Главная  Форум  Банлист  Галерея  Правила
История мини чата Написать
[ Июль 13, 20:25 ] OHOTO/I/IE_BACCEPMAH: Ох как... Крайний раз я был тут 9 лет назад... ))))

[ Апр 07, 21:17 ] Trooper84: мне в след. году только =)
[ Февр 09, 17:20 ] motte: я кстате админю до сих пор ксс

[ Февр 09, 17:19 ] motte: Хохо, скоро мне 40 лет))
[ Авг 08, 21:22 ] Trooper84: >.<
[ Авг 06, 19:55 ] YouRock: Старпёры, ай да по очереди рассчитайсь!)
[ Авг 05, 08:16 ] PusHk|N: Надож, я вспомнил пароль от своего акка

 
Ответить в данную темуНачать новую тему
> «Доктор Веб» предупреждает о троянской атаке на пользователей Counter-Strike
Deomon(RUS)
сообщение 10.8.2011, 1:36
Сообщение #1


Активный участник
****

Группа: Пользователи
Сообщений: 594
Регистрация: 25.6.2008
Пользователь №: 187
Спасибо сказали: 16 раз




5 августа 2011 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщает об обнаружении новой схемы заражения компьютеров пользователей вредоносным ПО. На этот раз целью злоумышленников стали любители популярной игры Counter-Strike 1.6: в момент подключения пользователей к одному из игровых серверов на их ПК начинают загружаться файлы со скрытыми в них троянскими программами.

Обычно при соединении с сервером Counter-Strike программа-клиент скачивает с удаленного узла компоненты, отсутствующие на клиентской машине, но используемые в игре. В данном же случае на экране компьютера пользователя открывается стандартное окно браузера, предлагающее скачать два исполняемых файла: svhost.exe и bot2.exe, а также файл с именем admin.cmd (в начале этого года данный файл раздавался под именем Counter-Strike.cmd). Следует отметить, что такое поведение нестандартно для программного обеспечения игры Counter-Strike





В ходе проведенного аналитиками компании «Доктор Веб» расследования удалось установить следующее. Изначально группой злоумышленников был создан игровой сервер Counter-Strike, распространявший троянскую программу Win32.HLLW.HLProxy (некоторое время назад этот троянец вообще распространялся среди поклонников Counter-Strike в качестве «полезного» приложения, поэтому многие самостоятельно скачали и установили его на свой ПК).

Технология «раздачи» троянца была весьма интересной: при любом подключении к игровому серверу игроку демонстрируется специальное окно приветствия MOTD, в котором может присутствовать реклама сервера или какие-либо установленные его администрацией правила. Содержимое этого окна представляет собой HTML-файл. Созданный злоумышленниками файл MOTD содержит скрытый компонент IFRAME, с помощью которого выполнялся редирект на один из принадлежащих им серверов. С него, в свою очередь, загружался и устанавливался на компьютер жертвы файл admin.cmd, содержащий троянца Win32.HLLW.HLProxy.

Основное назначение троянца заключается в том, что он запускает на компьютере игрока прокси-сервер, эмулирующий на одной физической машине несколько игровых серверов Counter-Strike и передающий соответствующую информацию на серверы VALVE. При обращении к сэмулированному троянцем игровому серверу программа-клиент перебрасывалась на настоящий игровой сервер злоумышленников, откуда игрок тут же получал троянца Win32.HLLW.HLProxy. Таким образом, количество зараженных компьютеров росло в геометрической прогрессии. Пример работы троянца показан на следующей иллюстрации, демонстрирующей несколько игровых серверов, якобы запущенных на инфицированной машине с одним IP-адресом:



Помимо этого, троянец обладает функционалом, позволяющим организовывать DDoS-атаки на игровые серверы и серверы VALVE, благодаря чему значительная их часть в разное время могла оказаться недоступна. Можно предположить, что одной из целей злоумышленников являлся сбор денег с владельцев игровых серверов за подключение к ним новых игроков, а также DDoS-атаки на «неугодные» игровые серверы. В настоящее время, помимо собственно троянца, подключавшимся к серверу игрокам раздаются дополнительные «подарки».

Так, проведенный специалистами «Доктор Веб» анализ выявленных угроз показал, что в файле svhost.exe скрывается троянец-кликер Trojan.Click1.55929, накручивающий показатели посещаемости сайта w-12.ru и связанный с партнерской программой http://tak.ru. Попав на инфицированный компьютер, троянец создает свою копию с именем SVH0ST.EXE в папке C:\Program Files\Common Files, запускается на исполнение и начинает использовать заложенный в него разработчиками функционал. В файле bot2.exe «прячется» уже хорошо известный Trojan.Mayachok.1, о котором мы подробно писали в одной из предыдущих публикаций.

В настоящее время сигнатуры этих угроз добавлены в вирусные базы Dr.Web. Любителям игры Counter-Strike мы рекомендуем проявлять внимательность: не следует соглашаться с предложением операционной системы о загрузке и установке на компьютер каких-либо исполняемых файлов.

