unnaname
Навигация
Наше сообщество
Массовое заражение игровых серверов Counter Strike

На данный момент никакой эффективной защиты не существует, заражённый компьютер открывает сотни прокси соединений, которые используются для перенаправления вашего клиента игры на заражённые сервера, способствуя дальнейшему распространению заразы. Через эти прокси соединения злоумышленники могут получить доступ к вашим данным.
Компания Valve не может решить эту проблему вот уже несколько месяцев.
Как происходит заражение: игрок подключается к серверу, ненадолго появляется карта de_dust2 и затем его выкидывает в главное меню. Машина заражена.
Эффективной защиты от вируса нет, поскольку он выполняет операции с клиентом игры в режиме онлайн (где любая информация, которая поступает через игровые данные - зашифрована самим клиентом игры).

Тrojan.Belonard состоит из 11 компонентов и действует по разным сценариям в зависимости от клиента игры. Если клиент игры лицензионный, троянец попадает на устройство пользователя через RCE-уязвимость, эксплуатируемую вредоносным сервером, после чего обеспечивает себе установку в системе. По такому же сценарию происходит заражение чистого пиратского клиента. Если пользователь скачивает зараженный клиент с сайта владельца вредоносного сервера, установка троянца в системе происходит после первого запуска игры.

Рассмотрим подробнее процесс заражения клиента. Игрок запускает официальный клиент Steam и выбирает сервер для игры. При подключении к вредоносному серверу задействуется одна из RCE-уязвимостей, в результате чего на компьютер игрока будет загружена, а затем выполнена троянская библиотека client.dll (Trojan.Belonard.1) или файл Mssv24.asi (Trojan.Belonard.5).

Попав на устройство, Trojan.Belonard.1 первым делом удаляет любые .dat файлы, находящиеся в одном каталоге с файлом процесса библиотеки. После чего она подключается к управляющему серверу fuztxhus.valve-ms[.]ru:28445 и отправляет ему шифрованный запрос на скачивание файла Mp3enc.asi (Trojan.Belonard.2). Сервер передает запрошенный файл в зашифрованном формате.

Скриншот расшифрованного пакета данных, полученного от сервера:

Массовое заражение игровых серверов Counter-Strike 1.6



Держатель вредоносного сервера использует уязвимости клиента игры и созданного им троянца как техническое обеспечение для своего бизнеса. Задача троянца заключается в том, чтобы проникнуть на устройство игрока и скачать вредоносное ПО, которое обеспечит автозапуск троянца в системе и его распространение на устройства других игроков. Для этого используются уязвимости Remote Code Execution (RCE): две такие уязвимости найдены в официальном клиенте игры и четыре в пиратском.

Массовое заражение игровых серверов Counter-Strike 1.6



Установившись в системе, Trojan.Belonard меняет список доступных игровых серверов в клиенте игры, а также создает на зараженном компьютере игровые прокси-серверы для распространения троянца. Как правило, на прокси-серверах – невысокий пинг, поэтому другие игроки видят их вверху списка серверов. Выбрав один из них, игрок попадает на вредоносный сервер и заражается Trojan.Belonard.

Благодаря такой схеме разработчику троянца удалось создать ботнет, занимающий значительную часть игровых серверов CS 1.6. По данным наших аналитиков, из порядка 5000 серверов, доступных из официального клиента Steam, 1951 оказались созданными троянцем Belonard. Это составляет 39% процентов игровых серверов. Сеть такого размера позволила разработчику троянца продвигать другие серверы за деньги, добавляя их в списки доступных серверов зараженных игровых клиентов.

P.S. Эффективной защиты от него нет! Обнаружить и удалить вирус на данный момент возможно Kaspersky IS/ ESET Nod32 10-11/Dr. Web


Просмотров: 21 | Дата создания: 6 августа 2019 г | Категория: Информация | Автор: support@hlds-cs.ru
Комментарии пользователей




Анализ сайта hlds-cs.ru Яндекс.Метрика Рейтинг@Mail.ru www.megastock.com