Как вылечить вирус от игры

Как вылечить вирус от игры thumbnail

Вирусы для браузеров стали настоящей эпидемией. Сначала они просто воровали ваше время, показывая назойливую рекламу, а теперь ещё и скрыто майнят — задействуют ресурсы вашего компьютера для добычи криптовалюты. Рассказываем, как убить все вирусы в браузере.

Диагностика

Сначала нужно понять, с чем вы имеете дело. Бывает, что вирус не браузерный, а поразил всю операционную систему. В этой статье рассматриваем только браузерные вредоносы.

Признаки вируса в браузере — странное поведение этой программы:

  • Внезапно появляются всплывающие окна или вкладки, которые невозможно закрыть.
  • Браузер регулярно выполняет автоматическую переадресацию на ненужные страницы или объявления.
  • Появились расширения и плагины, которые вы не устанавливали.
  • Поисковая система и главная страница меняются автоматически.
  • После запуска браузера после перезагрузки компьютера устройство начинает ощутимо тормозить.
  • Антивирус сообщает о вирусной угрозе.

Если же проблемы возникают без запуска браузера, то это, скорее всего, вредонос в самой операционной системе.

Боремся с майнерами

Первые браузерные майнеры стремились захватить все ресурсы компьютера. Их быстро вычисляли и уничтожали. Со временем майнеры стали умнее — теперь они работают, только когда в системе есть свободные ресурсы, или занимают половину мощности. Так пользователь дольше не заметит подвоха, а значит, разработчики вредоноса смогут намайнить больше криптовалюты.

Для проверки браузера на скрытый майнинг перейдите на сайт cryptojackingtest.com и нажмите на кнопку запуска теста. Результат не 100%, но чаще всего сайт позволяет выявить майнер.

В Windows бороться с майнерами можно, отредактировав файл C:Windows System32driversetchosts. Открываете его в «Блокноте» или другом текстовом редакторе и добавляете в конец строки с адресами наиболее популярных майнинг-серверов:

  • 0.0.0.0 azvjudwr.info
  • 0.0.0.0 cnhv.co
  • 0.0.0.0 gus.host
  • 0.0.0.0 jroqvbvw.info
  • 0.0.0.0 jsecoin.com
  • 0.0.0.0 jyhfuqoh.info
  • 0.0.0.0 kdowqlpt.info
  • 0.0.0.0 listat.biz
  • 0.0.0.0 lmodr.biz
  • 0.0.0.0 mataharirama.xyz
  • 0.0.0.0 minecrunch.co
  • 0.0.0.0 minemytraffic.com
  • 0.0.0.0 miner.pr0gramm.com
  • 0.0.0.0 reasedoper.pw
  • 0.0.0.0 xbasfbno.infoazvjudwr.info

Не забудьте сохранить файл. После этого указанные сервера не смогут использовать ваш компьютер для майнинга — он будет блокировать запросы.

Кроме того, можно использовать приложение Anti-WebMiner. Оно делает то же самое, но по своему готовому списку и без ручного редактирования файла hosts.

Другой способ — установка браузерных расширений и плагинов. Самые популярные — No Coin и minerBlock.

Помогает и блокировщик рекламы AdBlock. Устанавливаете расширение для браузера, заходите на вкладку «Параметры», нажимаете «Добавить свои собственные фильтры». После этого вводите || coin-hive.com/lib/coinhive.min.js и нажимаете «Добавить фильтр». Аналогично добавляются пункты:

  • ||coin-hive.com^$third-party
  • ||jsecoin.com^$third-party
  • ||miner.pr0gramm.com^
  • ||gus.host/coins.js$script
  • ||cnhv.co^

Это основные скрипты, которые используются для майнинга в браузере.

Наконец, можно и вовсе отключить JavaScript в настройках браузера. Правда, многим сайтам для корректной работы он необходим. Так что решение это радикальное.

Также отметим, что браузер Opera недавно ввёл функцию защиты от браузерного майнинга. Это встроенный в браузер плагин NoCoin. Включается он в настройках: пункт «Основные», галочка напротив NoCoin.

