Круговая порука на NNM-Club: как кураторы трекера раздают бэкдоры, а модераторы банят за правду1
Всем привет. Решил предостеречь тех, кто пользуется популярным трекером NNM-Club. Там сейчас процветает знатная круговая порука: кураторы выкладывают раздачи со скрытыми бэкдорами, модераторы закрывают на это глаза, а тех, кто пытается аргументированно предупредить людей — молча банят.
Рассказываю, как всё было.
С чего всё началось
Решил скачать репак Hogwarts Legacy (от dixen18, таблетка voices38). Раздача проверенная, висит в топе, оформил её не просто рядовой пользователь, а целый «Куратор Игр» и «Почетный аплоадер» с ником NEO WORK.
При скачивании мой антивирус наглухо заблокировал файл **Setup.exe**. Вердикт: `Trojan:Win32/Yomal!rfn`.
"Да это просто ложная тревога на взлом!" (Нет)
Обычно модераторы любят писать: «Антивирусы просто не любят пиратки». Но эта отмазка здесь не работает: я проверил другие репаки этой же игры от других команд — они абсолютно чистые, и этот вирус там не обнаруживается. Детект вылезает только здесь.
Но самое интересное вскрылось во вкладке Community, где висят технические отчёты систем анализа безопасности:
1. В инсталлятор зашит код хакерской утилиты **reGeorgTunnel**. Её используют для поднятия скрытых туннелей. Проще говоря, этот Setup.exe превращает ваш ПК в прокси-сервер, через который посторонние люди могут анонимно гонять свой левый трафик.
2. Песочница FileScan.io дала оценку опасности: 100 из 100. Вирус вовсю пытается скрываться от отладчиков (anti-debug) и ломится на левые домены `eng.city` и `rus.city`.
Я создал официальную жалобу, расписал пруфы. Мне отвечает модератор **NorthOn**: *«Жалоба отклонена. Это Riskware.Repack. Список антивирусов не любящих репаки по ссылке...»*
Знаете, что сделал модератор?
Из 16 ругающихся антивирусов только ОДИН (Webroot) выдал мягкую плашку "Riskware.Repack". Модератор просто скопировал этот единственный удобный вердикт, проигнорировал все предупреждения про трояны и закрыл тему, чтобы защитить статус своего коллеги-куратора.
Я попытался написать ему в ЛС: *"Дружище, посмотри вкладку Community, там код для кражи трафика reGeorg, в других репаках этого вируса нет, куратор просто скопировал зараженный файл из сети"*.
Итог? МГНОВЕННЫЙ ВЕЧНЫЙ БАН. Меня просто отрезали от форума, чтобы не мешал.
Самое циничное, что на страницах трекера сейчас изо всех сил рекламируют и продвигают VPN-сервис "Впринципе" (vprintsipe.com). Получается потрясающий парадокс: на главной странице вам активно советуют инструменты для приватности и сетевой безопасности, а в это же время в топ-раздачах кураторов сидит сетевой бэкдор, и за попытку сообщить о нём модераторы выдают банхаммером по лицу.
В общем, ребята, проверяйте файлы перед установкой и не отключайте защитники по первому требованию форумных администраторов. Свою систему от этого репака я очистил, а вам советую обходить подобные раздачи стороной. Всем безопасности!
UPD:
UPD: Ситуация прояснилась. Оригинальный автор репака (на Рутрекере) официально признал факт компрометации инсталлятора Setup.exe сторонними лицами через «отравленное зеркало». Файл действительно содержал сетевой бэкдор. Релизер пересобирает чистую версию. Модераторам NNM-Club, которые банили пользователей за это предупреждение, пламенный привет.
