«Доктор Веб» предупреждает о троянской атаке на пользователей Counter-Strike - Современные угрозы и защита от них - Форумы Anti-Malware.ru Перейти к содержанию
AM_Bot

«Доктор Веб» предупреждает о троянской атаке на пользователей Counter-Strike

Recommended Posts

AM_Bot

5 августа 2011 года

Психологи утверждают, что игромания является зависимостью, а следовательно, болезнью. Специалисты «Доктор Веб» — ведущего российского разработчика средств информационной безопасности — могут помочь всем играющим онлайн и обезопасить даже самых опытных геймеров от очередной «болезни». 5 августа на форуме «Доктор Веб» появилось сообщение об обнаружении очередной угрозы, отправленное одним из вирусхантеров компании: при попытке подключиться к одному из игровых серверов Counter-Strike 1.6 на компьютер пользователя начинали загружаться подозрительные файлы.

Обычно при соединении с сервером Counter-Strike программа-клиент скачивает с удаленного узла компоненты, отсутствующие на клиентской машине, но используемые в игре. В данном же случае на экране компьютера пользователя открывается стандартное окно браузера, предлагающее скачать два исполняемых файла: svhost.exe и bot2.exe, а также файл с именем admin.cmd (в начале этого года данный файл раздавался под именем Counter-Strike.cmd). Следует отметить, что такое поведение нестандартно для программного обеспечения игры Counter-Strike.

cs1_250.png
cs2_250.png

В ходе проведенного аналитиками компании «Доктор Веб» расследования удалось установить следующее. Изначально группой злоумышленников был создан игровой сервер Counter-Strike, распространявший троянскую программу Win32.HLLW.HLProxy (некоторое время назад этот троянец вообще распространялся среди поклонников Counter-Strike в качестве «полезного» приложения, поэтому многие самостоятельно скачали и установили его на свой ПК).

Технология «раздачи» троянца была весьма интересной: при любом подключении к игровому серверу игроку демонстрируется специальное окно приветствия MOTD, в котором может присутствовать реклама сервера или какие-либо установленные его администрацией правила. Содержимое этого окна представляет собой HTML-файл. Созданный злоумышленниками файл MOTD содержит скрытый компонент IFRAME, с помощью которого выполнялся редирект на один из принадлежащих им серверов. С него, в свою очередь, загружался и устанавливался на компьютер жертвы файл admin.cmd, содержащий троянца Win32.HLLW.HLProxy.

Основное назначение троянца заключалось в том, что он запускает на компьютере игрока прокси-сервер, эмулирующий на одной физической машине несколько игровых серверов Counter-Strike и передающий соответствующую информацию на серверы VALVE. При обращении к сэмулированному троянцем игровому серверу программа-клиент перебрасывалась на настоящий игровой сервер злоумышленников, откуда игрок тут же получал троянца Win32.HLLW.HLProxy. Таким образом, количество зараженных компьютеров росло в геометрической прогрессии. Пример работы троянца показан на следующей иллюстрации, демонстрирующей несколько игровых серверов, якобы запущенных на инфицированной машине с одним IP-адресом:

contra_250.png

Помимо этого, троянец обладает функционалом, позволяющим организовывать DDoS-атаки на игровые серверы и серверы VALVE, благодаря чему значительная их часть в разное время могла оказаться недоступна. Можно предположить, что одной из целей злоумышленников являлся сбор денег с владельцев игровых серверов за подключение к ним новых игроков, а также DDoS-атаки на «неугодные» игровые серверы. В настоящее время помимо собственного троянца подключавшимся к серверу игрокам раздаются дополнительные «подарки».

Так, проведенный специалистами  «Доктор Веб» анализ выявленных угроз показал, что в файле svhost.exe скрывается троянец-кликер Trojan.Click1.55929, накручивающий показатели посещаемости сайта w-12.ru и связанный с партнерской программой http://tak.ru. Попав на инфицированный компьютер, троянец создает свою копию с именем SVH0ST.EXE в папке C:Program FilesCommon Files, запускается на исполнение и начинает использовать заложенный в него разработчиками функционал. В файле bot2.exe «прячется» уже хорошо известный Trojan.Mayachok.1, о котором мы подробно писали в одной из предыдущих публикаций.

