Главная » 2011 » Сентябрь » 3 » Антивирусные специалисты предупреждают поклонников Counter-Strike о новой опасности
00:43
Антивирусные специалисты предупреждают поклонников Counter-Strike о новой опасности
Специалисты компании «Доктор Веб» говорят, что поклонникам игр угрожают
многочисленные киберопасности, одна из которых может передаваться через
Интернет. 5 августа на форуме компании «Доктор Веб» появилось сообщение
об обнаружении очередной угрозы: при попытке подключиться к одному из
игровых серверов Counter-Strike 1.6 на компьютер пользователя начинали
загружаться подозрительные файлы svhost.exe и bot2.exe, а также файл с
именем admin.cmd (в начале этого года данный файл раздавался под именем
Counter-Strike.cmd). Следует отметить, что такое поведение нестандартно
для программного обеспечения игры Counter-Strike.
В ходе проведенного расследования удалось установить следующее:
изначально группой злоумышленников был создан игровой сервер
Counter-Strike, распространявший троянскую программу Win32.HLLW.HLProxy
(некоторое время назад этот троянец вообще распространялся среди
поклонников Counter-Strike в качестве «полезного» приложения, поэтому
многие самостоятельно скачали и установили его на своих ПК). Технология
«раздачи» троянца была весьма интересной: при любом подключении к
игровому серверу игроку демонстрируется специальное окно приветствия
MOTD, в котором может присутствовать реклама сервера или какие-либо
установленные его администрацией правила. Содержимое этого окна
представляет собой HTML-файл. Созданный злоумышленниками файл MOTD
содержит скрытый компонент IFRAME, с помощью которого выполнялся
редирект на один из принадлежащих им серверов. С него, в свою очередь,
загружался и устанавливался на компьютер жертвы файл admin.cmd,
содержащий троянца Win32.HLLW.HLProxy.
Основное назначение троянца заключалось в том, что он запускает на
компьютере игрока прокси-сервер, эмулирующий на одной физической машине
несколько игровых серверов Counter-Strike и передающий соответствующую
информацию на серверы VALVE. При обращении к сэмулированному троянцем
игровому серверу программа-клиент перебрасывалась на реальный игровой
сервер злоумышленников, откуда игрок тут же получал троянца
Win32.HLLW.HLProxy. Таким образом, количество зараженных компьютеров
росло в геометрической прогрессии. Пример работы троянца показан на
следующей иллюстрации, демонстрирующей несколько игровых серверов, якобы
запущенных на инфицированной машине с одним IP-адресом:
Помимо этого, троянец обладает функционалом, позволяющим организовывать
DDoS-атаки на игровые серверы и служебные серверы VALVE, благодаря чему
значительная их часть в разное время могла оказаться недоступна. Можно
предположить, что одной из целей злоумышленников являлся сбор денег с
владельцев игровых серверов за подключение к ним новых игроков, а также
DDoS-атаки на «неугодные» игровые серверы. Любителям игры Counter-Strike
мы рекомендуем проявлять внимательность. Не следует соглашаться с
предложением операционной системы о загрузке и установке на компьютер
каких-либо исполняемых файлов. По состоянию на 29 августа 2011 года
вредоносное ПО все еще продолжает распространяться с некоторых игровых
серверов.