Компания «Доктор Веб» — 
Российский разработчик средств информационной безопасности — сообщает об обнаружении новой схемы заражения компьютеров пользователей вредоносным ПО. На этот раз целью злоумышленников стали любители популярной игры Counter-Strike 1.6. Как оказалось, через определенные cs-сервера можно заразить свой компьютер целой пачкой вирусов.
Обычно при соединении с сервером Counter-Strike программа-клиент скачивает с удаленного узла компоненты, отсутствующие на клиентской машине, но используемые в игре. В данном же случае на экране компьютера пользователя открывается стандартное окно браузера, предлагающее скачать два исполняемых файла: svhost.exe и bot2.exe, а также файл с именем admin.cmd (в начале этого года данный файл раздавался под именем Counter-Strike.cmd - прим. автора). Следует отметить, что такое поведение нестандартно для программного обеспечения игры Counter-Strike.
В ходе проведенного аналитиками компании «Доктор Веб» расследования удалось установить следующее. Изначально группой злоумышленников был создан игровой сервер Counter-Strike, распространявший троянскую программу Win32.HLLW.HLProxy (некоторое время назад этот троянец вообще распространялся среди поклонников Counter-Strike в качестве «полезного» приложения, поэтому многие самостоятельно скачали и установили его на свой ПК - прим. автора).
Технология «раздачи» троянца была весьма интересной: при любом подключении к игровому серверу игроку демонстрируется специальное окно приветствия MOTD, в котором может присутствовать реклама сервера или какие-либо установленные его администрацией правила. Содержимое этого окна представляет собой HTML-файл. Созданный злоумышленниками файл MOTD содержит скрытый компонент IFRAME, с помощью которого выполнялся редирект на один из принадлежащих им серверов. С него, в свою очередь, загружался и устанавливался на компьютер жертвы файл admin.cmd, содержащий троянца Win32.HLLW.HLProxy.
Пример кода, содержащегося в файле motd.htm
Основное назначение троянца заключается в том, что он запускает на компьютере игрока прокси-сервер, эмулирующий на одной физической машине несколько игровых серверов Counter-Strike и передающий соответствующую информацию на серверы компании VALVE. При обращении к сэмулированному троянцем игровому серверу программа-клиент перебрасывалась на настоящий игровой сервер злоумышленников, откуда игрок тут же получал троянца Win32.HLLW.HLProxy. Таким образом, количество зараженных компьютеров росло в геометрической прогрессии.
Помимо этого, троянец обладает функционалом, позволяющим организовывать DDoS-атаки на игровые серверы и серверы компании VALVE, благодаря чему значительная их часть в разное время могла оказаться недоступна. Можно предположить, что одной из целей злоумышленников являлся сбор денег с владельцев игровых серверов за подключение к ним новых игроков, а также DDoS-атаки на «неугодные» игровые серверы. В настоящее время, помимо собственно троянца, подключавшимся к серверу игрокам раздаются дополнительные «подарки».
Так, проведенный специалистами «Доктор Веб» анализ выявленных угроз показал, что в файле svhost.exe скрывается троянец-кликер Trojan.Click1.55929, накручивающий показатели посещаемости сайта w-12.ru и связанный с партнерской программой http://tak.ru. Попав на инфицированный компьютер, троянец создает свою копию с именем SVH0ST.EXE в папке C:\Program Files\Common Files, запускается на исполнение и начинает использовать заложенный в него разработчиками функционал. В файле bot2.exe «прячется» уже хорошо известный Trojan.Mayachok.1 (Данный троянец крадет средства со счетов клиентов мобильных операторов, предлагая пользователям ответить на входящее СМС-сообщение - прим. автора).
Представители антивирусной компании нашедшие вирус, заявили следующее:
- Проведенный анализ выявленных угроз показал, что в файле svhost.exe скрывается троянец-кликер Trojan.Click1.55929. В файле bot2.exe «прячется» Trojan.Mayachok.1. В настоящее время сигнатуры этих угроз добавлены в вирусные базы Dr.Web. Любителям игры Counter-Strike мы рекомендуем проявлять внимательность: не следует соглашаться с предложением операционной системы о загрузке и установке на компьютер каких-либо исполняемых файлов, в процессе коннекта на неизвестные cs-сервера.
