Większość graczy podczas uruchamiania gry raczej nie martwi się, że ich system może zostać zainfekowany za pośrednictwem klienta gry. Nowe odkrycia dowodzą jednak, że własnie tak się dzieje i około 39 procent wszystkich serwerów Counter-Strike 1.6 infekuje komputery użytkowników poprzez luki zabezpieczeń w kliencie gry. Counter-Strike 1.6 może i ma już niemal 20 lat, ale wciąż cieszy się sporym zainteresowaniem graczy, tak samo żywy jest rynek serwerów. W związku z tym zapotrzebowaniem, firmy hostingowe udostępniają serwery gier w abonamencie oraz oferują inne usługi, jak promocja serwerów swoich klientów, co ma zwiększać ich popularność. W raporcie dostarczonym przez Dr. Web analitycy wyjaśniają, jak twórca wirusa wykorzystuje luki w grze, botnet Belonard Trojan oraz zainfekowane serwery do promocji serwerów gier swoich klientów i wciąga coraz więcej ofiar do botnetu. W obecnej chwili botnet ten obejmuje 39 procent z 5000 serwerów Counter-Strike 1.6, które ciągle zarażają podłączonych graczy.
Nie należy się spodziewać, że Valve w jakikolwiek sposób zareaguje na odkryty problem.
Dzięki takim działaniom, twórca trojana był w stanie stworzyć botnet obejmujący ogromną część serwerów CS 1.6. "Według naszej analizy, spośród 5000 serwerów dostępnych na oficjalnej liście Steam, 1951 zostało utworzonych przez Belonard Trojan. To 39 procent wszystkich serwerów. Sieć o tej skali pozwala twórcy Trojana na promowanie za pieniądze innych serwerów, dodając je do listy dostępnych serwerów w zainfekowanych klientach gry" - pisze Dr. Web. Trojan infekuje klienta gry podczas zwykłych odwiedzin na serwerze, a ponieważ klient gry Counter-Strike 1.6 nie jest już oficjalnie wspierany, to potencjalnie wszyscy gracze tego tytułu są ofiarami botnetu. Gracz, który uruchamia oficjalnego klienta gry i z dostępnej listy wybiera serwer, który jest zainfekowany. Poprzez zdalne wykonywanie kodu pobierane są dodatkowe biblioteki na komputer ofiary. Zależnie od wykorzystanej podatności na zagrożenia, pobierane są client.dll (Trojan.Belonard.1) albo Mssv24.asi (Trojan.Belonard.5).
Po zainstalowaniu trojana, w systemie pojawia się nowa usługa Windows DHCP Service, która uruchamia trojana ze ścieżki C:WindowsSystem32WinDHCP.dll. Następnie następuje podmiana plików gry w kliencie, by promować stronę atakującego, gdzie można pobrać zainfekowanego klienta gry, jak również do promocji fałszywych serwerów. Gdy niezainfekowany gracz spróbuje wejść na taki serwer, zostanie przekierowany na niebezpieczny serwer, który dokona instalacji Belonard Trojan. Gdy gracz rozpocznie grę, jego nick zostanie zamieniony na adres strony z zainfekowanym klientem gry, a w menu gry będzie widoczny odnośnik do społeczności VKontakte CS 1.6. Dzięki współpracy z REG.ru, Dr. Web był w stanie zamknąć niebezpieczne witryny, jednak botnet działa i będzie dalej zarażał, jako że nie ma co liczyć na Valve w tej sprawie.
Pokaż / Dodaj komentarze do: Niemal połowa serwerów CS 1.6 jest częścią botnetu i zaraża trojanem