il loro launcher.

Aeldra utilizza TheMida per impedire l'analisi, ecco perché analizzare è molto più difficile dei file standard non virtualizzati/protetti!

Si suppone, perlomeno dalla scansione effettuata sui file, che Aeldra cerca le cartelle .cpp sul tuo PC quando la funzione è attiva (possono attivarla / disattivarla lato server)

Packet header che invia il file al Server: 0x9B
v7CjLBb.png


name = Nome del file.cpp (Esempio: test.cpp)
data = file data (Esempio #include "stdafx.h")

La cosa strana è che ora questa funzione è disattivata quando hanno spammato questo pacchetto (usando Clientless) con molti file e probabilmente il server si è bloccato dopo aver inviato troppi file con il risultato di spazio su disco insufficiente


----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------


RVA + Base = 3659A0 (RVA) + 00CD0000 (base dumped file) = 0x010359A0

Come potete vedere questa funzione invia file al server.

jkIcqsa.png


----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

WinAPI: FindFirstFileExW FindNextFile

Stanno cercando di trovare cartelle con nomi: "xbot" / "hlbot"

JbDpYvg.png

5l7Ac77.png


Dopo vengono mandati al server


m9ZXDJu.png

b4NJVGS.png


Conclusioni:

Come potete vedere l'Antivirus non rileva tutti i malware specialmente se è virtualizzato da, ad esempio: TheMida / VMProtect / Enigma, c'è bisogno di un'analisi manuale.

Adesso il tutto sembra essere disattivato, ma fate attenzione, non è la prima volta che si sente dire che Aeldra invade la privacy.
 

Tytanyu

Utente Electrum
12 Maggio 2015
232
18
253
186
Ho letto anche io l'articolo qualche mese fa (per chi fosse interessato, l'articolo originario, completo anche delle risposte e contro risposte delle parti interessate, è ancora reperibile).
Credo che la cosa più saggia in questi casi sia affidarsi al parere, alle valutazioni e alle raccomandazioni dello staff di Inforge.net.
 

Eronar

Utente Gold
17 Maggio 2011
466
12
350
236
Salve, girovagando sul web ho trovato un articolo abbastanza interessante che riguardava il server Aeldra, e in particolar modo il loro launcher.

Aeldra utilizza TheMida per impedire l'analisi, ecco perché analizzare è molto più difficile dei file standard non virtualizzati/protetti!

Si suppone, perlomeno dalla scansione effettuata sui file, che Aeldra cerca le cartelle .cpp sul tuo PC quando la funzione è attiva (possono attivarla / disattivarla lato server)

Packet header che invia il file al Server: 0x9B
v7CjLBb.png


name = Nome del file.cpp (Esempio: test.cpp)
data = file data (Esempio #include "stdafx.h")

La cosa strana è che ora questa funzione è disattivata quando hanno spammato questo pacchetto (usando Clientless) con molti file e probabilmente il server si è bloccato dopo aver inviato troppi file con il risultato di spazio su disco insufficiente


----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------


RVA + Base = 3659A0 (RVA) + 00CD0000 (base dumped file) = 0x010359A0

Come potete vedere questa funzione invia file al server.

jkIcqsa.png


----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

WinAPI: FindFirstFileExW FindNextFile

Stanno cercando di trovare cartelle con nomi: "xbot" / "hlbot"

JbDpYvg.png

5l7Ac77.png


Dopo vengono mandati al server


m9ZXDJu.png

b4NJVGS.png


Conclusioni:

Come potete vedere l'Antivirus non rileva tutti i malware specialmente se è virtualizzato da, ad esempio: TheMida / VMProtect / Enigma, c'è bisogno di un'analisi manuale.

Adesso il tutto sembra essere disattivato, ma fate attenzione, non è la prima volta che si sente dire che Aeldra invade la privacy.
Davvero ottimo lavoro, sei in gamba! :)
 

Maik -W

Utente Gold
26 Marzo 2014
495
22
269
244
Ultima modifica da un moderatore:
Ciao innanzi tutto sarebbe giusto e doveroso avere i crediti:
Il 3d si trova su epvp, non so se posso mettere il link ma lo trovate sotto la dicitura "[WARNING] How private server AELDRA stealing your .cpp files?"
xp123 (big credits, he spotted this in aeldra)
Seremo (some help in analyse packets)
Komar1911 (il creatore del 3d)