Убираем всплывающие окна и внезапный запуск браузера

Универсальная инструкция для всех браузерных вирусов состоит из 7 простых шагов:

  1. Очистка планировщика заданий Windows. Обычно вирусы создают задачи, которые выполняются раз в 1-20 минут. Если у вас внезапно открывается браузер с рекламой или ненужными сайтами, это именно оно. Зайдите в «Панель управления» — «Администрирование» — «Планировщик заданий». Перейдите к разделу «Библиотека планировщика», найдите подозрительные задачи и удалите их.
  2. Очистка автозагрузки Windows. Нажмите Ctrl + Shift + Esc, перейдите на вкладку «Подробнее» — «Автозагрузка». Кликните правой кнопкой мыши на процессе вредоносного приложения, нажмите «Отключить». Затем кликните на строке ещё раз правой кнопкой, выберите пункт «Открыть расположение файла» и удалите его.
  3. Выполните очистку автозагрузки служб. Нажмите сочетание клавиш Win + R, введите msconfig и нажмите Enter. Затем откройте вкладку «Службы», выберите пункт «Не отображать службы Майкрософт» и просмотрите список. Снимите галочки в списке со служб, которые могут быть связаны с вирусами.

    Некоторые файлы могут не удаляться. В таких случаях поможет приложение Unlock Tool — оно останавливает процессы, связанные с файлом, и может выполнить нужное действие по завершении.

  4. Удаление вредоносных программ из списка установленных приложений. Перейдите в «Панель управления» — «Удаление программ», просмотрите последние установленные программы и удалите те, что точно не устанавливали или которые кажутся вам подозрительными.
  5. Очистка реестра Windows. Действие несколько рискованное, так что предварительно стоит сделать резервную копию. Чтобы зайти в редактор реестра, нажмите Win + R, введите regedit и нажмите Enter. В меню «Файл» выберите пункт «Экспорт» и сохраните копию реестра.
  6. Обычно вирусы создают в реестре записи для загрузки или обновлении своих файлов при загрузке Windows в ветках HKEY_LOCAL_MACHINE и HKEY_CURRENT_USER. В каждой ветке перейдите по пути /Software/Microsoft/Windows/Current Version и в папках Run и RunOnce удалите записи, связанные с вредоносным ПО: кликните по каждой из них правой кнопкой мыши и нажмите «Удалить».

    Если вам известны имена вредоносов, перейдите в меню «Правка», введите имя и нажмите «Найти». Удалите все найденные ветки реестра, в которых встречаются эти процессы (правка кнопка мыши — пункт «Удалить»). Желательно после каждого удаления делать повторный поиск клавишей F3.

  7. Проверка ярлыков браузера. Иногда вредоносы подставляют нужный URL, по которому браузер переходит сразу после запуска. Нажмите правой кнопкой на ярлыке браузера, выберите пункт «Свойства» и посмотрите на пункт «Ярлык» — «Объект». Там должен быть только путь к исполняемому файлу браузера и ничего больше. Всё лишнее можно удалить, а затем сохранить изменения — нажать ОК в нижней части окна.
  8. Проверка файла hosts. Действия аналогичны тем, что избавляют браузер от майнинга. Откройте в «Блокноте» файл C:Windows System32driversetchosts, уберите все лишние строки, которые перенаправляют вас с нужной страницы на вредоносную.
  9. Сброс настроек браузера — завершающий шаг. Нужно именно сбрасывать настройки, потому что удаление самого браузера с последующей его установкой не даст результата. Новый браузер подхватит старые настройки, и окна будут снова вылезать.
  • Google Chrome и Yandex Browser: «Настройки» — «Показать дополнительные настройки» (в самом низу) — «Сброс настроек».
  • Opera: нужно открыть папки профиля и кеша (по умолчанию они находятся по адресам C:UsersИмя пользователяAppDataRoamingOpera SoftwareOpera Stable и C:UsersИмя пользователяAppDataLocalOpera SoftwareOpera Stable) и удалить их содержимое. Не забудьте перезапустить браузер! После этого бразуер создаст новый профиль с настройкам по умолчанию.
  • Mozilla FireFox: «Меню» — «Справка» — «Информация для решения проблем» — «Очистить FireFox». После этого нужно удалить cookies: зайдите в «Меню» — «Настройки» — «Приватность» — «Удалить отдельные куки». В появившемся окне нажмите «Удалить всё». Удалите и настройки прокси-сервера: «Меню» — «Настройки» — «Дополнительные» — «Сеть» — «Настроить» — «Без прокси». После перезапуска браузер создаст на рабочем столе папку со старыми настройками «Старые данные Firefox», но будет использовать настройки по умолчанию. Папку можно удалить.
  • Microsoft Edge: «Меню» — «Параметры» — «Выберите, что нужно очистить». Выбираете «Файлы cookie и сохраненные данные веб-сайтов» и «Кэшированные данные и файлы».
Читайте также:  Как можно вылечить воспаленные десна

