Специалисты "Доктор Веб"
сообщают об обнаружении очередной угрозы, направленной на игроков в
Counter-Strike. При попытке подключиться к одному из игровых серверов
Counter-Strike 1.6 на компьютер пользователя начинали загружаться
подозрительные файлы.
Обычно при соединении с сервером Counter-Strike программа-клиент
скачивает с удаленного узла компоненты, отсутствующие на клиентской
машине, но используемые в игре. В данном же случае на экране компьютера
пользователя открывается стандартное окно браузера, предлагающее скачать
два исполняемых файла: svhost.exe и bot2.exe, а также файл с именем
admin.cmd (в начале этого года данный файл раздавался под именем
Counter-Strike.cmd). Такое поведение нестандартно для программного
обеспечения игры Counter-Strike.
В ходе проведенного аналитиками компании «Доктор Веб» расследования
удалось установить, что изначально группой злоумышленников был создан
игровой сервер Counter-Strike, распространявший троянскую программу
Win32.HLLW.HLProxy (некоторое время назад этот троянец вообще
распространялся среди поклонников Counter-Strike в качестве «полезного»
приложения, поэтому многие самостоятельно скачали и установили его на
свой ПК).
Технология «раздачи» троянца была весьма интересной: при любом
подключении к игровому серверу игроку демонстрируется специальное окно
приветствия MOTD, в котором может присутствовать реклама сервера или
какие-либо установленные его администрацией правила. Содержимое этого
окна представляет собой HTML-файл. Созданный злоумышленниками файл MOTD
содержит скрытый компонент IFRAME, с помощью которого выполнялся
редирект на один из принадлежащих им серверов. С него, в свою очередь,
загружался и устанавливался на компьютер жертвы файл admin.cmd,
содержащий троянца Win32.HLLW.HLProxy.
Основное назначение троянца заключалось в том, что он запускает на
компьютере игрока прокси-сервер, эмулирующий на одной физической машине
несколько игровых серверов Counter-Strike и передающий соответствующую
информацию на серверы VALVE. При обращении к сэмулированному троянцем
игровому серверу программа-клиент перебрасывалась на настоящий игровой
сервер злоумышленников, откуда игрок тут же получал троянца
Win32.HLLW.HLProxy. Таким образом, количество зараженных компьютеров
росло в геометрической прогрессии.
Помимо этого, троянец обладает возможностями, позволяющими
организовывать DDoS-атаки на игровые серверы и серверы VALVE, благодаря
чему значительная их часть в разное время могла оказаться недоступна.
Можно предположить, что одной из целей злоумышленников являлся сбор
денег с владельцев игровых серверов за подключение к ним новых игроков, а
также DDoS-атаки на «неугодные» игровые серверы.
Любителям игры Counter-Strike Dr.Web рекомендует проявлять
внимательность: не следует соглашаться с предложением операционной
системы о загрузке и установке на компьютер каких-либо исполняемых
файлов.
Источник:
сообщают об обнаружении очередной угрозы, направленной на игроков в
Counter-Strike. При попытке подключиться к одному из игровых серверов
Counter-Strike 1.6 на компьютер пользователя начинали загружаться
подозрительные файлы.
Обычно при соединении с сервером Counter-Strike программа-клиент
скачивает с удаленного узла компоненты, отсутствующие на клиентской
машине, но используемые в игре. В данном же случае на экране компьютера
пользователя открывается стандартное окно браузера, предлагающее скачать
два исполняемых файла: svhost.exe и bot2.exe, а также файл с именем
admin.cmd (в начале этого года данный файл раздавался под именем
Counter-Strike.cmd). Такое поведение нестандартно для программного
обеспечения игры Counter-Strike.
В ходе проведенного аналитиками компании «Доктор Веб» расследования
удалось установить, что изначально группой злоумышленников был создан
игровой сервер Counter-Strike, распространявший троянскую программу
Win32.HLLW.HLProxy (некоторое время назад этот троянец вообще
распространялся среди поклонников Counter-Strike в качестве «полезного»
приложения, поэтому многие самостоятельно скачали и установили его на
свой ПК).
Технология «раздачи» троянца была весьма интересной: при любом
подключении к игровому серверу игроку демонстрируется специальное окно
приветствия MOTD, в котором может присутствовать реклама сервера или
какие-либо установленные его администрацией правила. Содержимое этого
окна представляет собой HTML-файл. Созданный злоумышленниками файл MOTD
содержит скрытый компонент IFRAME, с помощью которого выполнялся
редирект на один из принадлежащих им серверов. С него, в свою очередь,
загружался и устанавливался на компьютер жертвы файл admin.cmd,
содержащий троянца Win32.HLLW.HLProxy.
Основное назначение троянца заключалось в том, что он запускает на
компьютере игрока прокси-сервер, эмулирующий на одной физической машине
несколько игровых серверов Counter-Strike и передающий соответствующую
информацию на серверы VALVE. При обращении к сэмулированному троянцем
игровому серверу программа-клиент перебрасывалась на настоящий игровой
сервер злоумышленников, откуда игрок тут же получал троянца
Win32.HLLW.HLProxy. Таким образом, количество зараженных компьютеров
росло в геометрической прогрессии.
Помимо этого, троянец обладает возможностями, позволяющими
организовывать DDoS-атаки на игровые серверы и серверы VALVE, благодаря
чему значительная их часть в разное время могла оказаться недоступна.
Можно предположить, что одной из целей злоумышленников являлся сбор
денег с владельцев игровых серверов за подключение к ним новых игроков, а
также DDoS-атаки на «неугодные» игровые серверы.
Любителям игры Counter-Strike Dr.Web рекомендует проявлять
внимательность: не следует соглашаться с предложением операционной
системы о загрузке и установке на компьютер каких-либо исполняемых
файлов.
Источник:
» Шифровальщик CryptXXX 3.0 обезвредили!
» Вымогатель Kangaroo блокирует пользователям доступ к Windows
» Microsoft заявляет, что новую 0-day уязвимость в Windows используют хакеры из Fancy Bear
» 360 Total Security 8.8.0.1083 [Multi/Ru]
» SecureAPlus Freemium 4.3.3 [Multi/Ru]
» GridinSoft Anti-Malware [Multi/Ru] - антивирусная утилита!
» Новый вариант трояна Kovter маскируется под обновления для Firefox
» Эксперт представил способ похищения данных через кулер компьютера