Si sono espressi in molti su questa cosa su vari forum e, in altrettante persone hanno detto che effettivamente qualcosa di strano ci sia stato ma che su Aeldra escono mensilmente complottini come questi.
Sicuramente i più esperti potrebbero dare il loro parere in merito, chiunque ne capisca, la cosa che posso dire io è che un server grosso come quello, con tutto il materiale che si può permettere a livello logistico non penso abbia bisogno dei tuoi .cpp files.
Attenzione: Non dico che non sia stato fatto, dico solo che mi sembrerebbe strano se domani Amazon si svegliasse e rubasse il modes operandi di subito.it, tutto qua :yo:
Questo user che ha postato queste "Prove" è stato anche screennato chiedere 20k in btc (Apparentemente) a quelli di Aeldra :matto:


Questo messaggio che riporto qua sotto è uno dei tantissimi che smentiscono il tutto;

Messaggio scritto da: ! Mao
Hello,

I would like to clarify with this text that what Komar claims here is complete bullshit and only arose from anger because I did not respond to his 20.000$ blackmail. (more on this later.)
First of all everything that is written here could have been easily found out by reading the Terms of Service on our website which he accepted. The only reason for this function was to fix xbot.
Obviously there was no intent or even a possibility to harm any player or server owners. So far it has only been used on 2 PCs and that was XP (XBot Dev) and Komar who used XPs account on purpose to blackmail us.


If Komar really wanted to do something other than defamation and spreading lies he would have shown the call stack or network traffic where you can clearly see that only 1 specified path is affected
"C:/Users/casper/source/repos/XBot" which anyone can find out after buying xbot and a small analyze. As mentioned above, Komar also tried to blackmail us,
which underlines the fact that the only thing that takes place here is defamation.


As mentioned before, the function only became active when a known cheat creator with debugging software(x84dbg) opened our client.
There was nothing hidden or encrypted about this function because there was never an intention to harm players. If you think this is unethical then where do you draw the line?
XP sells a bot and at the same time an anti cheat (Uriel anti cheat) and Komar tries to blackmail us to get the source of his competitor HLbot or 20.000$ BTC and spreads lies only to defame me.
XP also tried to sell us his anti cheat recently when he didn't want to fix our auto ban system anymore,
but I decided against it because of bad criticism about the system and I didn't have the trust to install this program on our players' PCs since it can be dangerous, as he even hides his identity.

This is just an attempt to defame us after attempted blackmailing, don't think he's a good person.
 

Slat3

Utente Palladium
16 Maggio 2013
2,149
205
2,010
1,559
Il topic non è di epvp ma di un altro forum, ho solo voluto informare cosa venisse riportato, non ho detto che siano fonti mie. Non fraintendete.
 

Slat3

Utente Palladium
16 Maggio 2013
2,149
205
2,010
1,559
Se non dovevamo fraintendere dovevi mettere le fonti, semplice. Così fai capire che sia stato tu a fare tutto il lavoro cosa che non è giusta.
Il fatto è che sta già scritto all’inizio della discussione ma al solito non piace leggere a quanto pare.

@Mirro -W ho semplicemente tradotto ciò che veniva riportato, non ho detto se sia giusto o se sia sbagliato.
 

Zerkof

Utente Jade
5 Luglio 2014
3,170
8
1,479
720
Come minimo avete Alexa in casa che ascolta quello che dite e manda informazioni e state ancora a sindacalizzare su questa cosa. (Per intendersi ce l' ho anche io Alexa a casa e me ne sbatto).
Se vi piace giocateci se non vi piace cestinate.
 
  • Mi piace
Reazioni: callmedsb

Eronar

Utente Gold
17 Maggio 2011
466
12
350
236
Come minimo avete Alexa in casa che ascolta quello che dite e manda informazioni e state ancora a sindacalizzare su questa cosa. (Per intendersi ce l' ho anche io Alexa a casa e me ne sbatto).
Se vi piace giocateci se non vi piace cestinate.
Se noi dovessimo seguire questo tuo parere non avremmo più privacy, saremmo come i codici qr ma per quello poco ci manca.
 

Tytanyu

Utente Electrum
12 Maggio 2015
232
18
253
186
Come minimo avete Alexa in casa che ascolta quello che dite e manda informazioni e state ancora a sindacalizzare su questa cosa. (Per intendersi ce l' ho anche io Alexa a casa e me ne sbatto).
Se vi piace giocateci se non vi piace cestinate.

Il punto della discussione non è quello che può fare o non fare Aeldra (che è libera di fare quello che vuole), o quello che possono fare i giocatori (anch'essi liberi di fare ciò che vogliono), ma è quello che può fare Aeldra su Inforge.net.

