Перейти к содержанию

Распространение вирусов через серверы Counter Strike

Gangster

Автор Gangster
в Беседка

 Поделиться

Рекомендуемые сообщения

Gangster

Gangster

Опубликовано
Опубликовано (изменено)
«Доктор Веб» предупреждает о троянской атаке на пользователей Counter-Strike

 

5 августа 2011 года

 

Психологи утверждают, что игромания является зависимостью, а следовательно, болезнью. Специалисты «Доктор Веб» — ведущего российского разработчика средств информационной безопасности — могут помочь всем играющим онлайн и обезопасить даже самых опытных геймеров от очередной «болезни». 5 августа на форуме «Доктор Веб» появилось сообщение об обнаружении очередной угрозы, отправленное одним из вирусхантеров компании: при попытке подключиться к одному из игровых серверов Counter-Strike 1.6 на компьютер пользователя начинали загружаться подозрительные файлы.

 

Обычно при соединении с сервером Counter-Strike программа-клиент скачивает с удаленного узла компоненты, отсутствующие на клиентской машине, но используемые в игре. В данном же случае на экране компьютера пользователя открывается стандартное окно браузера, предлагающее скачать два исполняемых файла: svhost.exe и bot2.exe, а также файл с именем admin.cmd (в начале этого года данный файл раздавался под именем Counter-Strike.cmd). Следует отметить, что такое поведение нестандартно для программного обеспечения игры Counter-Strike.

cs1_250.png

В ходе проведенного аналитиками компании «Доктор Веб» расследования удалось установить следующее. Изначально группой злоумышленников был создан игровой сервер Counter-Strike, распространявший троянскую программу Win32.HLLW.HLProxy (некоторое время назад этот троянец вообще распространялся среди поклонников Counter-Strike в качестве «полезного» приложения, поэтому многие самостоятельно скачали и установили его на свой ПК).

 

Технология «раздачи» троянца была весьма интересной: при любом подключении к игровому серверу игроку демонстрируется специальное окно приветствия MOTD, в котором может присутствовать реклама сервера или какие-либо установленные его администрацией правила. Содержимое этого окна представляет собой HTML-файл. Созданный злоумышленниками файл MOTD содержит скрытый компонент IFRAME, с помощью которого выполнялся редирект на один из принадлежащих им серверов. С него, в свою очередь, загружался и устанавливался на компьютер жертвы файл admin.cmd, содержащий троянца Win32.HLLW.HLProxy.

 

Основное назначение троянца заключалось в том, что он запускает на компьютере игрока прокси-сервер, эмулирующий на одной физической машине несколько игровых серверов Counter-Strike и передающий соответствующую информацию на серверы VALVE. При обращении к сэмулированному троянцем игровому серверу программа-клиент перебрасывалась на настоящий игровой сервер злоумышленников, откуда игрок тут же получал троянца Win32.HLLW.HLProxy. Таким образом, количество зараженных компьютеров росло в геометрической прогрессии.

Помимо этого, троянец обладает функционалом, позволяющим организовывать DDoS-атаки на игровые серверы и серверы VALVE, благодаря чему значительная их часть в разное время могла оказаться недоступна. Можно предположить, что одной из целей злоумышленников являлся сбор денег с владельцев игровых серверов за подключение к ним новых игроков, а также DDoS-атаки на «неугодные» игровые серверы. В настоящее время помимо собственного троянца подключавшимся к серверу игрокам раздаются дополнительные «подарки».

 

Так, проведенный специалистами «Доктор Веб» анализ выявленных угроз показал, что в файле svhost.exe скрывается троянец-кликер Trojan.Click1.55929, накручивающий показатели посещаемости сайта w-12.ru и связанный с партнерской программой *****. Попав на инфицированный компьютер, троянец создает свою копию с именем SVH0ST.EXE в папке C:\Program Files\Common Files, запускается на исполнение и начинает использовать заложенный в него разработчиками функционал. В файле bot2.exe «прячется» уже хорошо известный Trojan.Mayachok.1, о котором мы подробно писали в одной из предыдущих публикаций.

 

В настоящее время сигнатуры этих угроз добавлены в вирусные базы Dr.Web. Любителям игры Counter-Strike мы рекомендуем проявлять внимательность: не следует соглашаться с предложением операционной системы о загрузке и установке на компьютер каких-либо исполняемых файлов.

Изменено пользователем Gangster
Umnik

Umnik

Опубликовано
Опубликовано

Веб-АВ без труда будет это ловить еще на этапе скачивания, если используется порт из списка. Если иной порт, то файловый АВ. Пользователи ЛК защищены.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • tav
      Распространение ключа через KSC
      Автор tav
      Всех приветствую !
       
      Поднял пока что тестовый KSC последний на Alt Linux.
      Версия KSC Linux PF 15.1.0.12199 и версия KESL PF 12.1.0.1543.
      В настройках политики установил распространять ключ через KSC и на самой лицензии галка стоит.
      Клиент работает не в режиме легкого агента.
       