Отметим, что Chrome для Windows умеет находить и удалять подозрительное программное обеспечение. Если браузер нашел нежелательные программы, он выдаст сообщение. Нажмите на нём «Удалить». После этого браузер отключит расширения и установит значения по умолчанию для некоторых функций, если это потребуется. Иногда после этого браузер просит перезагрузить компьютер.

Можно вызвать эту функцию и вручную. Нажмите на значок «Настройка и управление Google Chrome», выберите пункт «Дополнительные» и перейдите к разделу «Сброс настроек и удаление вредоносного ПО». Затем нажмите «Найти», после этого — «Удалить».

Если не поможет, сбросьте настройки браузера в том же меню «Сброс настроек и удаление вредоносного ПО».

Лучшее лечение — профилактика

Элементарные правила безопасности избавляют от множества проблем (и расходов!). Чтобы не поймать вирус, не переходите по сомнительным ссылкам, не устанавливайте расширения и плагины из непроверенных источников, особенно майнинговые (как минимум больше за электроэнергию заплатите). Установите надёжный антивирус и регулярно обновляйте его базы.

Источник

Если вы столкнулись с описанными выше проблемами, будьте готовы спасать свой телефон. Мы расскажем, как удалить вирус с телефона различными способами.

1. Начнем с самого простого. Если вы не сделали это раньше, поставьте на свое устройство одну из антивирусных программ и запустите проверку. Есть бесплатные и платные антивирусы, воспользуйтесь продуктами известных производителей. Следуйте указаниям антивируса и удалите те файлы, которые он укажет, как подозрительные. Удалите скачанный антивирус, скачайте еще один и снова проведите проверку.

2. К сожалению, этот вариант помогает не всегда. Если вирусы уже в телефоне, они могут запрещать антивирусу работать правильно. Постарайтесь минимизировать вред, которые причиняет вирус вашему андроид устройству и вашему кошельку: включите режим «В самолете», чтобы программы не имели доступ к интернету. Затем проверьте список приложений. Если среди них есть те, что вам неизвестны, или недавно установлены — удалите их. Также можно посмотреть в «Диспетчере приложений» телефона, какие из них работают активнее других и расходуют максимум трафика. Удалить их можно прямо из корневой папки на главном диске — при подключении к компьютеру. Найдите файл с названием программы и расширением apk, удалите его.

3Удалить вирус с телефона на базе Андроид достаточно быстро можно, если найти вредную программу в списке «администраторов» и отобрать у нее права. Для этого зайдите в меню «Настройки», выберите вкладку «Безопасность» и найдите подпункт с правами приложений. Также это меню может находиться в папке «Приложения». Проверьте, какие права у установленных у вас приложений и при необходимости ограничьте их. В любом случае, нет необходимости доверять программам от сторонних разработчиков все свои секреты.

4. Если удалить программу, которая вам кажется подозрительной, не получается, перейдите в безопасный режим. Для этого нужно выключить телефон, а включая его, зажать кнопку уменьшения громкости. В этом режиме запускаются только системные программы и у вас будет возможность удалить сторонние приложения или отключить их права.

