Как вылечить вирус от игры
Вирусы для браузеров стали настоящей эпидемией. Сначала они просто воровали ваше время, показывая назойливую рекламу, а теперь ещё и скрыто майнят — задействуют ресурсы вашего компьютера для добычи криптовалюты. Рассказываем, как убить все вирусы в браузере.
Диагностика
Сначала нужно понять, с чем вы имеете дело. Бывает, что вирус не браузерный, а поразил всю операционную систему. В этой статье рассматриваем только браузерные вредоносы.
Признаки вируса в браузере — странное поведение этой программы:
- Внезапно появляются всплывающие окна или вкладки, которые невозможно закрыть.
- Браузер регулярно выполняет автоматическую переадресацию на ненужные страницы или объявления.
- Появились расширения и плагины, которые вы не устанавливали.
- Поисковая система и главная страница меняются автоматически.
- После запуска браузера после перезагрузки компьютера устройство начинает ощутимо тормозить.
- Антивирус сообщает о вирусной угрозе.
Если же проблемы возникают без запуска браузера, то это, скорее всего, вредонос в самой операционной системе.
Боремся с майнерами
Первые браузерные майнеры стремились захватить все ресурсы компьютера. Их быстро вычисляли и уничтожали. Со временем майнеры стали умнее — теперь они работают, только когда в системе есть свободные ресурсы, или занимают половину мощности. Так пользователь дольше не заметит подвоха, а значит, разработчики вредоноса смогут намайнить больше криптовалюты.
Для проверки браузера на скрытый майнинг перейдите на сайт cryptojackingtest.com и нажмите на кнопку запуска теста. Результат не 100%, но чаще всего сайт позволяет выявить майнер.
В Windows бороться с майнерами можно, отредактировав файл C:Windows System32driversetchosts. Открываете его в «Блокноте» или другом текстовом редакторе и добавляете в конец строки с адресами наиболее популярных майнинг-серверов:
- 0.0.0.0 azvjudwr.info
- 0.0.0.0 cnhv.co
- 0.0.0.0 gus.host
- 0.0.0.0 jroqvbvw.info
- 0.0.0.0 jsecoin.com
- 0.0.0.0 jyhfuqoh.info
- 0.0.0.0 kdowqlpt.info
- 0.0.0.0 listat.biz
- 0.0.0.0 lmodr.biz
- 0.0.0.0 mataharirama.xyz
- 0.0.0.0 minecrunch.co
- 0.0.0.0 minemytraffic.com
- 0.0.0.0 miner.pr0gramm.com
- 0.0.0.0 reasedoper.pw
- 0.0.0.0 xbasfbno.infoazvjudwr.info
Не забудьте сохранить файл. После этого указанные сервера не смогут использовать ваш компьютер для майнинга — он будет блокировать запросы.
Кроме того, можно использовать приложение Anti-WebMiner. Оно делает то же самое, но по своему готовому списку и без ручного редактирования файла hosts.
Другой способ — установка браузерных расширений и плагинов. Самые популярные — No Coin и minerBlock.
Помогает и блокировщик рекламы AdBlock. Устанавливаете расширение для браузера, заходите на вкладку «Параметры», нажимаете «Добавить свои собственные фильтры». После этого вводите || coin-hive.com/lib/coinhive.min.js и нажимаете «Добавить фильтр». Аналогично добавляются пункты:
- ||coin-hive.com^$third-party
- ||jsecoin.com^$third-party
- ||miner.pr0gramm.com^
- ||gus.host/coins.js$script
- ||cnhv.co^
Это основные скрипты, которые используются для майнинга в браузере.
Наконец, можно и вовсе отключить JavaScript в настройках браузера. Правда, многим сайтам для корректной работы он необходим. Так что решение это радикальное.
Также отметим, что браузер Opera недавно ввёл функцию защиты от браузерного майнинга. Это встроенный в браузер плагин NoCoin. Включается он в настройках: пункт «Основные», галочка напротив NoCoin.
