Видеодомофоны подключат к системе «Безопасный город» в Воронеже

Проект застройки на месте леса под Воронежем не согласовали власти региона

Деловая неделя продолжается. Сегодня стоит брать новые вершины, но астрологи не рекомендуют идти по головам

Губернатор поделился подробностями атаки БПЛА на Воронежскую область

Очень удачный день, но все в той же деловой сфере, романтика пока, увы, продолжит стагнировать

Иномарка перевернулась в центре Воронежа

В небе над Воронежем в ночь на 17 сентября сбили беспилотник

Воронежские спасатели получили медали за ликвидацию ЧС

Даты повышения выплат на детей озвучили воронежцам

В Воронежской области более 2200 человек пострадали от укусов клещей

Воронежским школьникам предложили список рекомендуемых фильмов и литературы

В федеральный розыск объявили сына сотрудницы ФНС после ДТП с погибшей выпускницей журфака

Сегодня действительно можно будет совершить невозможное, однако для этого придется, как минимум, пойти на риск

Воронежский подросток получил ожоги 80% тела при ударе током на ж/д станции

Выпускник воронежской школы из мести ограбил бывшего директора

Запрет на продажу алкоголя установят в День города в центре Воронеже

В России по уровню безработицы Воронежская область заняла 51 место

Общая явка на выборах в Воронежской области составила более 54 процентов

В больнице умер пострадавший от БПЛА воронежский фермер

Пожарная часть, школа и детсад останутся без воды в Воронеже 16 сентября

В Воронежской области за три дня выборов проголосовали 53,8% избирателей

Волна рабочих дней продолжается – по-прежнему астрологи советуют сосредоточиться на моментах делового характера, а не личного, для него будет другое время

Трехдневное голосование началось в Воронежской области

Сегодня не стоит гнаться за идеалом. Помните, что лучше сделать и ошибиться, чем вообще ничего не сделать

Сегодня продолжится тенденция предыдущего дня – преобладание строгого настроя и рационального подхода

Стоимость салюта на День города в Воронеже снизилась до 3,5 млн рублей

Расписание рейсов внезапно появилось на сайте воронежского аэропорта
 

Стал известен доход председателя Воронежской областной Думы

Увы, творческим людям сегодня придется нелегко, ведь в этот день стоит надеться только на свой разум

В небе над Воронежской областью за ночь сбили 16 дронов: повреждены дома, теплица и гараж

Спорт

Троянская атака на пользователей Counter-Strike 1.6!

Компания «Доктор Веб» Российский разработчик средств информационной безопасности — сообщает об обнаружении новой схемы заражения компьютеров пользователей вредоносным ПО. На этот раз целью злоумышленников стали любители популярной игры Counter-Strike 1.6. Как оказалось, через определенные cs-сервера можно заразить свой компьютер целой пачкой вирусов.

Обычно при соединении с сервером Counter-Strike программа-клиент скачивает с удаленного узла компоненты, отсутствующие на клиентской машине, но используемые в игре. В данном же случае на экране компьютера пользователя открывается стандартное окно браузера, предлагающее скачать два исполняемых файла: svhost.exe и bot2.exe, а также файл с именем admin.cmd (в начале этого года данный файл раздавался под именем Counter-Strike.cmd - прим. автора). Следует отметить, что такое поведение нестандартно для программного обеспечения игры Counter-Strike.



В ходе проведенного аналитиками компании «Доктор Веб» расследования удалось установить следующее. Изначально группой злоумышленников был создан игровой сервер Counter-Strike, распространявший троянскую программу Win32.HLLW.HLProxy (некоторое время назад этот троянец вообще распространялся среди поклонников Counter-Strike в качестве «полезного» приложения, поэтому многие самостоятельно скачали и установили его на свой ПК - прим. автора).

Технология «раздачи» троянца была весьма интересной: при любом подключении к игровому серверу игроку демонстрируется специальное окно приветствия MOTD, в котором может присутствовать реклама сервера или какие-либо установленные его администрацией правила. Содержимое этого окна представляет собой HTML-файл. Созданный злоумышленниками файл MOTD содержит скрытый компонент IFRAME, с помощью которого выполнялся редирект на один из принадлежащих им серверов. С него, в свою очередь, загружался и устанавливался на компьютер жертвы файл admin.cmd, содержащий троянца Win32.HLLW.HLProxy.


