- Популярні ігри «на службі» вірусописьменників Зловмисники вже використовують можливості самих ігор...
- Віруси як зброя конкурентної боротьби на ринку ігор
Популярні ігри «на службі» вірусописьменників
Зловмисники вже використовують можливості самих ігор для поширення шкідливих програм.
Зазвичай при з'єднанні з сервером Counter-Strike програма-клієнт скачує з віддаленого вузла компоненти, відсутні на клієнтській машині, але використовувані в грі.
В ході проведеного в 2001 році аналітиками компанії «Доктор Веб» розслідування вдалося встановити наступне. Спочатку групою зловмисників був створений ігровий сервер Counter-Strike, розповсюджував троянську програму Win32.HLLW.HLProxy (До цього моменту цей троянець взагалі поширювався серед шанувальників Counter-Strike в якості «корисного» додатка, тому багато гравців самостійно скачали і встановили його на свій ПК).
Технологія «роздачі» троянця вельми цікава: при будь-якому підключенні до ігрового сервера гравцеві демонструється спеціальне вікно вітання MOTD, в якому може бути присутнім реклама сервера або будь-які встановлені його адміністрацією правила. Вміст цього вікна є HTML-файл. Створений зловмисниками файл MOTD містить прихований компонент IFRAME, за допомогою якого виконувалося перенаправлення на один з належних їм серверів. З нього, в свою чергу, завантажувався і встановлювався на комп'ютер жертви Win32.HLLW.HLProxy .
Основне призначення троянця полягає в тому, що він запускає на комп'ютері гравця проксі-сервер, що емулює на одній фізичній машині кілька ігрових серверів Counter-Strike і передає відповідну інформацію на сервери VALVE. При зверненні до семуліровать троянцем ігрового сервера програма-клієнт перекидалася на справжній ігровий сервер зловмисників, звідки гравець тут же отримував троянця Win32.HLLW.HLProxy .
Крім цього, троянець має функціоналом, що дозволяє організовувати DDoS-атаки на ігрові сервери і сервери VALVE, завдяки чому значна їх частина в різний час могла опинитися недоступна. Можна припустити, що однією з цілей зловмисників був збір грошей з власників ігрових серверів за підключення до них нових гравців, а також DDoS-атаки на «неугодні» ігрові сервери.
Поширення вірусів під виглядом ігор для Android-пристроїв
Ще один аспект, на якому «грають» зловмисники, - довіру користувачів до ігор. так Android.Elite.1.origin , Що відноситься до класу програм-вандалів, поширюється під виглядом популярних додатків, в тому числі ігор.
При запуску Android.Elite.1.origin обманним шляхом намагається отримати доступ до функцій адміністратора мобільного пристрою, які нібито необхідні для завершення коректної установки програми. У разі успіху троянець приступає до негайного форматування підключеної SD-карти, видаляючи всі зберігаються на ній дані. Після цього шкідлива програма очікує запуску ряду популярних додатків для спілкування (месенджерів).
Крім форматування SD-карти і часткової блокування коштів комунікації, Android.Elite.1.origin з періодичністю в 5 секунд розсилає по всіх знайдених в телефонній книзі контактів СМС, і рахунок постраждалих власників заражених мобільних пристроїв може бути спустошений за лічені хвилини і навіть секунди!
Віруси як зброя конкурентної боротьби на ринку ігор
Конкуренція серед власників ігрових серверів висока, особливо якщо мова йде про ресурси, що входять в топ рейтингу Gametracker. У лютому 2012 з'явилося кілька шкідливих додатків, призначених для виведення з ладу ігрових серверів, що працюють на движку GoldSource (в тому числі Counter-Strike, Half-Life). Одне з них, доданий в вірусну базу Dr.Web під ім'ям Flooder.HLDS, являє собою програму, яка емулює підключення до ігрового сервера великого числа гравців, що може викликати зависання і збої в його роботі.
Інша шкідлива програма, Flooder.HLDS.2, здатна відправляти на сервер певний пакет даних, що викликають відмову серверного програмного забезпечення.
Обидві програми набули широкого поширення на форумах околоігровой тематики, і число атак на ігрові сервери за допомогою даних програм протягом місяця значно зросла.
Цікавий факт: використання подібних програм-шкідників може завдати шкоди самим зловмисникам, які намагаються вивести з ладу ігрові сервери, - в розпорядженні фахівців «Доктор Веб» є завантажені з ігрових форумів екземпляри додатку Flooder.HLDS.2, яке при запуску інфікує комп'ютер троянськими програмами BackDoor.DarkNess.47 і Trojan.Wmchange.14. Перша з них реалізує функції бекдор і DDoS-бота, другий троянець підміняє в пам'яті інфікованого ПК номера гаманців при операціях з електронною валютою WebMoney з метою крадіжки грошей з рахунку користувача. Таким чином, горе-зловмисники самі стають жертвами вірусів і піддають свої комп'ютери небезпеки зараження.