Организация «Доктор Веб» рассказала нашла свежую модель инфицирования ПК клиентов вредным ПО
Сейчас мишенью мошенников стали приверженцы распространенной игры Контр страйк 1.6: в момент включения клиентов к одному из игровых компьютеров на их ПК начинают загружаться документы со скрытыми в них троянскими платформами.
Как правило при объединении с компьютером Контр страйк программа-клиент закачивает с удаленного участка детали, недостающие на абонентной автомашине, однако применяемые в игре. В этом же случае на дисплее ПК клиента открывается обычное окно интернет-браузера, предлагающее скачать 2 выполняемых документа: svhost.exe и bot2.exe, и документ под названием admin.cmd (в самом начале 2014 г этот документ расступался под названием Контр страйк.cmd). Такое действие необычно для ПО игры Контр страйк, заметили в «Врач Web».
В процессе произведенного специалистами «Врач Web» следствия удалось установить следующее. Первоначально компанией мошенников был основан игровой компьютер Контр страйк, разносивший троянскую платформу Win32.HLLW.HLProxy (чуть раньше данный вирус вообще разносился среди почитателей Контр страйк в роли «необходимого» дополнения, потому очень многие собственноручно закачали и определили его на собственный ПК).
По данным «Врач Web», система «раздачи» вируса была очень любопытной: при любом включении к игровому компьютеру игроку показывается особое окно приветствия MOTD, в котором может находиться реклама компьютера либо какие-нибудь поставленные его администрацией требования. Содержание данного окна представляет из себя HTML-файл. Разработанный злодеями документ MOTD имеет сокрытый элемент IFRAME, при помощи которого проделывался редирект на один из принадлежащих им компьютеров. С него, к тому же, грузился и ставился на ПК жертвы документ admin.cmd, имеющий вируса Win32.HLLW.HLProxy.
Главное предназначение вируса состоит в том, что он пускает на ПК игрока прокси-сервер, эмулирующий на одной физической автомашине несколько игровых компьютеров Контр страйк и представляющий аналогичную информацию на компьютеры VALVE. При послании к сэмулированному трояном игровому компьютеру программа-клиент перекидывалась на реальный игровой компьютер мошенников, откуда игрок сразу же приобретал вируса Win32.HLLW.HLProxy. Так что, число инфицированных ПК вырастало в арифметической прогрессии.
Кроме этого, вирус владеет перечнем возможностей, позволяющим создавать DDoS-атаки на игровые компьютеры и компьютеры VALVE, из-за чего существенная их часть в различное время могла очутиться недосягаема. Как подразумевают в «Врач Web», одной из задач мошенников считался сбор денежных средств с обладателей игровых компьютеров за включение к ним свежих игроков, и DDoS-атаки на «неугодные» игровые компьютеры. Сейчас, кроме фактически вируса, подключавшимся к компьютеру игрокам расступаются особые «презенты».
Так, произведенный экспертами «Врач Web» тест обнаруженных опасностей продемонстрировал, что в документе svhost.exe прячется троян-кликер Trojan.Click1.55929, крутящий характеристики популярности веб-сайта w-12.ru и сопряженный с партнерской платформой tak.ru. Угодив на зараженный ПК, вирус создает собственную копию под названием svh0st.exe в папке C:Program FilesCommon Files, пускается на выполнение и начинает применять положенный в него создателями перечень возможностей. В документе bot2.exe «скрывается» прекрасно знаменитый Trojan.Mayachok.1.
Сейчас нумерации этих опасностей добавлены в вирусные базы Dr.Web. Приверженцам игры Контр страйк в организации «Врач Web» советуют показывать бдительность: не стоит соглашаться с предложением ОС о загрузке и установке на ПК каких-то выполняемых документов.