Inforge interviene sempre per garantire la sicurezza dei prodotti che vengono pubblicizzati sopra la propria piattaforma.
Esempi a riguardo sono la richiesta dei certificati SSL o i controlli che vengono effettuati (su segnalazione) sul client di gioco (qui un esempio) nel caso ci fosse il sospetto di attività improprie o non consentite (malware, miner, sottrazione di informazioni non consensuali e varie).

Dunque, il punto è semplicemente se quello che fa Aeldra (ammesso che lo faccia) rientra nelle attività non consentite da Inforge.
Su questo penso si possano esprimere solo gli amministratori (e in tal caso stilare uno specifico regolamento per i client di gioco sarebbe più che opportuno @Max Fridman).
 

Zerkof

Utente Jade
5 Luglio 2014
3,170
8
1,479
720
Io dico solamente che questo argomento è stato toccato già molte e siamo sempre qua con il server aperto e pieno di utenza, quindi sono tread inutili.
Io non ci sto giocando per cavoli miei però potessi lo farei.
 

Max Fridman

Community Manager
Amministratore
8 Agosto 2010
6,858
641
6,418
3,171
Dunque, il punto è semplicemente se quello che fa Aeldra (ammesso che lo faccia) rientra nelle attività non consentite da Inforge.
Su questo penso si possano esprimere solo gli amministratori (e in tal caso stilare uno specifico regolamento per i client di gioco sarebbe più che opportuno @Max Fridman).

Aeldra fa quello che dicono i suoi Termini di Servizio molto limpidamente:
Braun Technologies FZCO has the right to obtain, without notification to you, certain information about your computer or software, including, but not limited to, your operating system, identification of your hard drives, central processing unit, IP address, and Internet browser for purposes of identification. Braun Technologies FZCO has the right to obtain, without notification to you, non-personal information from your connection to the Aeldra for demographic purposes. Braun Technologies FZCO has the right to obtain, without notification to you, information from your computer, software, and parts or portions thereof, including, without limitation, your computer's random access memory, video card, central processing unit, hard drive(s) and any other storage devices to assist our efforts in policing users who may develop and/or use "hacks" and/or "cheats" to gain advantage over other users. The information obtained in this Section will only be used for the purpose of identifying persons or entities not in compliance or believed by the Company to not be in compliance with this Agreement and any and all other Company rules, policies, notices and/or agreements.

Per altro specificano anche:
You agree that in case of anti cheat detections(internal not HackTrap), an encrpyted screenshot will be saved and in case you object a sanction against your account, you agree to decrypt the evidence screenshot in order to proof you are not guilty, nobody has access to this encrypted file, the file is only saved for 7 days.

You also agree in case you are a cheat provider of a known cheat e.g. "XBot" that we are allowed to copy your cheat's source code in order to prevent the cheat from working. (Identified by attaching reverse engineering software like x64dbg to the game's process in addition to peripheral and hardware identification).

Quindi Aeldra quando registrate un account sul loro sito e scaricate il loro client, ha accesso a tutte le informazioni che dicono a cui hanno accesso. Aeldra ha una società negli Emirati Arabi Uniti che si chiama: Braun Technologies FZCO.

Quando vai a registrare un account ti obbligano a mettere una spunta su "Accetti i Termini di Servizio" (anche su Inforge avviene li trovate qui: https://www.inforge.net/forum/help/terms/).

Non c'è molto altro da dire. Se l'attività non è nascosta non è malevola per sé. E' un sistema di anticheat molto invasivo, anche perché se nomini una cartella in quel percorso "XBot" e ci metti le foto dei tuoi genitori o le foto della tua fidanzata in costume da shamana, saranno caricate sui server di Aeldra (anche se penso abbiano dei sistemi per evitare exploitation...ma comunque).
 

Cryptonic

Utente Gold
26 Aprile 2012
303
47
94
201
Non c'è molto altro da dire. Se l'attività non è nascosta non è malevola per sé. E' un sistema di anticheat molto invasivo, anche perché se nomini una cartella in quel percorso "XBot" e ci metti le foto dei tuoi genitori o le foto della tua fidanzata in costume da shamana, saranno caricate sui server di Aeldra
Grazier per l'idea, provo subito !
 

RedStar

Utente Emerald
14 Dicembre 2008
1,136
50
620
633
Esatto, aeldra è sempre pieno di gente, inutile criticarlo continuamente
Non penso che il ragazzo con la discussione qui presente, volesse infangare il server.
Credo che il suo intendo, fosse quello di discutere su una situazione poco chiara.
Pertanto devo ringraziare l’autore e Max per averci fornito informazioni molto interessanti sulla tematica.
Che dire… buona continuazione.