Другая полезная информация
Когда-то давно - осенью 2002 года в сети распространялся другой подобный вирус, но его функции были совсем иными: "Похищение регистрационной информации компьютерных игр." Это был Интернет-червь Fleming, которого смогла обнаружить другая не менее известная Российская компания, занимающаяся разработкой антивирусных систем безопасности - «Лаборатория Касперского»
Эта вредоносная программа содержала в себе "троянца", похищающего регистрационную информацию компьютерных игр Counter-Strike и Half-Life, а также пыталась скачать и запустить другие вредоносные программы из Интернета.
Данная вредоносная программа представляла собой 32-битное приложение Windows (файл EXE) размером 53 248 байт, написанное на языке программирования Visual Basic. Червь распространялся при помощи популярного в то время интернет-пейджера Windows (.NET) Messenger, встроенного в Windows XP. Рассылаемое сообщение представляло собой текст на английском языке с предложением скачать якобы разработанную программу:
Fleming не устанавливал себя в систему, но срабатывал только тогда, когда был запущен пользователем (например, при двойном щелчке по его пиктограмме в Проводнике Windows - прим. автора). Будучи запущенным, червь пытался скачать и запустить два файла с интернет-сайта. Загруженные файлы сохранялись по следующим путям:
C:\update35784.exe
C:\hehe2397824.exe
Затем червь соединялся с приложением Windows (.NET) Messenger и ожидал входящих сообщений. При получении некоторых сообщений от пользователя "styggefolk@hotmail.com" он посылал ответ, содержащий регистрационную информацию (CD-Key) от Half-Life и Counter-Strike. После чего Fleming находил список адресатов Windows (.NET) Messenger и рассылал по нему свое сообщение.
- При написании новости использованы материалы drweb.com и kaspersky.ru
При цитировании и копировании материала с сайта, пожалуйста указывайте источник!
Российский разработчик средств информационной безопасности — сообщает об обнаружении новой схемы заражения компьютеров пользователей вредоносным ПО. На этот раз целью злоумышленников стали любители популярной игры Counter-Strike 1.6. Как оказалось, через определенные cs-сервера можно заразить свой компьютер целой пачкой вирусов.Обычно при соединении с сервером Counter-Strike программа-клиент скачивает с удаленного узла компоненты, отсутствующие на клиентской машине, но используемые в игре. В данном же случае на экране компьютера пользователя открывается стандартное окно браузера, предлагающее скачать два исполняемых файла: svhost.exe и bot2.exe, а также файл с именем admin.cmd (в начале этого года данный файл раздавался под именем Counter-Strike.cmd - прим. автора). Следует отметить, что такое поведение нестандартно для программного обеспечения игры Counter-Strike.
В ходе проведенного аналитиками компании «Доктор Веб» расследования удалось установить следующее. Изначально группой злоумышленников был создан игровой сервер Counter-Strike, распространявший троянскую программу Win32.HLLW.HLProxy (некоторое время назад этот троянец вообще распространялся среди поклонников Counter-Strike в качестве «полезного» приложения, поэтому многие самостоятельно скачали и установили его на свой ПК - прим. автора).
Технология «раздачи» троянца была весьма интересной: при любом подключении к игровому серверу игроку демонстрируется специальное окно приветствия MOTD, в котором может присутствовать реклама сервера или какие-либо установленные его администрацией правила. Содержимое этого окна представляет собой HTML-файл. Созданный злоумышленниками файл MOTD содержит скрытый компонент IFRAME, с помощью которого выполнялся редирект на один из принадлежащих им серверов. С него, в свою очередь, загружался и устанавливался на компьютер жертвы файл admin.cmd, содержащий троянца Win32.HLLW.HLProxy.