Убираем всплывающие окна и внезапный запуск браузера
Универсальная инструкция для всех браузерных вирусов состоит из 7 простых шагов:
- Очистка планировщика заданий Windows. Обычно вирусы создают задачи, которые выполняются раз в 1-20 минут. Если у вас внезапно открывается браузер с рекламой или ненужными сайтами, это именно оно. Зайдите в «Панель управления» — «Администрирование» — «Планировщик заданий». Перейдите к разделу «Библиотека планировщика», найдите подозрительные задачи и удалите их.
- Очистка автозагрузки Windows. Нажмите Ctrl + Shift + Esc, перейдите на вкладку «Подробнее» — «Автозагрузка». Кликните правой кнопкой мыши на процессе вредоносного приложения, нажмите «Отключить». Затем кликните на строке ещё раз правой кнопкой, выберите пункт «Открыть расположение файла» и удалите его.
- Удаление вредоносных программ из списка установленных приложений. Перейдите в «Панель управления» — «Удаление программ», просмотрите последние установленные программы и удалите те, что точно не устанавливали или которые кажутся вам подозрительными.
- Очистка реестра Windows. Действие несколько рискованное, так что предварительно стоит сделать резервную копию. Чтобы зайти в редактор реестра, нажмите Win + R, введите regedit и нажмите Enter. В меню «Файл» выберите пункт «Экспорт» и сохраните копию реестра.
- Проверка ярлыков браузера. Иногда вредоносы подставляют нужный URL, по которому браузер переходит сразу после запуска. Нажмите правой кнопкой на ярлыке браузера, выберите пункт «Свойства» и посмотрите на пункт «Ярлык» — «Объект». Там должен быть только путь к исполняемому файлу браузера и ничего больше. Всё лишнее можно удалить, а затем сохранить изменения — нажать ОК в нижней части окна.
- Проверка файла hosts. Действия аналогичны тем, что избавляют браузер от майнинга. Откройте в «Блокноте» файл C:Windows System32driversetchosts, уберите все лишние строки, которые перенаправляют вас с нужной страницы на вредоносную.
- Сброс настроек браузера — завершающий шаг. Нужно именно сбрасывать настройки, потому что удаление самого браузера с последующей его установкой не даст результата. Новый браузер подхватит старые настройки, и окна будут снова вылезать.
Выполните очистку автозагрузки служб. Нажмите сочетание клавиш Win + R, введите msconfig и нажмите Enter. Затем откройте вкладку «Службы», выберите пункт «Не отображать службы Майкрософт» и просмотрите список. Снимите галочки в списке со служб, которые могут быть связаны с вирусами.
Некоторые файлы могут не удаляться. В таких случаях поможет приложение Unlock Tool — оно останавливает процессы, связанные с файлом, и может выполнить нужное действие по завершении.
Обычно вирусы создают в реестре записи для загрузки или обновлении своих файлов при загрузке Windows в ветках HKEY_LOCAL_MACHINE и HKEY_CURRENT_USER. В каждой ветке перейдите по пути /Software/Microsoft/Windows/Current Version и в папках Run и RunOnce удалите записи, связанные с вредоносным ПО: кликните по каждой из них правой кнопкой мыши и нажмите «Удалить».
Если вам известны имена вредоносов, перейдите в меню «Правка», введите имя и нажмите «Найти». Удалите все найденные ветки реестра, в которых встречаются эти процессы (правка кнопка мыши — пункт «Удалить»). Желательно после каждого удаления делать повторный поиск клавишей F3.
- Google Chrome и Yandex Browser: «Настройки» — «Показать дополнительные настройки» (в самом низу) — «Сброс настроек».
- Opera: нужно открыть папки профиля и кеша (по умолчанию они находятся по адресам C:UsersИмя пользователяAppDataRoamingOpera SoftwareOpera Stable и C:UsersИмя пользователяAppDataLocalOpera SoftwareOpera Stable) и удалить их содержимое. Не забудьте перезапустить браузер! После этого бразуер создаст новый профиль с настройкам по умолчанию.