      В итоге клиент виндовый подхватывает ключ с сервера KSC, клиент линуксовый при установке автоматом ставит тестовую/пробную лицензию и ни как не хочет цеплять автоматом лицензию.
      Если я создаю задачу для линуксовой группы/клиента сменить ключ, то все ок клиенты по задаче меняют ключ тестовый на корпоративный.
      Не понимаю почему именно линуксовые клиенты автоматом не тащат ключ. Настройки как я понимаю правильные.


    • Zakot
      Вирус зашифровал данные на сервере
      Автор Zakot
      На сервере вчера вирус зашифровал данные, возможно через RDP попал, сегодня обнаружили.
      virus.zipFRST.txtAddition.txt
    • Keldenis
      Вирус-шифровальщик. Сервер 1с.
      Автор Keldenis
      Здравствуйте! Наш сервер был поражен вирусом-шифровальщиком. Все зараженные файлы приобрели вид блокнота при нажатии на который выходило сообщение от мошенников. Мы воспользовались утилитой от Касперского Rakhni Decryptor. Она смогла подобрать пароль и (по её мнению) расшифровать файлы. Но ни один из "расшифрованных" файлов не открывался. При этом, мы использовали утилиту дважды. В первый раз мы не использовали функцию удаления пораженных файлов, расшифрованная копия которых уже была сделана. Таким образом, после первого использования утилиты, у нас на сервере появились копии практически всех зашифрованных файлов. При этом, сам зашифрованный файл имел вид блокнотика, а его расшифрованная копия имела обычный для такого типа файла внешний вид. У зашифрованных файлов и их расшифрованной копии, при этом, был одинаковый размер файла. Мы решили, что, возможно нам нужно было поставить галочку для функции "Удалять зашифрованные файлы после успешной расшифровки", чтобы после расшифровки файлы открывались. Кроме того, дубляж файлов съел практически всё свободное место на наших жестких дисках. Поэтому, мы удалили наиболее тяжелые копии расшифрованных файлов и запустили утилиту повторно, поставив галочку для удаления зашифрованных файлов. Утилита вновь успешно подобрала пароль и расшифровала файлы, удалив все зашифрованные. Но файлы так и не начали открываться. Как описано выше, мы удалили копии только тяжелых файлов. Те зашифрованные файлы, расшифрованные копии которых мы не удалили после первого применения утилиты, при втором использовании утилиты остались нетронутыми. Поэтому мы прикрепляем в архиве именно такие файлы, т.е. сам зашифрованный файл и его расшифрованную утилитой копию, чтобы понять на примере зашифрованного файла, можно ли его расшифровать; а на примере "расшифрованного" утилитой файла, действительно ли он был расшифрован, но не открывается, потому что испорчен и не подлежит или подлежит восстановлению, либо он не был на самом деле расшифрован, и его всё еще можно расшифровать в будущем, хоть он уже и не имеет вид того самого блокнотика. Кроме того, мы установили антивирус от Касперсого на сервер и он, вероятно, уже удалил сам файл шифровальщик.
      Зашифрованные файлы.zip Addition.txt FRST.txt
    • Paradox0
      Вирус шифровальщик зашифровал все файлы на сервере
      Автор Paradox0
      Был взломан файловый сервер и на нём зашифровались все данные.
      Самого файла с требованиями злоумышленников к сожалению не осталось.
      После шифрования файлов,  уже поменялся сервер и была переустановлена ОС.
       
      [nataliaburduniuc96@gmail.com][id=30A3884B]IMG_1789.JPG.rar [nataliaburduniuc96@gmail.com][id=30A3884B]ТОПы.docx.rar
    • cringemachine
      Распространение bat-файла на рабочие станции
      Автор cringemachine
      Коллеги, добрый день.
       
      Есть bat-файл, который создает на сетевом диске директорию и в нее копирует (должен копировать) журнал Безопасность – нужны админские права. 
      Также, в качестве теста в него добавлена строка для копирования текстового файла (txt) в созданную директорию – не нужны админские права.
       
        mkdir \\192.168.0.5\temp\KasperskyEventLog\%computername%   copy %SystemRoot%\System32\Winevt\Logs\"Kaspersky Event Log.evtx" \\192.168.0.5\temp\KasperskyEventLog\%computername%\"Kaspersky Event Log.evtx"   copy C:\Users\testuser\Desktop\1.txt \\192.168.0.5\temp\KasperskyEventLog\%computername%\1.txt  
      При запуске скрипта локально с указанием админской УЗ скрипт отрабатывает корректно и оба файла (Журнал Безопасность и текстовый файл) копируются на сетевой диск.
       
      При распространении скрипта посредством KSC через задачу Удаленная установка программы копируется только текстовый файл, т.е. прав не хватает.
      Попробовал разные сценарии – С помощью Агента администрирования (с указанием админской УЗ), Средствами операционной системы с помощью Сервера администрирования (с указанием админской УЗ).
      Результат один – копируется только текстовый файл.
       
      Может быть кто-то владеет опытом распространения bat-файла для исполнения которого требуются админские прав.
×
×
  • Создать...