Dr.Web предупреждает о троянской атаке на игроков Counter-Strike
01-02-2012 12:13
к комментариям - к полной версии
- понравилось!
«Доктор Веб» предупреждает о троянской атаке на юзеров Counter-Strike
Психологи говорят, что игромания является зависимостью, а как следует, заболеванием. Спецы «Доктор Веб» — ведущего русского разработчика средств информационной безопасности — могут посодействовать всем играющим онлайн и обезопасить даже самых опытнейших игроков в компьютерные игры от очередной «болезни». 5 августа на форуме «Доктор Веб» появилось сообщение об обнаружении очередной опасности, отправленное одним из вирусхантеров компании: при попытке подключиться к одному из игровых серверов Counter-Strike 1,6 на компьютер юзера начинали загружаться подозрительные файлы.
Обычно при соединении с сервером Counter-Strike программа-клиент закачивает с удаленного узла составляющие, отсутствующие на клиентской машине, но применяемые в игре. В данном же случае на дисплее компьютера юзера раскрывается стандартное окно браузера, предлагающее скачать два исполняемых файла:svhost.exe и bot2.exe, также файл с именованием admin.cmd (сначала этого года данный файл раздавался под именованием Counter-Strike.cmd). Необходимо подчеркнуть, что такое поведение неординарно для программного обеспечения игры Counter-Strike.
В процессе проведенного аналитиками компании «Доктор Веб» расследования удалось установить последующее. Вначале группой злоумышленников был сотворен игровой сервер Counter-Strike, распространявший троянскую программку Win32.HLLW.HLProxy (чуть раньше этот троянец вообщем распространялся посреди поклонников Counter-Strike в качестве «полезного» приложения, потому многие без помощи других скачали и установили его на собственный ПК).
Разработка «раздачи» троянца была очень увлекательной: при любом подключении к игровому серверу игроку показывается особое окно приветствия MOTD, в каком может находиться реклама сервера либо какие-либо установленные его администрацией правила. Содержимое этого окна представляет собой HTML-файл. Сделанный злодеями файл MOTD содержит сокрытый компонент IFRAME, при помощи которого производился редирект на один из принадлежащих им серверов. С него, в свою очередь, загружался и устанавливался на компьютер жертвы файл admin.cmd, содержащий троянца Win32.HLLW.HLProxy.
Основное предназначение троянца заключалось в том, что он запускает на компьютере игрока прокси-сервер, эмулирующий на одной физической машине несколько игровых серверов Counter-Strike и передающий подобающую информацию на серверы VALVE. При воззвании к сэмулированному троянцем игровому серверу программа-клиент перекидывалась на реальный игровой сервер злоумышленников, откуда игрок здесь же получал троянца Win32.HLLW.HLProxy. Таким макаром, количество зараженных компов росло в геометрической прогрессии. Пример работы троянца показан на последующей иллюстрации, демонстрирующей несколько игровых серверов, типо запущенных на инфицированной машине с одним Айпишником:
Кроме этого, троянец обладает функционалом, позволяющим организовывать DDoS-атаки на игровые серверы и серверы VALVE, по этому значимая их часть в различное время могла оказаться недосягаема. Можно представить, что одной из целей злоумышленников являлся сбор средств с хозяев игровых серверов за подключение к ним новых игроков, также DDoS-атаки на «неугодные» игровые серверы. В текущее время кроме собственного троянца подключавшимся к серверу игрокам раздаются дополнительные «подарки».
Так, проведенный спецами «Доктор Веб» анализ выявленных угроз показал, что в файле svhost.exe прячется троянец-кликер Trojan.Click1,55929, накручивающий характеристики популярности веб-сайта w-12.ru и связанный с партнерской программкой http://tak.ru. Попав на инфицированный компьютер, троянец делает свою копию с именованием SVH0ST.EXE в папке C:\Program Files\Common Files, запускается на выполнение и начинает использовать заложенный в него разработчиками функционал. В файле bot2.exe «прячется» уже отлично узнаваемый Trojan.Mayachok.1, о котором мы тщательно писали в одной из прошлых публикаций.
вверх^
к полной версии
понравилось!