- Mozilla FireFox: «Меню» — «Справка» — «Информация для решения проблем» — «Очистить FireFox». После этого нужно удалить cookies: зайдите в «Меню» — «Настройки» — «Приватность» — «Удалить отдельные куки». В появившемся окне нажмите «Удалить всё». Удалите и настройки прокси-сервера: «Меню» — «Настройки» — «Дополнительные» — «Сеть» — «Настроить» — «Без прокси». После перезапуска браузер создаст на рабочем столе папку со старыми настройками «Старые данные Firefox», но будет использовать настройки по умолчанию. Папку можно удалить.
- Microsoft Edge: «Меню» — «Параметры» — «Выберите, что нужно очистить». Выбираете «Файлы cookie и сохраненные данные веб-сайтов» и «Кэшированные данные и файлы».
Отметим, что Chrome для Windows умеет находить и удалять подозрительное программное обеспечение. Если браузер нашел нежелательные программы, он выдаст сообщение. Нажмите на нём «Удалить». После этого браузер отключит расширения и установит значения по умолчанию для некоторых функций, если это потребуется. Иногда после этого браузер просит перезагрузить компьютер.
Можно вызвать эту функцию и вручную. Нажмите на значок «Настройка и управление Google Chrome», выберите пункт «Дополнительные» и перейдите к разделу «Сброс настроек и удаление вредоносного ПО». Затем нажмите «Найти», после этого — «Удалить».
Если не поможет, сбросьте настройки браузера в том же меню «Сброс настроек и удаление вредоносного ПО».
Лучшее лечение — профилактика
Элементарные правила безопасности избавляют от множества проблем (и расходов!). Чтобы не поймать вирус, не переходите по сомнительным ссылкам, не устанавливайте расширения и плагины из непроверенных источников, особенно майнинговые (как минимум больше за электроэнергию заплатите). Установите надёжный антивирус и регулярно обновляйте его базы.
Источник
Если вы столкнулись с описанными выше проблемами, будьте готовы спасать свой телефон. Мы расскажем, как удалить вирус с телефона различными способами.
1. Начнем с самого простого. Если вы не сделали это раньше, поставьте на свое устройство одну из антивирусных программ и запустите проверку. Есть бесплатные и платные антивирусы, воспользуйтесь продуктами известных производителей. Следуйте указаниям антивируса и удалите те файлы, которые он укажет, как подозрительные. Удалите скачанный антивирус, скачайте еще один и снова проведите проверку.
2. К сожалению, этот вариант помогает не всегда. Если вирусы уже в телефоне, они могут запрещать антивирусу работать правильно. Постарайтесь минимизировать вред, которые причиняет вирус вашему андроид устройству и вашему кошельку: включите режим «В самолете», чтобы программы не имели доступ к интернету. Затем проверьте список приложений. Если среди них есть те, что вам неизвестны, или недавно установлены — удалите их. Также можно посмотреть в «Диспетчере приложений» телефона, какие из них работают активнее других и расходуют максимум трафика. Удалить их можно прямо из корневой папки на главном диске — при подключении к компьютеру. Найдите файл с названием программы и расширением apk, удалите его.
3Удалить вирус с телефона на базе Андроид достаточно быстро можно, если найти вредную программу в списке «администраторов» и отобрать у нее права. Для этого зайдите в меню «Настройки», выберите вкладку «Безопасность» и найдите подпункт с правами приложений. Также это меню может находиться в папке «Приложения». Проверьте, какие права у установленных у вас приложений и при необходимости ограничьте их. В любом случае, нет необходимости доверять программам от сторонних разработчиков все свои секреты.
4. Если удалить программу, которая вам кажется подозрительной, не получается, перейдите в безопасный режим. Для этого нужно выключить телефон, а включая его, зажать кнопку уменьшения громкости. В этом режиме запускаются только системные программы и у вас будет возможность удалить сторонние приложения или отключить их права.
