RouterOS 5.18 Cracked pre x86

[Myghael]

Jak už tu někdo psal, 24h trial je fakt málo. náš první AP byl x86 PII 333MHz s Mandrake 7.2 linuxem + hostAP.
Pak jsem do něl strčil disk s crackem a jeli jsme na tom něco přes měsíc, abysme vyzkoušeli, jestli to má cenu kupovat.
Dneska už je to v desce za pár stovek, v krabici mám několik CF s x86 licencí, takže už crack neřeším. Ale někomu, kdo s tím teprve začíná, může ten crack pomoct jako nám tenkrát.
Apropo, je tady u nás jeden velký ISP, co má roztáhanou síť po celém kraji a z některých lokalit naskenuju jejich 2.9.6 cracky

Jo, přesně tak. Ale ISP už by těch pár stokorun za licenci utratit mohl.

[homolka]

No už jsem viděl i 5.20 cracklou.Žrát se to nedá,tak k čemu je to dobrý?

[pcwifi]

kdyby si nekdo scel hrat a pokusovat s 5.20 full + key http://uloz.to/xpGmqx7/mikrotik-5-20-cracked-iso

fachci to no...overeno ve virtualce. by me zajimalo coze se ted s tema cracklejma verzema roztrhl zatim teda jen maly pytlik...co vim crackla byla verze 3.20 - 3.30 a pak hrozne dlouho nic...

PW

[hapi]

hmm, je zajimavý že je to zase před koncem jedný serie.

[Viktor Novotný]

tak jasne, prece se nebude nekdo mazat se neoverenou/nefungujici verzi ... spis vynalozi tu namahu na fungujici verzi ...

[Daxxim]

proc 5.18, kdyz je 5.8?

[Viktor Novotný]

chtel jsi napsat 5.20 ? .. no asi uplne novou verzi nikdo neudela

[Tomáš Nesrsta]

tak tu 5.18 mam nachozenou na dilne a presne u ni plati: nic neni zadarmo

ted jsem nahodou zjistil ze ma nejak upraveny DNSka, respektive kdyz si zadate do prohlizece nebo na ping jakoukoliv blbost treba abc.123 tak vas to smeruje na 218.93.250.18

Jestli si to nekdo nasadil na sit do realnyho provozu tak ho vazne lituju. Kdo vi kolik takovych "trojanku" tam jeste bude schovanejch

[forkman]

Můžu potvrdit, DNS na 5.20 má tu vlastnost, že na neexistující doménu vrátí zmíněnou IP, překvapivě je to někde v Číně

Zkoušel jsem to dát do prohlížeče a přesměruje to na nějakou čínskou vyhledávací službu 1616.net s předvyplněným dotazem (rozsypaným čajem). Zkoušel jsem to pro jistotu z Linuxu a tam nemám Chrome, pokud by to někdo chtěl rozlousknout, může nám to přeložit a tu záhadu odkrýt úplně

Nic dalšího jsem zatím nepozoroval. DNS službu jsem vypnul, tak uvidíme, snad to na testy bude OK, ono na virtuálku je to dost pruda pouštět si ROS jen když na tom něco chci dělat, aby mi nevypršela licence...

[honzam]

Nedoporučuji nikam nasazovat!!!

Hi all
Since I do decompiling as a hobby, I grabbed the "cracked" 5.18 ISO and did a quick analysis on what the crack changed.

Two files were added to the system package:
/etc/rc.d/run.d/S09plugin - this is an init script that runs on startup and starts the "clone" binary
/nova/bin/clone - this file is interesting for many reasons:
- there are multiple layers of obfuscation/encryption present in the file; I only managed to remove the first layer of obfuscation so far
- it is filled with many anti-debugging and anti-VM techniques (designed to make analysis harder)
- it seems to make hashes of the routing table, cpu/memory information and partition list; dunno what it does with the info
- seems to hijack /dev/tty, shows its own password prompt; dunno what it does with the password after that
- contains 6 binaries which are extracted and executed/loaded on startup

Binary 1: this one is a file/copy rename utility; no malicious code here
Binary 2: Like the "clone" app, this one is filled with anti-debug code; it extracts/loads the kernel modules.
Binary 3/4: These are the uniprocessor/SMP versions of the malware code. This one does multiple things:
- adds a kernel workqueue that periodically looks up the DNS address of "dns.vpn2vpn.info", "vvvvva.com" (?), "ssl.vpn2vpn.info"
- depending on the dns replies, downloads and inserts a new kernel module from the returned addresses; this can be used to execute arbitrary code on the router
- adds a hook to the netfilter firewall layer that modifies packets coming from port 53 (DNS)
Binary 5/6: These are the uniprocessor/SMP versions of the crack itself.
It hooks generic_ide_ioctl and ata_sas_scsi_ioctl and modifies the information returned about the MBR and the disks, so the kernel always sees the same driver serial number and accepts the same ROS software key.

I didn't check the other packages, so it is possible that those are infected in some way too.
Conclusion: DON'T USE !

[Myghael]

Takže vůbec nic nového.

[tom-tom]

Jak znepokojující... tady to konkurence používá na klíčových bodech, no není to skvělé?

[Viktor Novotný]

pokud nema stroj pritup do netu, rekl bych ze vsechny mozne tunely a podobne ptakoviny je fuk ze tam jsou, nicmene pouzivat v siti tohle je blaznovstvi, na prosty router stoji licence koli petikilo ? ... to nevim proc setrit

[midnight_man]

podarilo sa to niekomu nainstalovat cez USB? skusam to vseliako...cez net install...ziadna pomoc, napise po instalacii systemoveho balicku ze "broken package". Alebo len cez CD?

[rado3105]

Tiez si myslim, ze ak to nema pristup do netu, niet sa coho obavat.
K tym crackovanym verziam, neviete ci bola cracknuta aj v4 seria? Co viem tak funkcna bola 3.30 - cracknuta.
PS: by ste sa cudovali kolko firiem a ludi to pouziva:)