Аналитики компании «Доктор Веб» изучили малварь Trojan.Belonard (далее Belonard), которая проникает на компьютеры жертв через уязвимости клиента игры Counter-Strike 1.6. Исследователи отмечают, что несмотря на почтенный возраст игры, она по-прежнему имеет немало поклонников: количество игроков с официальными клиентами CS 1.6 в среднем достигает 20 000 человек, а общее число зарегистрированных в Steam игровых серверов превышает 5000.

При этом продажа, аренда и раскрутка серверов давно стали настоящим бизнесом. Многие владельцы популярных серверов зарабатывают за счет игроков, продавая различные привилегии: защиту от бана, доступ к оружию и многое другое. Но если одни держатели серверов рекламируются самостоятельно, то некоторые платят за раскрутку третьим лицам.

Покупая такую услугу, заказчики часто не знают, какие методы используются для продвижения их серверов. Как выяснили специалисты «Доктор Веб», разработчик под ником Belonard прибегал к нелегальным средствам раскрутки: его сервер заражал устройства игроков трояном и использовал их для продвижения других игровых серверов.

В качестве технического обеспечения своего бизнеса оператор вредоносного сервера использует уязвимости клиента игры и созданную им малварь. Задача трояна заключается в том, чтобы проникнуть на устройство игрока и скачать дополнительное вредоносное ПО, которое обеспечит автозапуск малвари в системе и ее распространение на устройства других игроков. Для этих задач используются RCE-уязвимости: две такие проблемы были найдены в официальном клиенте игры и еще четыре в пиратском.

Если клиент игры лицензионный, троян проникает на устройство пользователя через RCE-уязвимость, эксплуатируемую вредоносным сервером, после чего обеспечивает себе установку в системе. По такому же сценарию происходит заражение чистого пиратского клиента. Если же пользователь скачивает зараженный клиент с сайта владельца вредоносного сервера, установка трояна происходит после первого запуска игры. В результате на компьютер игрока будет загружена, а затем выполнена троянская библиотека client.dll (Trojan.Belonard.1) или файл Mssv24.asi (Trojan.Belonard.5). Автозапуск в официальном или пиратском клиенте происходит за счет особенности работы клиента Counter-Strike: при запуске игра автоматически загружает любые файлы с расширением .asi из корня игры.

Проникнув в систему Belonard меняет список доступных игровых серверов в клиенте игры, а также создает на зараженном компьютере игровые прокси-серверы для дальнейшего распространения малвари. Как правило, на прокси-серверах невысокий пинг, поэтому другие игроки видят их вверху списка серверов. Выбирая один из них, игрок попадает на вредоносный сервер и тоже заражается Belonard.

В итоге оператору трояна удалось создать настоящий ботнет, распространившийся на значительную часть игровых серверов CS 1.6. По данным аналитиков, из порядка 5000 серверов, доступных из официального клиента Steam, 1951 оказался создан трояном Belonard (то есть 39% всех игровых серверов). Сеть такого размера позволила разработчику малвари продвигать другие серверы за деньги.

Стоит сказать, что это не первый подобный случай. Еще в 2011 году эксперты «Доктор Веб» описывали похожую вредоносную кампанию против пользователей CS 1.6. Тогда троян тоже попадал на устройство игрока через вредоносный сервер, однако в том случае пользователь должен был подтвердить загрузку вредоносных файлов, а на этот раз малварь проникает в систему незаметно для жертвы.

Чсть прокси-серверов, созданных трояном, можно определить по названию: в графе «Game» будет строка вида «Counter-Strike n», где n может являться числом от 1 до 3

Исследователи уже уведомили об этих и других уязвимостях разработчика игры, компанию Valve. Ее представители сообщили о том, что они работают над этой проблемой, но на данный момент нет информации о сроках, в которые уязвимости будут устранены.

Для обезвреживания трояна и прекращения работы ботнета специалисты «Доктор Веб» приняли ряд мер. Сообщается, что при содействии регистратора REG.ru, используемые разработчиком малвари домены были сняты с делегирования. Поскольку перенаправление с игровых прокси-серверов происходило по доменному имени, игроки CS 1.6 больше не будут попадать на вредоносный сервер и заражаться трояном. Это также нарушило работу практически всех модулей малвари.

Кроме того, в вирусную базу компании были добавлены записи для детектирования всех компонентов трояна, а также ведется мониторинг ботов, переключившихся на использование DGA. После принятия всех мер по обезвреживанию ботнета синкхол-сервер зарегистрировал 127 зараженных клиентов. По данным телеметрии компании, антивирусом Dr.Web были обнаружены модули трояна Belonard на устройствах 1004 пользователей.

Исследователи резюмируют, что на данный момент ботнет можно считать обезвреженным, но для обеспечения безопасности клиентов Counter-Strike все же необходимо закрытие существующих уязвимостей со стороны разработчика игры.

Источник: xakep.ru