5. Можно удалить вирус через компьютер: если на вашем десктопе установлены антивирусные программы, то они чаще всего сильнее и более продвинуты, чем мобильные версии. Так что телефон можно проверить на вирусы через ПК. Для этого нужно подключить андроид устройство к компьютеру или ноутбуку в режиме «Отладка через USB». Для этого нужно зайти в меню «Настройки», найти там подпункт «Для разработчиков» и включить эту функцию. Затем именно это нужно выбрать в появившемся меню при подключении телефона кабелем. Смартфон откроется как дополнительный диск или флешка, просканируйте его антивирусом полностью. Удалите все найденные угрозы.

6. Самый безотказный способ — откат к заводским настройки. Для того, чтобы это прошло безболезненно, возьмите за правило делать резервную копию вашего смартфона раз в неделю — две недели.

Чтобы вернуться к заводским настройкам, зайдите в меню «Настройки» телефона, выберите там пункт «Система» и зайдите в пункт «Сброс». Там уже можно выбрать пункт «Восстановление до заводских настроек». Помните, что эта процедура сотрет всю информацию с вашего телефона, удалит все контакты, фотографии, приложения. Затем восстановить их можно будет из резервной копии.

7. Если на вашем телефоне обосновался вирус, который не дает зайти в меню, сбрасывайте телефон через компьютер. Только обязательно включите свежий антивирус, присоединяя устройство Андроид к ПК. После подключения USB-кабеля, включите телефон и выберите пункт: сбросить до заводских настроек. В этом случае баннер, закрывший экран, не помешает это сделать.

Источник

Статистика показывает, что многие современные пользователи недооценивают угрозы со стороны вредоносных программ и киберзлоумышленников.

  • Только 15% пользователей понимают, что могут стать целью киберпреступников.
  • Каждый третий считает маловероятными финансовые потери в результате атак злоумышленников.
  • Абсолютное большинство полагает, что их данные никому не интересны!

Совершенно особый сегмент пользователей, на которых, в том числе, нацелены атаки вирусописателей, представляют собой любители компьютерных игр, традиционно пренебрегающие антивирусной защитой ради быстродействия ПК. И эти игроки бывают разными — как по уровню компетенции, так и по наличию у них «богатств», которые можно похитить и продать.

Кто в мире виртуальных игр подвержен атакам киберзлоумышленников?

Условно, игроков можно разделить на три группы:

  • Супер-фанаты и профессионалы. Они имеют в своем «сундуке» достаточное число артефактов.
  • Просто геймеры (гейм-среда для них является способом расслабления, концентрации на отвлечении от работы или проблем). Их машины и аккаунты пригодятся злоумышленникам для продвинутых атак и вымогательства.
  • Дети и подростки, которые могут быть как фанатами, так и просто геймерами, и совсем малыши. В этом случае жертвами кибератак становятся родители, а точнее – их кошельки. Именно юным пользователям предлагаются ворованные артефакты «за бесплатно».

Внимание!

В силу подросткового максимализма дети стремятся игнорировать рекомендации по безопасности с одной стороны и хотят попробовать запретное — с другой. Поэтому использование Родительского контроля Dr.Web для предотвращения заражения и похищения информации и игрового имущества для них обязательно!

Тем временем, накопленный вирусными аналитиками «Доктор Веб» опыт говорит о том, что вирусные угрозы для игроков вовсе не являются «игрушечными»!

character

Что крадут у игроков?

Злоумышленники направляют свое внимание туда, где можно и есть чем поживиться. Их целями становятся аккаунты и артефакты игроков — все то, что интересует геймеров и что при этом можно у геймеров украсть и продать.

Что интересует игроков?

  • Возможность быстрой «прокачки» — или покупки уже «прокачанных» аккаунтов.
  • Персонажи с максимальным количеством различных «навыков» и баллов опыта, с игровой амуницией, доспехами, ездовыми животными (иногда довольно редкими), с набором умений и профессий, доступными для данного героя, иные игровые артефакты и возможности. Чем их больше, тем выше стоимость аккаунта, которая в некоторых случаях может превышать 20 000 рублей.