Пример кода, содержащегося в файле motd.htm

Основное назначение троянца заключается в том, что он запускает на компьютере игрока прокси-сервер, эмулирующий на одной физической машине несколько игровых серверов Counter-Strike и передающий соответствующую информацию на серверы компании VALVE. При обращении к сэмулированному троянцем игровому серверу программа-клиент перебрасывалась на настоящий игровой сервер злоумышленников, откуда игрок тут же получал троянца Win32.HLLW.HLProxy. Таким образом, количество зараженных компьютеров росло в геометрической прогрессии.

Помимо этого, троянец обладает функционалом, позволяющим организовывать DDoS-атаки на игровые серверы и серверы компании VALVE, благодаря чему значительная их часть в разное время могла оказаться недоступна. Можно предположить, что одной из целей злоумышленников являлся сбор денег с владельцев игровых серверов за подключение к ним новых игроков, а также DDoS-атаки на «неугодные» игровые серверы. В настоящее время, помимо собственно троянца, подключавшимся к серверу игрокам раздаются дополнительные «подарки».


Так, проведенный специалистами «Доктор Веб» анализ выявленных угроз показал, что в файле svhost.exe скрывается троянец-кликер Trojan.Click1.55929, накручивающий показатели посещаемости сайта w-12.ru и связанный с партнерской программой http://tak.ru. Попав на инфицированный компьютер, троянец создает свою копию с именем SVH0ST.EXE в папке C:\Program Files\Common Files, запускается на исполнение и начинает использовать заложенный в него разработчиками функционал. В файле bot2.exe «прячется» уже хорошо известный Trojan.Mayachok.1 (Данный троянец крадет средства со счетов клиентов мобильных операторов, предлагая пользователям ответить на входящее СМС-сообщение - прим. автора).

Представители антивирусной компании нашедшие вирус, заявили следующее:

- Проведенный анализ выявленных угроз показал, что в файле svhost.exe скрывается троянец-кликер Trojan.Click1.55929. В файле bot2.exe «прячется» Trojan.Mayachok.1. В настоящее время сигнатуры этих угроз добавлены в вирусные базы Dr.Web. Любителям игры Counter-Strike мы рекомендуем проявлять внимательность: не следует соглашаться с предложением операционной системы о загрузке и установке на компьютер каких-либо исполняемых файлов, в процессе коннекта на неизвестные cs-сервера.

Другая полезная информация

Когда-то давно - осенью 2002 года в сети распространялся другой подобный вирус, но его функции были совсем иными: "Похищение регистрационной информации компьютерных игр." Это был Интернет-червь Fleming, которого смогла обнаружить другая не менее известная Российская компания, занимающаяся разработкой антивирусных систем безопасности - «Лаборатория Касперского»

Эта вредоносная программа содержала в себе "троянца", похищающего регистрационную информацию компьютерных игр Counter-Strike и Half-Life, а также пыталась скачать и запустить другие вредоносные программы из Интернета.

Данная вредоносная программа представляла собой 32-битное приложение Windows (файл EXE) размером 53 248 байт, написанное на языке программирования Visual Basic. Червь распространялся при помощи популярного в то время интернет-пейджера Windows (.NET) Messenger, встроенного в Windows XP. Рассылаемое сообщение представляло собой текст на английском языке с предложением скачать якобы разработанную программу:


Указанный в сообщении интернет-адрес содержал копию червя.

Fleming не устанавливал себя в систему, но срабатывал только тогда, когда был запущен пользователем (например, при двойном щелчке по его пиктограмме в Проводнике Windows - прим. автора). Будучи запущенным, червь пытался скачать и запустить два файла с интернет-сайта. Загруженные файлы сохранялись по следующим путям:
 
C:\update35784.exe
C:\hehe2397824.exe


Затем червь соединялся с приложением Windows (.NET) Messenger и ожидал входящих сообщений. При получении некоторых сообщений от пользователя "styggefolk@hotmail.com" он посылал ответ, содержащий регистрационную информацию (CD-Key) от Half-Life и Counter-Strike. После чего Fleming находил список адресатов Windows (.NET) Messenger и рассылал по нему свое сообщение.

- При написании новости использованы материалы drweb.com и kaspersky.ru

При цитировании и копировании материала с сайта, пожалуйста указывайте источник!