5. Можно удалить вирус через компьютер: если на вашем десктопе установлены антивирусные программы, то они чаще всего сильнее и более продвинуты, чем мобильные версии. Так что телефон можно проверить на вирусы через ПК. Для этого нужно подключить андроид устройство к компьютеру или ноутбуку в режиме «Отладка через USB». Для этого нужно зайти в меню «Настройки», найти там подпункт «Для разработчиков» и включить эту функцию. Затем именно это нужно выбрать в появившемся меню при подключении телефона кабелем. Смартфон откроется как дополнительный диск или флешка, просканируйте его антивирусом полностью. Удалите все найденные угрозы.
6. Самый безотказный способ — откат к заводским настройки. Для того, чтобы это прошло безболезненно, возьмите за правило делать резервную копию вашего смартфона раз в неделю — две недели.
Чтобы вернуться к заводским настройкам, зайдите в меню «Настройки» телефона, выберите там пункт «Система» и зайдите в пункт «Сброс». Там уже можно выбрать пункт «Восстановление до заводских настроек». Помните, что эта процедура сотрет всю информацию с вашего телефона, удалит все контакты, фотографии, приложения. Затем восстановить их можно будет из резервной копии.
7. Если на вашем телефоне обосновался вирус, который не дает зайти в меню, сбрасывайте телефон через компьютер. Только обязательно включите свежий антивирус, присоединяя устройство Андроид к ПК. После подключения USB-кабеля, включите телефон и выберите пункт: сбросить до заводских настроек. В этом случае баннер, закрывший экран, не помешает это сделать.
Источник
Статистика показывает, что многие современные пользователи недооценивают угрозы со стороны вредоносных программ и киберзлоумышленников.
- Только 15% пользователей понимают, что могут стать целью киберпреступников.
- Каждый третий считает маловероятными финансовые потери в результате атак злоумышленников.
- Абсолютное большинство полагает, что их данные никому не интересны!
Совершенно особый сегмент пользователей, на которых, в том числе, нацелены атаки вирусописателей, представляют собой любители компьютерных игр, традиционно пренебрегающие антивирусной защитой ради быстродействия ПК. И эти игроки бывают разными — как по уровню компетенции, так и по наличию у них «богатств», которые можно похитить и продать.
Кто в мире виртуальных игр подвержен атакам киберзлоумышленников?
Условно, игроков можно разделить на три группы:
- Супер-фанаты и профессионалы. Они имеют в своем «сундуке» достаточное число артефактов.
- Просто геймеры (гейм-среда для них является способом расслабления, концентрации на отвлечении от работы или проблем). Их машины и аккаунты пригодятся злоумышленникам для продвинутых атак и вымогательства.
- Дети и подростки, которые могут быть как фанатами, так и просто геймерами, и совсем малыши. В этом случае жертвами кибератак становятся родители, а точнее – их кошельки. Именно юным пользователям предлагаются ворованные артефакты «за бесплатно».
Внимание!
В силу подросткового максимализма дети стремятся игнорировать рекомендации по безопасности с одной стороны и хотят попробовать запретное — с другой. Поэтому использование Родительского контроля Dr.Web для предотвращения заражения и похищения информации и игрового имущества для них обязательно!
Тем временем, накопленный вирусными аналитиками «Доктор Веб» опыт говорит о том, что вирусные угрозы для игроков вовсе не являются «игрушечными»!
Что крадут у игроков?
Злоумышленники направляют свое внимание туда, где можно и есть чем поживиться. Их целями становятся аккаунты и артефакты игроков — все то, что интересует геймеров и что при этом можно у геймеров украсть и продать.
Что интересует игроков?
- Возможность быстрой «прокачки» — или покупки уже «прокачанных» аккаунтов.
- Персонажи с максимальным количеством различных «навыков» и баллов опыта, с игровой амуницией, доспехами, ездовыми животными (иногда довольно редкими), с набором умений и профессий, доступными для данного героя, иные игровые артефакты и возможности. Чем их больше, тем выше стоимость аккаунта, которая в некоторых случаях может превышать 20 000 рублей.
- Покупка, продажа и обмен игровых предметов, порой — за реальные деньги.
Целями злоумышленников являются аккаунты и артефакты игроков — все из мира игр, что можно украсть и реализовать за деньги.
Учитывая стоимость прокачанных аккаунтов и дорогих артефактов, без преувеличения можно сказать, что игроки и их имущество – лакомая цель для злоумышленников.