    #drweb

  • Покупка, продажа и обмен игровых предметов, порой — за реальные деньги.

#drweb

Целями злоумышленников являются аккаунты и артефакты игроков — все из мира игр, что можно украсть и реализовать за деньги.

Читайте также:  Как я вылечила внутренний геморой

Учитывая стоимость прокачанных аккаунтов и дорогих артефактов, без преувеличения можно сказать, что игроки и их имущество – лакомая цель для злоумышленников.

Каким образом вредоносные программы помогают злоумышленникам похищать аккаунты и артефакты?

Пример вредоносной программы для кражи артефактов

Trojan.SteamLogger.1 предназначен для похищения ценных артефактов у пользователей игр Dota 2, Counter-Strike: Global Offensive и Team Fortress 2. Троянец обнаружен специалистами антивирусной лаборатории «Доктор Веб» в октябре 2014 года.

После того, как основной модуль троянца Trojan.SteamLogger.1 запускается и инициализируется, он ищет в памяти зараженного компьютера процесс с именем Steam и проверяет, вошел ли пользователь в свою учетную запись. Если нет, вредоносная программа ожидает момента авторизации игрока, затем извлекает информацию об аккаунте пользователя Steam (наличие SteamGuard, steam-id, security token) и передает эти данные злоумышленникам. В ответ Trojan.SteamLogger.1 получает список учетных записей, на которые могут быть переданы игровые предметы с аккаунта жертвы. Вредоносная программа пытается похитить наиболее ценные игровые предметы, ключи от сундуков и сами сундуки. Trojan.SteamLogger.1 внимательно следит за тем, не пытается ли игрок продать что-либо из виртуальных предметов самостоятельно, и в случае обнаружения такой попытки старается воспрепятствовать этому, автоматически снимая артефакты с продажи.

Всю собранную информацию троянец отправляет на сервер злоумышленников, затем проверяет, включена ли в настройках Steam автоматическая авторизация, и, если она отключена, в отдельном потоке запускает кейлоггер (перехватчик нажатий кнопок клавиатуры) — собранные с его помощью данные пересылаются на сервер киберпреступников с интервалом в 15 секунд.

Trojan.SteamLogger.1 распространяется на специализированных форумах или в чате Steam под видом предложения о продаже или обмене игровых предметов.

Как злоумышленники извлекают выгоду из «угнанных» аккаунтов?

  • Продажа аккаунта: в самом примитивном случае злоумышленники пытаются просто продать краденый аккаунт с использованием специально созданного ими для этих целей интернет-магазина.
  • Увод (присвоение) артефактов и их продажа: мошенники могут перенести все привязанные к аккаунту артефакты на другую учетную запись (с целью последующей реализации, конечно).
  • Мошеннические займы: новые владельцы украденного аккаунта, воспользовавшись доверием товарищей по игровой гильдии, могут назанимать виртуальных денег или ограбить гильдейский банк. В итоге — навеки испорченная репутация, запрет доступа на игровой сервер и даже психологическая травма (причем в случае с уязвимой психической организацией ребенка это может привести к очень серьезным последствиям).
  • Распространение фишинговых ссылок: злоумышленники производят их от имени владельца аккаунта — например, публикуя информацию об «акции от разработчика игры», требующей зарегистрироваться на стороннем сайте со своим логином и паролем, или рекламируя программы для накрутки игровых характеристик персонажа, под видом которых распространяются вирусы и троянцы. И это тоже потеря репутации!
  • Вымогательство: имущество игрока представляет для него ценность, и этим пользуются злоумышленники, блокирующие доступ к аккаунту и требующие выкуп.

Как злоумышленники инфицируют компьютеры игроков?

Один из способов атаки на игроков — распространение троянцев с целью инфицирования.

Злоумышленники с помощью системы личных сообщений могут рассылать от имени владельца украденного аккаунта ссылки на фишинговые (мошеннические) сайты. Это может быть, например, информация об «акции от разработчика игры», для участия в которой требуется зарегистрироваться на стороннем сайте со своим логином и паролем, или реклама программ для накрутки игровых характеристик персонажа, под видом которых распространяются вирусы и троянцы. Доверчивые и еще не имеющие опыта распознавания мошенников дети и подростки легко «ведутся» на такие уловки.

