Доктор Веб: обнаружен троян, атакующий пользователей Counter-Strike

image

Теги: Доктор Веб, троян, новость

Сотрудники компании Доктор Веб обнаружили троянское приложение, которое заражает пользователей игры Counter-Strike при подключении к специально сформированному игровому серверу.

Компания Доктор Веб сообщает об обнаружении новой схемы заражения компьютеров пользователей вредоносным ПО. На этот раз целью злоумышленников стали любители популярной игры Counter-Strike 1.6: в момент подключения пользователей к одному из игровых серверов на их ПК начинают загружаться файлы со скрытыми в них троянскими программами.

Обычно при соединении с сервером Counter-Strike программа-клиент скачивает с удаленного узла компоненты, отсутствующие на клиентской машине, но используемые в игре. В данном же случае на экране компьютера пользователя открывается стандартное окно браузера, предлагающее скачать два исполняемых файла: svhost.exe и bot2.exe, а также файл с именем admin.cmd (в начале этого года данный файл раздавался под именем Counter-Strike.cmd). Следует отметить, что такое поведение нестандартно для программного обеспечения игры Counter-Strike.

В ходе проведенного аналитиками компании «Доктор Веб» расследования удалось установить следующее. Изначально группой злоумышленников был создан игровой сервер Counter-Strike, распространявший троянскую программу Win32.HLLW.HLProxy (некоторое время назад этот троянец вообще распространялся среди поклонников Counter-Strike в качестве «полезного» приложения, поэтому многие самостоятельно скачали и установили его на свой ПК).

Технология «раздачи» троянца была весьма интересной: при любом подключении к игровому серверу игроку демонстрируется специальное окно приветствия MOTD, в котором может присутствовать реклама сервера или какие-либо установленные его администрацией правила. Содержимое этого окна представляет собой HTML-файл. Созданный злоумышленниками файл MOTD содержит скрытый компонент IFRAME, с помощью которого выполнялся редирект на один из принадлежащих им серверов. С него, в свою очередь, загружался и устанавливался на компьютер жертвы файл admin.cmd, содержащий троянца Win32.HLLW.HLProxy.

Основное назначение троянца заключается в том, что он запускает на компьютере игрока прокси-сервер, эмулирующий на одной физической машине несколько игровых серверов Counter-Strike и передающий соответствующую информацию на серверы VALVE. При обращении к сэмулированному троянцем игровому серверу программа-клиент перебрасывалась на настоящий игровой сервер злоумышленников, откуда игрок тут же получал троянца Win32.HLLW.HLProxy. Таким образом, количество зараженных компьютеров росло в геометрической прогрессии. Пример работы троянца показан на следующей иллюстрации, демонстрирующей несколько игровых серверов, якобы запущенных на инфицированной машине с одним IP-адресом.

Помимо этого, троянец обладает функционалом, позволяющим организовывать DDoS-атаки на игровые серверы и серверы VALVE, благодаря чему значительная их часть в разное время могла оказаться недоступна. Можно предположить, что одной из целей злоумышленников являлся сбор денег с владельцев игровых серверов за подключение к ним новых игроков, а также DDoS-атаки на «неугодные» игровые серверы. В настоящее время, помимо собственно троянца, подключавшимся к серверу игрокам раздаются дополнительные «подарки».

Так, проведенный специалистами «Доктор Веб» анализ выявленных угроз показал, что в файле svhost.exe скрывается троянец-кликер Trojan.Click1.55929, накручивающий показатели посещаемости сайта w-12.ru и связанный с партнерской программой http://tak.ru. Попав на инфицированный компьютер, троянец создает свою копию с именем SVH0ST.EXE в папке C:\Program Files\Common Files, запускается на исполнение и начинает использовать заложенный в него разработчиками функционал. В файле bot2.exe «прячется» уже хорошо известный Trojan.Mayachok.1, о котором мы подробно писали в одной из предыдущих публикаций.

В настоящее время сигнатуры этих угроз добавлены в вирусные базы Dr.Web. Любителям игры Counter-Strike мы рекомендуем проявлять внимательность: не следует соглашаться с предложением операционной системы о загрузке и установке на компьютер каких-либо исполняемых файлов.

или введите имя

CAPTCHA
Страницы: 1  2  3  
Юзер
08-08-2011 15:50:45
Забавно. Я помню как зашел на какой то сервак в КСС и у меня сразу касперский издал звук тревоги. Я отключился от сервера, свернул игру, удалил вирус. Пошел пожрал, развернул игру, опять подключился в к этому серву и опять звук вируса. Вообщем с этого сервера скачивался вирус в папку с автозагрузкой в формате .txt и батник, который переименовывал .txt в exe. Забавно, что исполнительные файлы в КСС сервер не может передать клиенту
0 |
Юзер
08-08-2011 16:24:17
Подробнее - на диске, где стоит контра (у меня на диске D)появляются папки Documents and Settings, ProgramData и Windows.По пути D:Documents and Settings/All Users/Главное меню/Программы/Автозагрузка находится бат-файл @ren windowseula2.txt eol.exe @start windowseol.exe @del %0 Еще батник D:Documents and Settings/All Users/Start Menu/Programs/Startup и по пути D:ProgramData/Microsof/tWindows/Start Menu/Programs/Startup. Сам вирус находится в папке D:Windows в файле eula2.txt Если бы контра была бы на C вся эта байда была бы в автозагрузке
0 |
17871
11-08-2011 11:29:31
В CS играют только имбицилы, не удивительно что они бинарники принимают за игровые файлы
0 |
O_O
08-08-2011 17:06:06
В неё ещё играют.......
0 |
08-08-2011 18:52:43
мало того, еще чемпы устраивают международного масштаба http://ru.wikipedia.org/wiki/World_Cyber_Games#.D0.9E.D1.84.D0.B8.D1.86.D0.B8.D0.B0.D0.BB.D1.8C.D0.BD.D1.8B.D0.B5_.D0.B8.D0.B3.D1.80.D1.8B_.D1.87.D0.B5.D0.BC.D0.BF.D0.B8.D0.BE.D0.BD.D0.B0.D1.82.D0.B0_9
0 |
da)OO
08-08-2011 18:44:18
Во насмешили то! этой типО новости уже год скоро! LOL!!!
0 |
da)OO
08-08-2011 18:45:43
там и видео есть
0 |
ohoh
08-08-2011 20:49:41
так то тема баян.. И расчитана на школьников)
0 |
lol
08-08-2011 20:53:51
а эта тема на интеллектуалов?
0 |
веселый блеать
08-08-2011 20:56:19
Давы ребятки оперативно работаете я как посмотрю ,лол. А когда я вам слал на мыльники по несколько таких троянов ботов,вы чего то не отвечали.. лол
0 |
da)OO
08-08-2011 21:39:18
тут просто пиар дешевый, Crock всю кухню в начале года описал.
0 |
da)OO
08-08-2011 21:41:27
ты прочти внимательно и разберись ГДЕ бОян. Здесь и есть баян - пересказ того, что давно описано! LOL
0 |
GLHF
09-08-2011 00:38:40
Пфф инфа устарела месяца на 2 как минимум))
0 |
Страницы: 1  2  3