Обогрев коттеджаРоссийская антивирусная компания «Доктор Веб», сообщила об очередной угрозе. При подключении к одному из онлайн серверов игры Counter-Strike 1.6, выскакивало окошко с предложением скачать на свой компьютер несколько файлов.
При соединении с сервером, программа-клиент действительно скачивает некоторые данные, которые отсутствуют на компьютере пользователя но используются в игре. Но в этом случае, появлялось стандартное окно браузера, которое предлагало скачать два ехе файла - svhost.exe и bot2.exe. А вместе с ними предлагался файл с именем admin.cmd. Заметим, что такое поведение игры является нетипичным для серверов игры Counter-Strike.
Аналитики компании «Доктор Веб» провели расследование, в ходе которого удалось выяснить, что неизвестной группой сетевых злоумышленников был создан игровой сервер Counter-Strike, через который они распространяли своей троян Win32.HLLW.HLProxy. Не так давно, этот троян вообще «в наглую» предлагался любителям Counter-Strike как полезное дополнение к игре, из-за чего многие игроки самостоятельно его установили на свой компьютер. Очень интересна технология раздачи трояна.
При каждом подключении к игровому серверу, на экране возникает специальное окошко приветствия MOTD, в котором присутствует безобидный текст, вроде рекламы сервера, либо изменений произошедших за какой-то промежуток времени. HTML-файл MOTD содержит в себе скрытую часть кода IFRAME, который и перенаправляет пользователя на один из контролируемых злоумышленниками серверов, с которого и устанавливался на машину пользователя файл admin.cmd, содержащий троян Win32.HLLW.HLProxy. Основной функцией трояна является запуск на машине владельца прокси-сервера, который эмулировал на одном компьютере, несколько виртуальных серверов игры Counter-Strike и передавал соответствующую информацию серверам Valve. При обращении игрока к такому виртуальному серверу, он перенаправлялся на физический сервер злоумышленников, где компьютер заражался трояном Win32.HLLW.HLProxy.
Таким образом, количество зараженных машин увеличивалось в геометрической прогрессии. Кроме этого, троян позволяет организовывать с помощью инфицированных машин DDoS-атаки, на серверы каких-либо ресурсов. Предполагается, что основной целью злоумышленников является сбор денег с владельцев серверов игры Counter-Strike, на которые перенаправлялся поток игроков с установленным трояном. А также возможные DDoS-атаки, производимые на сервера чем-то не угодивших им компаний. В настоящее время появились дополнительные «подарки» к трояну. Например в файле svhost.exe, запрятан троян под названием Trojan.Click1.55929, который накручивает статистику посещений сайта w-12.ru,через партнерскую программу tak.ru. Файл bot2.exe скрывает в своих недрах небезызвестную троянскую программу Trojan.Mayachok.1.