#drweb

Если одна из их целей — Steam-кошельки для покупки игр, для получения доступа к кошельку также используют фишинг. Пользователям сервиса Twitch, например, рассылаются предложения поучаствовать в лотерее. Жертвам предлагается выиграть цифровое оружие и коллекционные предметы для шутера CounterStrike: Global Offensive. Как только вредоносный софт получает доступ к Steam-аккаунту, установившийся на геймерский компьютер втайне от его владельца троянец делает скриншоты, добавляет новых друзей, покупает предметы за Steam-средства, самостоятельно (!!) отправляет и принимает предложения по продаже. После кражи инвентаря он выставляется на Steam Community Market со значительной скидкой — до 35%.

Злоумышленники пользуются тем, что постоянные посетители сервисов, подобных Twitch, привыкли к аналогичным сообщениям. Также Twitch стал одной из наиболее популярных стриминговых платформ для геймеров, позволяя любителям онлайн-трансляций зарабатывать во время «стримов». Многие стримеры смогли получить поклонников законным путем, но некоторые любители легкой наживы решили прибегнуть к услугам ботнетов (сетей зараженных компьютеров) для «накрутки» числа подписчиков. Есть и такой вид теневого бизнеса в мире игр.

Пример вредоносной программы, направленной на атаку платформы Steam

В конце августа 2014 года на различных игровых форумах начали появляться сообщения пользователей платформы Steam о том, что у них стали неожиданно пропадать ценные игровые предметы и ресурсы. Виновником «виртуальных краж» оказался троянец Trojan.SteamBurglar.1. Вредоносная программа рассылалась злоумышленниками через сообщения в чате Steam и на специализированных форумах. Игрокам предлагалось посмотреть скриншоты виртуального оружия или иных ресурсов, представленных якобы для продажи или обмена. Эти предложения Trojan.SteamBurglar.1 демонстрировал пользователю зараженного компьютера. В то же время сам троянец отыскивал в памяти процесс steam.exe, извлекал из него информацию об игровых предметах, выявлял среди них наиболее ценные, после чего осуществлял их кражу с целью последующей продажи. Украденные артефакты пересылались на одну из принадлежащих злоумышленникам учетных записей:

screen

Внимание!

Возможность создания игровых серверов самими игроками позволяет злоумышленникам создавать поддельные серверы и распространять через них вредоносные программы!

Не так давно у вирусных аналитиков «Доктор Веб» появилась информация о том, что злоумышленники создают вредоносные копии страниц игр в каталоге Steam. Страницы-клоны полностью копируют дизайн аутентичных игровых страниц. Выбрав поддельную игру, пользователь перенаправлялся на страницу загрузки в тайне от пользователя вредоносного ПО.

Дальнейшее развитие сценария атаки зависит от функционала, заложенного вирусописателями в код троянца. Вредоносная программа может оказаться в том числе и самым опасным на сегодняшний день троянцем-шифровальщиком.

Опасность: шифровальщики!

Кроме злоумышленников, создающих специальные вредоносные программы, нацеленные на конкретные игры, свой куш желают получить и другие представители «темной стороны» виртуального мира. Настоящей проблемой безопасности на данный момент являются троянцы-энкодеры – программы, шифрующие данные пользователя и требующие выкуп за их расшифровку. Подобный троянец может проникнуть в систему через спам, в виде ссылки в сообщении мессенджера, может быть скачан с сайта или принесен на зараженной флешке на игровой компьютер. Само заражение происходит незаметно в фоновом режиме и не определяется до момента, пока файлы на компьютере не будут зашифрованы и на экране не появится сообщение с требованием выкупа.

Подробнее о шифровальщиках можно прочитать здесь.

По имеющимся у вирусных аналитиков «Доктор Веб» сведениям, энкодеры обладают функционалом, который позволяет шифровать файлы с расширениями, характерными для таких популярных игр, как Call of Duty, Minecraft, StarCraft 2, Skyrim, World of Warcraft, League of Legends, World of Tanks.