в evernote
«Доктор Веб» предупреждает о троянской атаке на юзеров Counter-Strike
Психологи говорят, что игромания является зависимостью, а как следует, заболеванием. Спецы «Доктор Веб» — ведущего русского разработчика средств информационной безопасности — могут посодействовать всем играющим онлайн и обезопасить даже самых опытнейших игроков в компьютерные игры от очередной «болезни». 5 августа на форуме «Доктор Веб» появилось сообщение об обнаружении очередной опасности, отправленное одним из вирусхантеров компании: при попытке подключиться к одному из игровых серверов Counter-Strike 1,6 на компьютер юзера начинали загружаться подозрительные файлы.
Обычно при соединении с сервером Counter-Strike программа-клиент закачивает с удаленного узла составляющие, отсутствующие на клиентской машине, но применяемые в игре. В данном же случае на дисплее компьютера юзера раскрывается стандартное окно браузера, предлагающее скачать два исполняемых файла:svhost.exe и bot2.exe, также файл с именованием admin.cmd (сначала этого года данный файл раздавался под именованием Counter-Strike.cmd). Необходимо подчеркнуть, что такое поведение неординарно для программного обеспечения игры Counter-Strike.
В процессе проведенного аналитиками компании «Доктор Веб» расследования удалось установить последующее. Вначале группой злоумышленников был сотворен игровой сервер Counter-Strike, распространявший троянскую программку Win32.HLLW.HLProxy (чуть раньше этот троянец вообщем распространялся посреди поклонников Counter-Strike в качестве «полезного» приложения, потому многие без помощи других скачали и установили его на собственный ПК).
Разработка «раздачи» троянца была очень увлекательной: при любом подключении к игровому серверу игроку показывается особое окно приветствия MOTD, в каком может находиться реклама сервера либо какие-либо установленные его администрацией правила. Содержимое этого окна представляет собой HTML-файл. Сделанный злодеями файл MOTD содержит сокрытый компонент IFRAME, при помощи которого производился редирект на один из принадлежащих им серверов. С него, в свою очередь, загружался и устанавливался на компьютер жертвы файл admin.cmd, содержащий троянца Win32.HLLW.HLProxy.
Основное предназначение троянца заключалось в том, что он запускает на компьютере игрока прокси-сервер, эмулирующий на одной физической машине несколько игровых серверов Counter-Strike и передающий подобающую информацию на серверы VALVE. При воззвании к сэмулированному троянцем игровому серверу программа-клиент перекидывалась на реальный игровой сервер злоумышленников, откуда игрок здесь же получал троянца Win32.HLLW.HLProxy. Таким макаром, количество зараженных компов росло в геометрической прогрессии. Пример работы троянца показан на последующей иллюстрации, демонстрирующей несколько игровых серверов, типо запущенных на инфицированной машине с одним Айпишником:
Кроме этого, троянец обладает функционалом, позволяющим организовывать DDoS-атаки на игровые серверы и серверы VALVE, по этому значимая их часть в различное время могла оказаться недосягаема. Можно представить, что одной из целей злоумышленников являлся сбор средств с хозяев игровых серверов за подключение к ним новых игроков, также DDoS-атаки на «неугодные» игровые серверы. В текущее время кроме собственного троянца подключавшимся к серверу игрокам раздаются дополнительные «подарки».
Так, проведенный спецами «Доктор Веб» анализ выявленных угроз показал, что в файле svhost.exe прячется троянец-кликер Trojan.Click1,55929, накручивающий характеристики популярности веб-сайта w-12.ru и связанный с партнерской программкой http://tak.ru. Попав на инфицированный компьютер, троянец делает свою копию с именованием SVH0ST.EXE в папке C:\Program Files\Common Files, запускается на выполнение и начинает использовать заложенный в него разработчиками функционал. В файле bot2.exe «прячется» уже отлично узнаваемый Trojan.Mayachok.1, о котором мы тщательно писали в одной из прошлых публикаций.
В текущее время сигнатуры этих угроз добавлены в вирусные базы Dr.Web. Любителям игры Counter-Strike мы советуем проявлять бдительность: не следует соглашаться с предложением операционной системы о загрузке и установке на компьютер каких-то исполняемых файлов.
Источник:http://antivirus-free.livejournal.com
Вы сейчас не можете прокомментировать это сообщение.
Дневник Dr.Web предупреждает о троянской атаке на игроков Counter-Strike | Антивирусы_бесплатные - Дневник Антивирусы_бесплатные |
Лента друзей Антивирусы_бесплатные
/ Полная версия
Добавить в друзья
Страницы:
раньше»