Ciao a tutti, volevo esporre il seguente caso: sono un appassionato di videogame online e gioco spesso a Pro Evolution Soccer 2011 per PC. Di recente su un forum dedicato a questo videogame, molto noto per serietà e competenza dei suoi iscritti, è stata pubblicata una versione "modificata" del gioco (patch) per aggiornarne la veste grafica, i nuovi trasferimenti dei giocatori del calciomercato, ecc.. Queste modifiche sono concentrate in vari files, tra cui l'eseguibile principale del gioco. Fin qui nessun problema, la patch è stata scaricata da centinaia di utenti ed il gioco effettivamente è stato reso molto più bello e realistico. Poichè con questa patch è possibile giocare anche on line è ovvio che l'exe del gioco generi traffico in rete. Tuttavia, alcuni giorni fa un paio di utenti esperti di informatica hanno lanciato un inquietante allarme su un traffico "anomalo" generato dall'eseguibile del gioco "patchato". Premetto che non si tratta di virus, come hanno chiaramente detto questi utenti esperti, ma di un'anomalia che non riescono a spiegare. Allego di seguito i passaggi principali di citati utenti, per comodità chiamati A e B:

Utente A
Faccio due premesse:

1)tra tante patch che ho provato questa è la migliore e sono un grande fan
2)il mio intento è quello di sapere non di accusare

Detto questo e detto anche che avevo aperto un post simile nella sezione "aiuto" ma senza ricevere risposte soddisfacenti dato che riguarda questa patch posto il problema direttamente qua. Il nuovo aggiornamento della patch 0.7 crea questo tipo di situazione sul mio pc(aprite lo spoiler e vedrete uno screenshot fatto quando vado ad avviare l'osp.exe)
Ora non sarò un bravo editor di PES ma sono abbastanza ferrato per quanto riguarda il pc in generale per capire da solo che questo non è un falso positivo cioè non è un processo innocuo o una stringa che alcuni antivirus rilevano come virus, nè una cosa rilevata da un mediocre antivirus gratis, come state vedendo senza fare pubblicità è uno dei migliori antivirus e per giunta nella sua versione a pagamento settata al meglio. Rileva un keylogger(che di per se non sarebbe niente di nocivo a differenza di trojan, malware ecc) se non fosse che come potete vedere sottolineato in rosso crea traffico in uscita verso un ip e server specifico cioè locate.madserver.net sulla porta 443, ora i keylogger si sa registrano tutti gli input di tastiera password ecc ecc che finiscono spesso a chi vuole carpire conti o violare la privacy, io non dico che chi ha fatto questa patch sia un cyber criminale e non mi permetterei mai, ma vorrei porre un quesito al diretto interessato e agli esperti informatici presente su questo bel forum, vale la pena di rischiare di compromettere la sicurezza del pc e delle password per una patch(anche se stupenda)?o meglio(nella versione meno "critica")perchè mettere un adware in questa patch?(perchè googlando l'exe di tanti altri giochi e patch sono associati a quel server che risulta essere un adware).

Spero di ricevere una risposta.

Utente B:
Ho avviato di nuovo osp2011.exe sandboxato e osservato le operazioni che fa, sono le seguenti:

Azione: Installazione Hook Obiettivo: C:\Windows\system32\DINPUT8.dll
Azione: Modifica Chiave Obiettivo: HKLM\SYSTEM\ControlSet003\Control\Class
Azione: Modifica File Obiettivo: \Device\Nsi
Azione: Installazione Hook Obiettivo: C:\Windows\system32\dwmapi.dll
Azione: Accesso Client DNS/RPC Connessione in uscita protocollo UDP, Porta di origine: 64279, Porta di destinazione 53.

Si, comunque anche io non credo sia qualcosa di davvero pericoloso e grave, magari sono processi necessari all'avvio del gioco (mi viene da pensare così riguardo le azioni sugli input), l'unica cosa "strana" è quella richiesta di connessione che non credo riguardi gli aggiornamenti Konami visto che è l'unica differenza con le azioni eseguite da pes2011.exe che fa esattamente le stesse operazioni di osp2011.exe eccetto che questa richiesta di connessione..

Utente A
Allora senza "quotare" vediamo un po di rispondere ai vari messaggi:

1)la comunicazione in uscita sulla porta 443 va verso un server in blacklist da molti siti(perchè include adware e processi non autorizzati) cioè locate.madserver.net indirizzo ip 65.55.179.26
2) l'exe iniziale di pes 2011 originale non genera questo tipo di traffico(come ho scritto io gioco online e non riscontro nessun problema) quindi quasi sicuramente condivido il fatto che il no dvd potrebbe essere la base di tutto

Vorrei conoscere il vostro autorevole parere sulla questione. C'è da preoccuparsi o è un eccessivo allarmismo?

Premetto che non sono un'appassionato di giochi.
Ma ci sono diverse cosette che non quadrano:
1) Il Keylogger.
Non esiste che per "per aggiornarne la veste grafica, i nuovi trasferimenti dei giocatori del calciomercato," si installi un keylogger.
Come detto Utente A, un keylogger serve a ben altro.

2) Che poi, questa patch, crei un traffico in uscita verso un ip a un server specifico , e per giunta registrato in "blacklist ", è il colmo.

Ci sono tutti (ma proprio tutti) gli ingredienti, per tenere un pc, sotto controllo, a distanza.

Io penso, che qualsiasi software di difesa, quei file, e relative chiavi, li eliminerebbe all'istante.

Già......ma nessun accenno al Keylogger.
Che, anche se non sembra, un keylogger, è mille volte più pericoloso di qualsiasi troyan o rootkit.
Essendo praticamente invisibile, può inviare (a chichessia) le tue password, cosa visiti, con chi chatti, in pratica tutto quello che fai nel pc.


Non ti dico cosa farei io........perchè appunto, non sono un'appassionato, di giochi.
Bisogna vedere se ci tieni di più alla tua sicurezza, oppure ai giochi.

L'eseguibile in questione "pesa" circa 40Mb quindi non riesco ad uploadarlo nè su virustotal nè sul sito viruscan Jotti's. Cos'altro posso fare? Ho trovato in Rete un antikeylogger (vedi immagine). Che dite, è affidabile? Può servire?

antikeylogger

Gradirei gentilmente una risposta....

Ah okay, scusa, pensavo che qualcuno lo utilizzasse o che per lo meno lo conoscesse. Grazie lo stesso.