Я загрузку отменил на 5% и что он в себе несет?
При включении программы имеет направление исходщего соеденения по tcp:
178.63.151.224:80
31.220.16.247:80
Изеняет файл hosts:
127.0.0.1 www.yandex.ua
127.0.0.1 www.yandex.ru
127.0.0.1 www.google.ru
127.0.0.1 www.google.com
127.0.0.1 www.ya.ru
127.0.0.1 mail.ua
127.0.0.1 mail.ru
127.0.0.1 steampowered.com
127.0.0.1 steamcommunity.com
127.0.0.1 www.google.com.ua
127.0.0.1 store.steampowered.com
127.0.0.1 youtube.com
127.0.0.1 yahoo.com
127.0.0.1 live.com
127.0.0.1 rambler.ru
127.0.0.1 gmail.com
127.0.0.1 yahoo.com
Изменяет реестр - блокирует диспетчер задач.
Копирует себя в папку steam, меняет название с serveruser.exe -> steam.exe (замена), меняет статус запуска клиента от имени адинистратора.
После программа должна иметь идентичный вид входа клиента в steam. (Ввод логин/пасс, воостановление/создание аккаунта).
После ввода данных аккаунта, отправляются по tсp на 104.74.84.127:443.
P.S.: Легкое решение: использовать HIPS антивируса, не добавлять в исключение проверку в реальном времени - папку с онлайн играми (steam).
Даже, если антивирус пропустил (нет в базе или не использовать HIPS) последним шансом не передать свои данные,
a. - UAC (контроль учетных записей) в режиме настройки по умолчанию, при запуске клиента Steam будет уведомление, что steam.exe был скачан с интеренета и требует повышенные права.
b. - Блокировать/уведомить (для обновления) изменение файла запуска клиента.
Мне не известно, как он обходит систему Guard или двухэтапную аутентификацию, т.к. в коде ничего подобного не нашел и не пытался. Для этого не нужно попытаться передать данные мыла, или открывать левые проги/страницы на смартфоне/планшете.
