Есть ли в TLauncher'е вирусы и майнеры?
Еще давно слышал, что в TL нашли 3 трояна и Майнер но так и не нашел нормального подтверждения или опровержения на этот счет, я бы хотел задать вопрос здесь. Если что говорю я не про TL Legacy а про TLauncher и есть ли в TLauncher вирусы?
Про фейковый и оригинальный TL (ныне TLauncher и TL Legacy) в сети действительно ходят симметричные обвинения во вредоносности. Обусловлены они плохой осведомлённостью людей в истории развития лаунчеров и ходе событий, а также собственным нежеланием детально разобраться в ситуации.
Я давно хотел собрать имеющиеся у меня данные и факты и объединить их в один ответ, чтобы расставить все точки над ї. Но информации получилось так много, что даже в сжатом виде не хватает лимита символов, поэтому продолжу в комментариях.
Историю этих лаунчеров я в общих чертах описывал здесь (осторожно, там указана ныне отжатая у владельца ссылка) и более подробно здесь . Однако на вредоносных свойствах я в то время особо не акцентировал внимание.
Начнём с того, что оригинальный TL имеет открытый исходный код ( tlaun.ch/source ), и любой желающий может убедиться в его чистоте. Чего не скажешь о фейке — он хоть и основан на старых исходниках TL, но раскрывать свою "тёмную сторону", разумеется, не будет. А скрывать ему есть что.
Троянское поведение и раньше было характерно этому лаунчеру — в статье Игоря Фромгейта (официальный переводчик Minecraft) эти события засветились как история с подменой системного hosts. Это приводило к накрутке посещаемости его сайта и блокировке неугодных:
Про существование майнера — я не раз встречал тут вопросы со странным поведением фейкового TL ( пример ), где упоминалась аномально высокая нагрузка на ПК с его стороны. Позже нашёл объяснение в дискорде TL Legacy — в то время к ним по ошибке обращались пользователи фейка и буквально закидывали жалобами о том, что лаунчер сильно грузит процессор.
Тогда появилось предположение, что с компьютеров пользователей фейка проводятся ботнет-атаки, которые позже подтвердились владельцами серверов. Об этом и сейчас можно осведомиться в дискорде оригинального TL (tlaun.ch/discord).
Но это не всё. Спустя время я нашёл пост на реддите, где парень запускал TLauncher в виртуальной песочнице для проверки на вшивость, слушал трафик и копался в коде лаунчера. В результате обнаружил, что фейк под видом обновления создаёт временный exe'шник и использует его для отключения защиты в реальном времени у установленных антивирусов:
[Продолжение ниже]
Что характерно для компрометирующих лаунчер исследований, этот пост вскоре был удалён. Причём, вместе с аккаунтом его автора. Хорошо, что реддит лишь скрывает посты, и он по прежнему доступен по прямой ссылке и в веб-архиве .
В дискорде TL всё это тоже обсуждалось:
Может возникнуть логичный вопрос: почему же на опен-сорсный TL Legacy антивирусники иногда ругаются, а фейк со всеми его вирусами обходят стороной? Всё просто — цифровая подпись. Обладание ею позволяет вашей программе обходить проверки большинства антивирусов. И да, она выдаётся не "за спасибо". У TL Legacy её нет, а фейку с его многомиллионными доходами от подконтрольных владельцам серверов купить ЦП было нетрудно.
К слову, некоторые антивирусы даже несмотря на цифровую подпись честно проверяют программы. DrWeb, например. Эти ребята в курсе всей ситуации с вшитым трояном, и уже давно добавили домен фейка в блэклист:
И в дискорде оригинала, и даже здесь я встречал тому подтверждения.
А вообще, фейковый TL не просто так защиту в реальном времени отключает. Вот как он скрытно докачивает вредоносные модули уже в процессе использования:
Неплохо так для лаунчера, и без того наполненного собственной рекламой и "п̶р̶е̶м̶и̶у̶м̶"-функциями едва ли не по цене лицензии, не так ли?
В общем, свидетельств вредоносности TLauncher, фейка TL Legacy, предостаточно. В прошлом ещё было много шума насчёт того, что этот лаунчер ворует лицензии. И действительно, лаунчер хранил данные авторизации просто в виде текста и даже никак не шифровал их. Из-за чего любой сторонний троян мог считать и украсть эти данные у вас.
