Категория:
Новости :: 24-11-2011, 21:44
Представители компании “Доктор Веб”, специализирующейся на разработке средств компьютерной безопасности, опубликовали предупреждение о новой угрозе для любителей игры Counter Strike.
Очередная опасность была описана ими так: в момент подключения к игровому серверу на машину пользователя пытаются проникнуть файлы svhost.exe и bot2.exe, не входящие в стандартный игровой пакет. К ним добавился файл admin.cmd. Эта ситуация ранее не наблюдалась в игре, поэтому у специалистов возникли все основания полагать, что речь идет об очередной кибер-атаке.
Было проведено расследование, в ходе которого раскрыт механизм передачи вредоносного программного обеспечения. Группа лиц, занимавшаяся кибер-атаками, создала сервер игры, задачей которого было распространение вируса - трояна Win32.HLLW.HLProxy. Примечательно, что раньше эту программу некоторые пользователи устанавливали на свои машины самостоятельно, т.к. ее позиционировали как некое полезное игровое приложение.
Способ распространения трояна был придуман весьма нетривиальный: во время подключения к игровому серверу игрок видел приветственное окно, демонстрирующее рекламные блоки или правила поведения в игре. Это окно являлась html-файлом. А в скрипте хакеров содержался скрытый элемент IFRAME, задачей которого было перенаправление пользователей на один из неофициальных серверов. С этих серверов на рабочие машины автоматически инсталлировался файл admin.cmd, внутри которого и находился вышеупомянутый троян. Задача, которую хакеры возлагали на свой вирус, заключалась в следующем: он активизировал на зараженных компьютерах эмулятор прокси-сервера, создающий на каждом компьютере несколько игровых серверов, с которых информация шла на сервера Valve. Как только поступало обращение к виртуальному серверу, шпионская программа перенаправляла его на подставной сервер хакеров, где игрок заражался вирусом-трояном.
Подобная схема позволила добиться того, что распространение вируса происходило ужасающими темпами, поистине в геометрической прогрессии. Кроме того, в троян была встроена возможность проводить DDoS-атаки. Их жертвами должны были стать официальные игровые сервера VALVE. В результате подобных действий сервера могли оказаться недоступными и оставаться в таком состоянии достаточно длительное время. Специалисты выдвинули предположение, что целью распространения вредоносного программного обеспечения могло являться желание хакеров получить деньги за подключения игроков, а также прямые манипуляции путем “обрушения” игровых серверов, чем-то не угодивших злоумышленникам. Специалисты по информационной безопасности призывают всех игроков быть предельно внимательными и пользоваться современными антивирусами. Кроме того, не следует соглашаться на установку неизвестных и подозрительных исполняемых файлов на компьютер. В настоящее время вирусы все еще присутствуют на некоторых игровых серверах.