Компания «Доктор Веб» выражает искреннюю благодарность нашему вирусхантеру Михаилу Мальцеву за помощь в обнаружении угрозы.


Взято с сайта компания «Доктор Веб».
http://news.drweb.com/?i=1816&c=5&lng=ru&p=0


--------------------


Надо быть добрее.

Твоя аура идёт впереди тебя. © Derevnia








Спасибо сказали:
Перейти в начало страницы
 
+Цитировать сообщение
Google
сообщение
IP: Скрыт


Перейти в начало страницы
 
 
Buckstabue
сообщение 10.8.2011, 6:23
Сообщение #2


Частый гость
**

Группа: Пользователи
Сообщений: 158
Регистрация: 22.1.2010
Пользователь №: 10518
Спасибо сказали: 1 раз




О, это я уж давно заметил. Именно по этому я не снимаю галочку "всегда спрашивать при открытии этого типа файлов". Хотя не знаю, что будет, если я один раз сниму эту галочку. Может только этот экзешник будет запускаться без подтверждения :-?


--------------------
тинда-ринда-тиндарараринда =)
Перейти в начало страницы
 
+Цитировать сообщение
<3 ejkeke
сообщение 10.8.2011, 10:00
Сообщение #3


yMaTHblu* e]I{
*****

Группа: Пользователи
Сообщений: 1132
Регистрация: 13.7.2009
Из: Ростов-на-Дону
Пользователь №: 1360
Спасибо сказали: 46 раз




поэтому наш сервак и падал так часто


--------------------
пока течет мой любимый кетчуп^^

Перейти в начало страницы
 
+Цитировать сообщение
Noob_01
сообщение 10.8.2011, 15:54
Сообщение #4


Активный участник
****

Группа: Пользователи
Сообщений: 890
Регистрация: 6.1.2009
Из: Москва
Пользователь №: 722
Спасибо сказали: 23 раза




Цитата(Buckstabue @ 10.8.2011, 7:23) *
О, это я уж давно заметил. Именно по этому я не снимаю галочку "всегда спрашивать при открытии этого типа файлов". Хотя не знаю, что будет, если я один раз сниму эту галочку. Может только этот экзешник будет запускаться без подтверждения :-?


Да, без подтверждения. У тебя получается ХР, вот тебе статья - http://support.microsoft.com/kb/883260/ru
Перейти в начало страницы
 
+Цитировать сообщение
Invis
сообщение 11.8.2011, 18:08
Сообщение #5


Повелитель
*****

Группа: Главные администраторы
Сообщений: 2762
Регистрация: 20.4.2008
Из: Москва, ЦАО
Пользователь №: 1
Спасибо сказали: 143 раза




Цитата(<3 ejkeke @ 10.8.2011, 11:00) *
поэтому наш сервак и падал так часто

Боюсь спросить - где связь?
Выше приведён рассказ об образовании ботнета, точнее как он появился когда-то.
Но на русклане никогда ничего подобного не скачивалось и не присутствовало.
В первую очередь ботнет был создан для создания кучи фейк-серверов.


--------------------
Нервный не тот, кто барабанит пальцами по столу, а тот кого это раздражает.

Если ты плюнешь на общество - общество утрётся. Если общество в ответ плюнет на тебя - ты утонешь.
Перейти в начало страницы
 
+Цитировать сообщение
<3 ejkeke
сообщение 11.8.2011, 18:15
Сообщение #6


yMaTHblu* e]I{
*****

Группа: Пользователи
Сообщений: 1132
Регистрация: 13.7.2009
Из: Ростов-на-Дону
Пользователь №: 1360
Спасибо сказали: 46 раз




я про то, что некоторые игроки когда конектились, падал сервак. я предполагаю что причина могла быть из-за того, что кто то эту шнягу подцепил


--------------------
пока течет мой любимый кетчуп^^

Перейти в начало страницы
 
+Цитировать сообщение
Invis
сообщение 11.8.2011, 18:43
Сообщение #7


Повелитель
*****

Группа: Главные администраторы
Сообщений: 2762
Регистрация: 20.4.2008
Из: Москва, ЦАО
Пользователь №: 1
Спасибо сказали: 143 раза




Цитата(<3 ejkeke @ 11.8.2011, 19:15) *
я про то, что некоторые игроки когда конектились, падал сервак. я предполагаю что причина могла быть из-за того, что кто то эту шнягу подцепил

Нет, причина была в одном из багов хлдс.


--------------------
Нервный не тот, кто барабанит пальцами по столу, а тот кого это раздражает.

Если ты плюнешь на общество - общество утрётся. Если общество в ответ плюнет на тебя - ты утонешь.
Перейти в начало страницы
 
+Цитировать сообщение
N.eX_Maximus
сообщение 11.8.2011, 20:46
Сообщение #8


Частый гость
**

Группа: Пользователи
Сообщений: 170
Регистрация: 20.6.2010
Из: г.Междуреченск
Пользователь №: 11103
Спасибо сказали: 17 раз




Цитата(Invis @ 11.8.2011, 22:43) *
Нет, причина была в одном из багов хлдс.