Правда, уж слишком часто "утекали" лицензии. Даже у моей знакомой угнали однажды. Есть все основания полагать, что лаунчер сам их втихую сливал магазинам аккаунтов для перепродажи по 5 рублей, коих раньше было много. Благо, сейчас эту лавочку мелкомягкие прикрыли, так как теперь вход через Microsoft-аккаунт из браузера возвращает максимум токены авторизации, которые бесполезны для перепродажи и повторного входа.
Кстати, о скинах. В фейковом TL их работа реализована очень тупо, за счёт отдельного мода "TL_Skin_Cape", который вместе с вшитым в "Updater" вирусом повторно скачивается при каждом запуске и при всём желании не может быть удалён пользователем (о процессе заражения через якобы Updater можно прочитать здесь или на скриншоте выше). Мало того, что этот мод конфликтует с другими,...
... так ещё и конфликтует с официальной системой скинов — скины ваших друзей с лицензией играя через фейк TL вы просто не увидите, он их скроет. Это выглядит особенно тупо на фоне того, что в том же оригинале используется безопасный метод с подменой AuthLib (по системе Ely.by ), но если в "Ёлке" в случае конфликта скина на лицензии и на пиратке можно легко решить эту проблему через подачу апелляции (Ely уважает права игроков с лицензией), то в поддержке фейка (коротая работает через ВК 0_0) с аналогичным вопросом меня тупо забанили... Уже когда-то этот случай здесь упоминал, но сколько ни пытался по истории ответов найти те скриншоты переписки, не нашёл.
Если однажды обнаружу тот ответ — обязательно его сюда скину. В общем, распространяйте эту инфу, защитите других от "Империи TLauncher".
В продолжение темы с "аномальной нагрузкой: https://otvet.mail.ru/question/229124683
Я дополню небольшой своей историей, когда ещё не знал о том что фейк вредоносен.
Как-то купили рекламу на сервер у фейка, через 2-3 часа зашёл некий игрок и каким-то образом получил доступ к самому серверу.
При том что скорее всего рекламы(которую мы купили) в тдаунчере ещё и не было.
Вывод: Что-то тут не чисто
Решил собрать живые примеры подозрительного поведения фейкового TL.
Вредоносное поведение:
https://otvet.mail.ru/question/229199538
https://otvet.mail.ru/question/229124683
https://otvet.mail.ru/question/229222070
https://otvet.mail.ru/question/231407816Нарушение работы официальной системы скинов Mojang:
https://otvet.mail.ru/question/229134722
https://otvet.mail.ru/question/229063438
https://otvet.mail.ru/question/231405846Нарушение загрузки ресурсов игры:
https://otvet.mail.ru/question/229110191
https://otvet.mail.ru/question/231287151
https://otvet.mail.ru/question/231355102
https://otvet.mail.ru/question/231395166
На самом деле случаев встречал гораздо больше, но и этого уже предостаточно.
Спасибо вам большое... Хотел скачивать данную программу, так как надоело постоянно скачивать с сайтов моды. Помню раньше пользовался. Ваше расследование полностью отбило желание как-то связываться с ТЛаунчером. Не хотел бы портить новый компьютер. Еще раз большое вам спасибо. Удачи в продолжении вашей борьбы.
Пользовался им около года, хочу теперь удалить его но я думаю простом способом от него теперь не исбавиться, можно ли его удалить без сноса винды? У меня на компьютере есть важные данные которые я бы не хотел потерять
Нет там их, конкуренты создавали лишь слухи. Код спокойно можно разобрать и посмотреть. Но Тлаунчер все равно хрень, создавать платную систему аккаунтов по цене фактической лицензии майнкрафта сродни болезни.
я лучше заплачу чуть больше и куплю лицензию, чем непонятно что от левого ланучера.
Но ладно бы они просто моды воровали, для них это дело привычное ещё со времён ру-м.орг, но ведь они воруют деньги у авторов этих модов. Некоторые авторы живут на деньги, которые им приходят за скачивания из официальных источников, а система Тдаунчера их лишает этого.
Думаю, пруфов достаточно :)
Довольно спонтанно описал, надеялся это в виде ответа оформить, но что-то при общении в комментариях у меня мысль лучше идёт. Могу всё это скомпилировать в ответ, если хочешь, и если это имеет смысл.