Пример кода, содержащегося в файле motd.htm
Основное назначение троянца заключается в том, что он запускает на компьютере игрока прокси-сервер, эмулирующий на одной физической машине несколько игровых серверов Counter-Strike и передающий соответствующую информацию на серверы компании VALVE. При обращении к сэмулированному троянцем игровому серверу программа-клиент перебрасывалась на настоящий игровой сервер злоумышленников, откуда игрок тут же получал троянца Win32.HLLW.HLProxy. Таким образом, количество зараженных компьютеров росло в геометрической прогрессии.
Помимо этого, троянец обладает функционалом, позволяющим организовывать DDoS-атаки на игровые серверы и серверы компании VALVE, благодаря чему значительная их часть в разное время могла оказаться недоступна. Можно предположить, что одной из целей злоумышленников являлся сбор денег с владельцев игровых серверов за подключение к ним новых игроков, а также DDoS-атаки на «неугодные» игровые серверы. В настоящее время, помимо собственно троянца, подключавшимся к серверу игрокам раздаются дополнительные «подарки».
Так, проведенный специалистами «Доктор Веб» анализ выявленных угроз показал, что в файле svhost.exe скрывается троянец-кликер Trojan.Click1.55929, накручивающий показатели посещаемости сайта w-12.ru и связанный с партнерской программой http://tak.ru. Попав на инфицированный компьютер, троянец создает свою копию с именем SVH0ST.EXE в папке C:\Program Files\Common Files, запускается на исполнение и начинает использовать заложенный в него разработчиками функционал. В файле bot2.exe «прячется» уже хорошо известный Trojan.Mayachok.1 (Данный троянец крадет средства со счетов клиентов мобильных операторов, предлагая пользователям ответить на входящее СМС-сообщение - прим. автора).
Представители антивирусной компании нашедшие вирус, заявили следующее:
- Проведенный анализ выявленных угроз показал, что в файле svhost.exe скрывается троянец-кликер Trojan.Click1.55929. В файле bot2.exe «прячется» Trojan.Mayachok.1. В настоящее время сигнатуры этих угроз добавлены в вирусные базы Dr.Web. Любителям игры Counter-Strike мы рекомендуем проявлять внимательность: не следует соглашаться с предложением операционной системы о загрузке и установке на компьютер каких-либо исполняемых файлов, в процессе коннекта на неизвестные cs-сервера.
Другая полезная информация
Когда-то давно - осенью 2002 года в сети распространялся другой подобный вирус, но его функции были совсем иными: "Похищение регистрационной информации компьютерных игр." Это был Интернет-червь Fleming, которого смогла обнаружить другая не менее известная
Российская компания, занимающаяся разработкой антивирусных систем безопасности - «Лаборатория Касперского»Эта вредоносная программа содержала в себе "троянца", похищающего регистрационную информацию компьютерных игр Counter-Strike и Half-Life, а также пыталась скачать и запустить другие вредоносные программы из Интернета.
Данная вредоносная программа представляла собой 32-битное приложение Windows (файл EXE) размером 53 248 байт, написанное на языке программирования Visual Basic. Червь распространялся при помощи популярного в то время интернет-пейджера Windows (.NET) Messenger, встроенного в Windows XP. Рассылаемое сообщение представляло собой текст на английском языке с предложением скачать якобы разработанную программу:
Указанный в сообщении интернет-адрес содержал копию червя.
Fleming не устанавливал себя в систему, но срабатывал только тогда, когда был запущен пользователем (например, при двойном щелчке по его пиктограмме в Проводнике Windows - прим. автора). Будучи запущенным, червь пытался скачать и запустить два файла с интернет-сайта. Загруженные файлы сохранялись по следующим путям:
C:\update35784.exe
C:\hehe2397824.exe
Затем червь соединялся с приложением Windows (.NET) Messenger и ожидал входящих сообщений. При получении некоторых сообщений от пользователя "styggefolk@hotmail.com" он посылал ответ, содержащий регистрационную информацию (CD-Key) от Half-Life и Counter-Strike. После чего Fleming находил список адресатов Windows (.NET) Messenger и рассылал по нему свое сообщение.
- При написании новости использованы материалы drweb.com и kaspersky.ru
При цитировании и копировании материала с сайта, пожалуйста указывайте источник!
