Dr.Web - Ігри з вірусами

1. Популярні ігри «на службі» вірусописьменників Зловмисники вже використовують можливості самих ігор...
2. Віруси як зброя конкурентної боротьби на ринку ігор

Популярні ігри «на службі» вірусописьменників

Зловмисники вже використовують можливості самих ігор для поширення шкідливих програм.

Зазвичай при з'єднанні з сервером Counter-Strike програма-клієнт скачує з віддаленого вузла компоненти, відсутні на клієнтській машині, але використовувані в грі.

В ході проведеного в 2001 році аналітиками компанії «Доктор Веб» розслідування вдалося встановити наступне. Спочатку групою зловмисників був створений ігровий сервер Counter-Strike, розповсюджував троянську програму Win32.HLLW.HLProxy (До цього моменту цей троянець взагалі поширювався серед шанувальників Counter-Strike в якості «корисного» додатка, тому багато гравців самостійно скачали і встановили його на свій ПК).

Технологія «роздачі» троянця вельми цікава: при будь-якому підключенні до ігрового сервера гравцеві демонструється спеціальне вікно вітання MOTD, в якому може бути присутнім реклама сервера або будь-які встановлені його адміністрацією правила. Вміст цього вікна є HTML-файл. Створений зловмисниками файл MOTD містить прихований компонент IFRAME, за допомогою якого виконувалося перенаправлення на один з належних їм серверів. З нього, в свою чергу, завантажувався і встановлювався на комп'ютер жертви Win32.HLLW.HLProxy .

Основне призначення троянця полягає в тому, що він запускає на комп'ютері гравця проксі-сервер, що емулює на одній фізичній машині кілька ігрових серверів Counter-Strike і передає відповідну інформацію на сервери VALVE. При зверненні до семуліровать троянцем ігрового сервера програма-клієнт перекидалася на справжній ігровий сервер зловмисників, звідки гравець тут же отримував троянця Win32.HLLW.HLProxy .

Крім цього, троянець має функціоналом, що дозволяє організовувати DDoS-атаки на ігрові сервери і сервери VALVE, завдяки чому значна їх частина в різний час могла опинитися недоступна. Можна припустити, що однією з цілей зловмисників був збір грошей з власників ігрових серверів за підключення до них нових гравців, а також DDoS-атаки на «неугодні» ігрові сервери.

Поширення вірусів під виглядом ігор для Android-пристроїв

Ще один аспект, на якому «грають» зловмисники, - довіру користувачів до ігор. так Android.Elite.1.origin , Що відноситься до класу програм-вандалів, поширюється під виглядом популярних додатків, в тому числі ігор.

При запуску Android.Elite.1.origin обманним шляхом намагається отримати доступ до функцій адміністратора мобільного пристрою, які нібито необхідні для завершення коректної установки програми. У разі успіху троянець приступає до негайного форматування підключеної SD-карти, видаляючи всі зберігаються на ній дані. Після цього шкідлива програма очікує запуску ряду популярних додатків для спілкування (месенджерів).

Крім форматування SD-карти і часткової блокування коштів комунікації, Android.Elite.1.origin з періодичністю в 5 секунд розсилає по всіх знайдених в телефонній книзі контактів СМС, і рахунок постраждалих власників заражених мобільних пристроїв може бути спустошений за лічені хвилини і навіть секунди!

Віруси як зброя конкурентної боротьби на ринку ігор

Конкуренція серед власників ігрових серверів висока, особливо якщо мова йде про ресурси, що входять в топ рейтингу Gametracker. У лютому 2012 з'явилося кілька шкідливих додатків, призначених для виведення з ладу ігрових серверів, що працюють на движку GoldSource (в тому числі Counter-Strike, Half-Life). Одне з них, доданий в вірусну базу Dr.Web під ім'ям Flooder.HLDS, являє собою програму, яка емулює підключення до ігрового сервера великого числа гравців, що може викликати зависання і збої в його роботі.

Інша шкідлива програма, Flooder.HLDS.2, здатна відправляти на сервер певний пакет даних, що викликають відмову серверного програмного забезпечення.

Обидві програми набули широкого поширення на форумах околоігровой тематики, і число атак на ігрові сервери за допомогою даних програм протягом місяця значно зросла.

Цікавий факт: використання подібних програм-шкідників може завдати шкоди самим зловмисникам, які намагаються вивести з ладу ігрові сервери, - в розпорядженні фахівців «Доктор Веб» є завантажені з ігрових форумів екземпляри додатку Flooder.HLDS.2, яке при запуску інфікує комп'ютер троянськими програмами BackDoor.DarkNess.47 і Trojan.Wmchange.14. Перша з них реалізує функції бекдор і DDoS-бота, другий троянець підміняє в пам'яті інфікованого ПК номера гаманців при операціях з електронною валютою WebMoney з метою крадіжки грошей з рахунку користувача. Таким чином, горе-зловмисники самі стають жертвами вірусів і піддають свої комп'ютери небезпеки зараження.