Читайте также:  Как вылечить волосы от обесцвечивания

Напоминаем, что в компании «Доктор Веб» расшифровка бесплатна только для владельцев коммерческих лицензий Dr.Web. В случае беды следует обращаться за помощью в нашу службу технической поддержки.

Популярные игры «на службе» вирусописателей

Злоумышленники уже используют возможности самих игр для распространения вредоносных программ.

Обычно при соединении с сервером Counter-Strike программа-клиент скачивает с удаленного узла компоненты, отсутствующие на клиентской машине, но используемые в игре.

#drweb

#drweb

В ходе проведенного в 2001 году аналитиками компании «Доктор Веб» расследования удалось установить следующее. Изначально группой злоумышленников был создан игровой сервер Counter-Strike, распространявший троянскую программу Win32.HLLW.HLProxy (до этого момента этот троянец вообще распространялся среди поклонников Counter-Strike в качестве «полезного» приложения, поэтому многие игроки самостоятельно скачали и установили его на свой ПК).

Технология «раздачи» троянца весьма интересна: при любом подключении к игровому серверу игроку демонстрируется специальное окно приветствия MOTD, в котором может присутствовать реклама сервера или какие-либо установленные его администрацией правила. Содержимое этого окна представляет собой HTML-файл. Созданный злоумышленниками файл MOTD содержит скрытый компонент IFRAME, с помощью которого выполнялось перенаправление на один из принадлежащих им серверов. С него, в свою очередь, загружался и устанавливался на компьютер жертвы Win32.HLLW.HLProxy.

Основное назначение троянца заключается в том, что он запускает на компьютере игрока прокси-сервер, эмулирующий на одной физической машине несколько игровых серверов Counter-Strike и передающий соответствующую информацию на серверы VALVE. При обращении к сэмулированному троянцем игровому серверу программа-клиент перебрасывалась на настоящий игровой сервер злоумышленников, откуда игрок тут же получал троянца Win32.HLLW.HLProxy.

Таким образом, количество зараженных компьютеров росло в геометрической прогрессии.

Помимо этого, троянец обладает функционалом, позволяющим организовывать DDoS-атаки на игровые серверы и серверы VALVE, благодаря чему значительная их часть в разное время могла оказаться недоступна. Можно предположить, что одной из целей злоумышленников являлся сбор денег с владельцев игровых серверов за подключение к ним новых игроков, а также DDoS-атаки на «неугодные» игровые серверы.

#drweb

Распространение вирусов под видом игр для Android-устройств

Еще один аспект, на котором «играют» злоумышленники, – доверие пользователей к играм. Так Android.Elite.1.origin, относящийся к классу программ-вандалов, распространяется под видом популярных приложений, в том числе игр.

#drweb

При запуске Android.Elite.1.origin обманным путем пытается получить доступ к функциям администратора мобильного устройства, которые якобы необходимы для завершения корректной установки приложения. В случае успеха троянец приступает к немедленному форматированию подключенной SD-карты, удаляя все хранящиеся на ней данные. После этого вредоносная программа ожидает запуска ряда популярных приложений для общения (мессенджеров).

#drweb

Помимо форматирования SD-карты и частичной блокировки средств коммуникации, Android.Elite.1.origin с периодичностью в 5 секунд рассылает по всем найденным в телефонной книге контактам СМС, и счет пострадавших владельцев зараженных мобильных устройств может быть опустошен за считанные минуты и даже секунды!

Вирусы как оружие конкурентной борьбы на рынке игр

Конкуренция среди владельцев игровых серверов высока, особенно если речь идет о ресурсах, входящих в топ рейтинга Gametracker. В феврале 2012 появилось несколько вредоносных приложений, предназначенных для вывода из строя игровых серверов, работающих на движке GoldSource (в том числе Counter-Strike, Half-Life). Одно из них, добавленное в вирусную базу Dr.Web под именем Flooder.HLDS, представляет собой программу, которая эмулирует подключение к игровому серверу большого числа игроков, что может вызвать зависание и сбои в его работе.