А вообще, информацию трудно находить и собирать ещё и потому, что с самого своего появления фейковый TL оперативно "чистит" интернет от компромата на себя и всячески пытается изжить оригинал. Так, ролик neSmartu о том, что фейк — это фейк (с пруфами на основе дат публикации) был застрайкан аж 3 раза (три, Карл!) и в конце концов удалён по причине "получение полного доступа к игре". Стоит напомнить, что страйки ютуб просто так не выдаёт, для этого обязательно должны быть жалобы. А если ознакомиться с его видео " итог по Tlauncher ", то станет понятно, кто их подавал.
а нурсултан?
Вирусы есть.... Обьяснение: Антивирус не дэтэктит (даже каспер) это ка вредоностное по потому что на всей этой херне стоит дорогая цифровая не оригинальная подпись и осталось 3 слова: СНОСИ ЕГО НАХЕР!!!!!!!!(кста майнера нет но есть хрень которая при запуске лаунчера ддосит пк с ай пи адреса)(и в нём есть троян)
Смешно, подписать можно что угодно, только детектов не убавится
Как раз таки убирается потому что места и программы в которых есть лицензионная подпись а не пропускать с антивирусами при проверке так как они считаются достоверными файлами
loll
Поздно но вот
кхм, вопросу год, но хочу написать: Да есть, однако вирус активируется не сразу. Скачал тлаунчер еще давным давно, вроде все хорошо было, но мы с другом решили скачать пару модов(внимание, скачивали с minecraft inside), и на следующий день компьютер начал лагать. Как оказалось, в компьютере поселился вирус, который ел видеокарту, пришлось винду переустанавливать. Также на компьютере отца, я скачал тлаунчер, пару модов, и потом отец говорит что у него компьютер начал подлагивать.
Изначально я думал что это читы на геншин импакт так повлияли, но читы были у меня месяц, а вот когда мы с другом моды загрузили компьютер мой сразу начал подыхать.
вирусы сами по себе не всегда работают как только скачал,я пользуюсь этим лаунчером уже несколько лет и ниразу не замечал пролаги 200 фпс стабильно хотя у меня достаточно старый ноут и за 2 года ниразу ниже 180 не падало
там есть вирусы (странно что я не словил вирусы когда играл на этом лаунчере)
там 3 майнера
Там нету вирусов, это все заблуждение от конкурентов, уже 4 года играю в тлаунчер но пк ни как почти не изменился, ни лагал, не ломался и т.д.Играйте спокойно не скачивайте клоны тлаунчера по типу МК.ЛАУНЧЕР и т.д
вирусы будут лишь если ты устанавлеваешь с яндексом
факт наличия вирусов уже о чем-то говорит
Этим ТЛаунчером пользуюсь много лет. Один раз решил его на вирусы проверить - оказалось есть Троян. Но и компьютер всегда нормально работал, и сам майн. Уж не знаю. Говорят, есть ТЛанучер получше (не знаю в чём), но я к этому привык.
Есть, но только в моде TL Skins and Capes, который постоянно скачивается. И в Яндекс Браузере, который якобы официальный и чистый от TLauncher.
Поэтому не скачивайте TL Skins And Caps и Яндекс от TL.
Док-ва:
Мой друг, __Wither__, если не верите могу дать вам его дс.
Он скачал Яндекс от ТЛ, зарегал там акк от роблокса и от форума.
Результат - акки угнали.
согласен
Может просто не стоит это говн о качать? Откуда ты знаешь, может они под очередными "библиотеками" тебе ратку занесут?
Мне норм я с Яндекса скачал играю. 2 года и ничего нету хз как
И не лагает
Так тлаунчер не вирус если им правильно пользоваться
В TLauncher'е (обычном а не его загрузчике) тоже есть какая-то темка на которую тотал наругался. Эта темка - Malwarebytes
Да есть, скрывался под RealtekHD, и закрывал папку ProgramData где сидел, а сама папка была невидимая,
При попытке в браузере узнать как избавиться от майнера, он закрывает браузер, а при закрытии браузера через крестик все аккаунты, вк веб, и тд слетают.
А еще при попытки msconfig вроде при попытке включить безопасный режим, вырубается, а когда через диспетчер смотришь процессы, то он выключает его, вобщем вирус сильно не вредит но вредный как паразит.
rmdir /s /q "C:\ProgramData\ReaItekHD" этой командой удалил.