я малость с тобой не соглашусь, многие механики и электронщики(сообщество) пытаются найти истину(причину) что могло вывести из строя тот или иной механизм или систему( а не то что вышло из строя) при существующей системе наработке на отказ , к примеру --- в игровой процесс вмешались два геймера через скайп(событие вмешательства) карта была трейн(мне команда не поверила что в игре что то не так), потом игровой админ банит одного из них за WH, потом второй геймер жалуется( в голосовой чат) за что бан его другу(мы такие пушистые болтали во время игры через скайп" это же не WH, а вы типа лохи))))),
мной было на писано сообщение в теме за что бан( как обвинитель) то что эти два ламера были не честны во время игры, и мне за это предупреждения( не особо важно для меня), и таких причин событий за 24 часа очень много.
любое вмешательство в механический , электронно-механический или программный процесс итд , что может повлиять на процесс( по определению ошибок ввод/вывод и так достаточно, + сторонний процесс)может вывести из строя любой механизм или группу машин или систему
Перейти в начало страницы
 
+Цитировать сообщение
SainT
сообщение 11.8.2011, 21:02
Сообщение #9


Пенсионер
*****

Группа: Пользователи
Сообщений: 1294
Регистрация: 8.10.2009
Из: Moscow
Пользователь №: 1790
Спасибо сказали: 40 раз




блин у меня стоит этот антивирус и я не парюсь! ))


--------------------
Перейти в начало страницы
 
+Цитировать сообщение
Invis
сообщение 12.8.2011, 11:25
Сообщение #10


Повелитель
*****

Группа: Главные администраторы
Сообщений: 2762
Регистрация: 20.4.2008
Из: Москва, ЦАО
Пользователь №: 1
Спасибо сказали: 143 раза




Цитата(N.eX_Maximus @ 11.8.2011, 21:46) *
я малость с тобой не соглашусь, многие механики и электронщики(сообщество) пытаются найти истину(причину) что могло вывести из строя тот или иной механизм или систему( а не то что вышло из строя) при существующей системе наработке на отказ , к примеру --- в игровой процесс вмешались два геймера через скайп(событие вмешательства) карта была трейн(мне команда не поверила что в игре что то не так), потом игровой админ банит одного из них за WH, потом второй геймер жалуется( в голосовой чат) за что бан его другу(мы такие пушистые болтали во время игры через скайп" это же не WH, а вы типа лохи))))),
мной было на писано сообщение в теме за что бан( как обвинитель) то что эти два ламера были не честны во время игры, и мне за это предупреждения( не особо важно для меня), и таких причин событий за 24 часа очень много.
любое вмешательство в механический , электронно-механический или программный процесс итд , что может повлиять на процесс( по определению ошибок ввод/вывод и так достаточно, + сторонний процесс)может вывести из строя любой механизм или группу машин или систему

Это тут при чём?

Сервер падал изз бага в движке HLDS, а именно баг автобая.
Достаточно было написать в консоли, перед подключением к серверу: "cl_setautobuy bolshaya_dlinnaya_stroka_dlinoy_bolshe_32_simvolov", и при заходе сервак падал. А если точнее - переполнялся буфер сервера. Далее именно на сервере данный баг был исправлен, и теперь подобным образом его не уронить. Причина найдена. Следствие известно. Причина устранена.

P.S. В твой текст вник далеко не с первой попытки. И-то не до конца.


--------------------
Нервный не тот, кто барабанит пальцами по столу, а тот кого это раздражает.

Если ты плюнешь на общество - общество утрётся. Если общество в ответ плюнет на тебя - ты утонешь.


Спасибо сказали:
Перейти в начало страницы
 
+Цитировать сообщение
Google
сообщение
IP: Скрыт


Перейти в начало страницы
 
 
N.eX_Maximus
сообщение 12.8.2011, 12:30
Сообщение #11


Частый гость
**

Группа: Пользователи
Сообщений: 170
Регистрация: 20.6.2010
Из: г.Междуреченск
Пользователь №: 11103
Спасибо сказали: 17 раз




Цитата(Invis @ 12.8.2011, 15:25) *
Это тут при чём?

Сервер падал изз бага в движке HLDS, а именно баг автобая.
Достаточно было написать в консоли, перед подключением к серверу: "cl_setautobuy bolshaya_dlinnaya_stroka_dlinoy_bolshe_32_simvolov", и при заходе сервак падал. А если точнее - переполнялся буфер сервера. Далее именно на сервере данный баг был исправлен, и теперь подобным образом его не уронить. Причина найдена. Следствие известно. Причина устранена.

P.S. В твой текст вник далеко не с первой попытки. И-то не до конца.

я доволен что вник
а сколько времени прослужили харды???
Перейти в начало страницы
 
+Цитировать сообщение

Ответить в данную темуНачать новую тему
2 чел. читают эту тему (гостей: 2, скрытых пользователей: 0)
Пользователей: 0

 

Текстовая версия Сейчас: 14.11.2024, 8:55

MKPortal©2003-2008 mkportal.it
MultiBoard ©2007-2009 RusMKPortal