Другая вредоносная программа, Flooder.HLDS.2, способна отправлять на сервер определенный пакет данных, вызывающих отказ серверного ПО.

Оба приложения получили широкое распространение на форумах околоигровой тематики, и число атак на игровые серверы с помощью данных программ в течение месяца значительно возросло.

Любопытный факт: использование подобных программ-вредителей может нанести ущерб самим злоумышленникам, пытающимся вывести из строя игровые серверы, — в распоряжении специалистов «Доктор Веб» имеются загруженные с игровых форумов экземпляры приложения Flooder.HLDS.2, которое при запуске инфицирует компьютер троянскими программами BackDoor.DarkNess.47 и Trojan.Wmchange.14. Первая из них реализует функции бэкдора и DDoS-бота, второй троянец подменяет в памяти инфицированного ПК номера кошельков при операциях с электронной валютой WebMoney с целью кражи денег со счета пользователя. Таким образом, горе-злоумышленники сами становятся жертвами вирусописателей и подвергают свои компьютеры опасности заражения.

#drweb

Как защититься, если вы играете в компьютерные игры?

«Доктор Веб» рекомендует:

Перед покупкой аккаунта на игровом сервере внимательно прочитайте текст Лицензионного соглашения и соблюдайте его положения.

  • Правила использования большинства игровых серверов, которые должен принять пользователь, включают пункты о полном отказе администрации сервера от каких-либо гарантий в случае кражи аккаунта и о возможности заблокировать любую учетную запись без объяснения причин, что становится сюрпризом для многих игроков.
  • При покупке учетной записи соблюдайте условия лицензии, запрещающие покупку учетной записи.

«Доктор Веб» рекомендует:

При приобретении игрового аккаунта требуйте у продавца не только пароль от учетной записи и ответ на секретный вопрос, необходимый для его восстановления, но также полный доступ к почтовому ящику, к которому «привязан» этот аккаунт.

На большинстве игровых серверов (включая поддерживаемые Blizzard) учетная запись пользователя привязана к его адресу электронной почты, иногда — к телефонному номеру. В случае кражи аккаунта администрация будет общаться с тем, кого она считает владельцем аккаунта, по этому e-mail.

«Доктор Веб» рекомендует:

Храните скан-копии вашего паспорта на отдельном носителе, не на геймерском компьютере — чтобы его не увел троянец. Эта рекомендация относится ко всем пользователям, а не только к геймерам.
В случае кражи аккаунта администрация игрового сервера может потребовать у вас предоставить паспортные данные , изображения отсканированных страниц паспорта или ваше фото с паспортом в руках.

В качестве доказательства подлинности личности владельца учетной записи техподдержка игрового сервера может попросить выслать фотографию не просто с паспортом в руках, но и с подтверждением времени создания снимка, например, в кадре должна присутствовать свежая газета. В результате аккаунт отдадут тому, кто сможет предоставить такой кадр.

Если вы не сможете это сделать, выставленный на продажу украденный мошенниками игровой аккаунт может быть заблокирован. Деньги останутся у злоумышленников, а проблемы — у вас, их жертвы.

Чтобы вы не стали жертвой троянца, «Доктор Веб» рекомендует:

  1. Не переходите по ссылкам, если вы не уверены на 100% в том, что они приведут именно туда, куда вам необходимо.
  2. Загружайте игры только из известных доверенных источников, а при покупке игровых артефактов пользуйтесь только проверенными «рынками».
  3. Не публикуйте в Интернете свои персональные данные.
  4. Не отвечайте на «секретные вопросы», которые используются для идентификации на различных сервисах, если вам задают их посторонние люди.
  5. Позаботьтесь о том, чтобы на вашем компьютере были установлены все актуальные обновления ОС и программного обеспечения, не только антивируса.
  6. Обязательно используйте актуальную версию антивирусной программы! Обновляйте ее перед каждым заходом на игровой сервер.

Благодарим за то, что вы нашли время ознакомиться с этими материалами.

Источник