В настоящее время сигнатуры этих угроз добавлены в вирусные базы Dr.Web. Любителям игры Counter-Strike мы рекомендуем проявлять внимательность: не следует соглашаться с предложением операционной системы о загрузке и установке на компьютер каких-либо исполняемых файлов.

Компания «Доктор Веб» выражает искреннюю благодарность нашему вирусхантеру Михаилу Мальцеву за помощь в обнаружении угрозы.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K

Почему ничего не пишут о других? (+ проверка всех файлов в папке - архив)

Моему негодованию нет предела. :lol:

Снимок_2011_08_05_19_24_30.png

Снимок_2011_08_05_19_31_55.png

post-4500-1312558062_thumb.png

post-4500-1312558386_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
x-sis

Чего только не придумает для заражения наивных пользователей, геймеров много и наверняка почти все из них купяться на новую версию очередного "хита".

Я сам не так давно убедился в том, что данную игру нужно приобретать только в магазинах с лицензией, всё оставшееся на "халяву" в интернете либо вредоносное ПО, либо если повезёт, просто нерабочая версия игры или, которая удаляется вместе с системными файлами... будьте бдительны.

Отредактировал Mr. Justice
Убрано избыточное цитирование

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

x-sis, а это вы к чему?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
x-sis
x-sis, а это вы к чему?

К тому, что нужно быть острожнее именно с этой игрой, т.к. я сам не раз заражался установив скачанную с интернета, когда она начала докачивать, также содеражала угрозы в установщике или подключившись к неизвестному серверу.

Лучше брать лицензию, хоть это и не дёшево :mellow:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
К тому, что нужно быть острожнее именно с этой игрой, т.к. я сам не раз заражался установив скачанную с интернета, когда она начала докачивать, также содеражала угрозы в установщике или подключившись к неизвестному серверу.

Лучше брать лицензию, хоть это и не дёшево :mellow:

Набор слов, трудно воспринимаемых -_-

Лучше брать лицензию, хоть это и не дёшево :mellow:

и зайдя на новый сервер получим "подарок"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
x-sis
Набор слов, трудно воспринимаемых -_-

и зайдя на новый сервер получим "подарок"

Что там не понятного, игры, загруженые с сети могут быть опасны и всё ;)

Ну безопаснсть серверов никто не гарантирует.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Ну безопаснсть серверов никто не гарантирует.
Лучше брать лицензию, хоть это и не дёшево

???

Летели два крокодила: один синий, другой на север.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
x-sis
???

Летели два крокодила: один синий, другой на север.

Лучше покупать игры в магазине, всё ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Лучше покупать игры в магазине, всё wink.gif

Можно покупать и в Интернете :) Главное, что покупать :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
x-sis
Можно покупать и в Интернете :) Главное, что покупать :)

Да, посредствам оналйн магазинов, сам так делаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr
по средствам

посредством

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
x-sis

Извиняюсь, лишний Enter.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Летели два крокодила: один синий, другой на север.

"в комнате 8 дверей, 2 зеленых и 6 направо. в каком году у швейцара умерла бабушка?"

:)

В данном же случае на экране компьютера пользователя открывается стандартное окно браузера, предлагающее скачать два исполняемых файла: svhost.exe и bot2.exe

а почему так убого? клиент/протокол не дают иначе?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
"в комнате 8 дверей, 2 зеленых и 6 направо. в каком году у швейцара умерла бабушка?"

:)

И мы продолжаем обсуждать "новость" :P

а почему так убого? клиент/протокол не дают иначе?

У меня вообще ничего не спрашивал - скачался и все.

Silent установка - новый виток в эволюции вредоносов? :unsure:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×