Каким образом вредоносные программы помогают злоумышленникам похищать аккаунты и артефакты?
Пример вредоносной программы для кражи артефактов
Trojan.SteamLogger.1 предназначен для похищения ценных артефактов у пользователей игр Dota 2, Counter-Strike: Global Offensive и Team Fortress 2. Троянец обнаружен специалистами антивирусной лаборатории «Доктор Веб» в октябре 2014 года.
После того, как основной модуль троянца Trojan.SteamLogger.1 запускается и инициализируется, он ищет в памяти зараженного компьютера процесс с именем Steam и проверяет, вошел ли пользователь в свою учетную запись. Если нет, вредоносная программа ожидает момента авторизации игрока, затем извлекает информацию об аккаунте пользователя Steam (наличие SteamGuard, steam-id, security token) и передает эти данные злоумышленникам. В ответ Trojan.SteamLogger.1 получает список учетных записей, на которые могут быть переданы игровые предметы с аккаунта жертвы. Вредоносная программа пытается похитить наиболее ценные игровые предметы, ключи от сундуков и сами сундуки. Trojan.SteamLogger.1 внимательно следит за тем, не пытается ли игрок продать что-либо из виртуальных предметов самостоятельно, и в случае обнаружения такой попытки старается воспрепятствовать этому, автоматически снимая артефакты с продажи.
Всю собранную информацию троянец отправляет на сервер злоумышленников, затем проверяет, включена ли в настройках Steam автоматическая авторизация, и, если она отключена, в отдельном потоке запускает кейлоггер (перехватчик нажатий кнопок клавиатуры) — собранные с его помощью данные пересылаются на сервер киберпреступников с интервалом в 15 секунд.
Trojan.SteamLogger.1 распространяется на специализированных форумах или в чате Steam под видом предложения о продаже или обмене игровых предметов.
Как злоумышленники извлекают выгоду из «угнанных» аккаунтов?
- Продажа аккаунта: в самом примитивном случае злоумышленники пытаются просто продать краденый аккаунт с использованием специально созданного ими для этих целей интернет-магазина.
- Увод (присвоение) артефактов и их продажа: мошенники могут перенести все привязанные к аккаунту артефакты на другую учетную запись (с целью последующей реализации, конечно).
- Мошеннические займы: новые владельцы украденного аккаунта, воспользовавшись доверием товарищей по игровой гильдии, могут назанимать виртуальных денег или ограбить гильдейский банк. В итоге — навеки испорченная репутация, запрет доступа на игровой сервер и даже психологическая травма (причем в случае с уязвимой психической организацией ребенка это может привести к очень серьезным последствиям).
- Распространение фишинговых ссылок: злоумышленники производят их от имени владельца аккаунта — например, публикуя информацию об «акции от разработчика игры», требующей зарегистрироваться на стороннем сайте со своим логином и паролем, или рекламируя программы для накрутки игровых характеристик персонажа, под видом которых распространяются вирусы и троянцы. И это тоже потеря репутации!
- Вымогательство: имущество игрока представляет для него ценность, и этим пользуются злоумышленники, блокирующие доступ к аккаунту и требующие выкуп.
Как злоумышленники инфицируют компьютеры игроков?
Один из способов атаки на игроков — распространение троянцев с целью инфицирования.
Злоумышленники с помощью системы личных сообщений могут рассылать от имени владельца украденного аккаунта ссылки на фишинговые (мошеннические) сайты. Это может быть, например, информация об «акции от разработчика игры», для участия в которой требуется зарегистрироваться на стороннем сайте со своим логином и паролем, или реклама программ для накрутки игровых характеристик персонажа, под видом которых распространяются вирусы и троянцы. Доверчивые и еще не имеющие опыта распознавания мошенников дети и подростки легко «ведутся» на такие уловки.
Если одна из их целей — Steam-кошельки для покупки игр, для получения доступа к кошельку также используют фишинг. Пользователям сервиса Twitch, например, рассылаются предложения поучаствовать в лотерее. Жертвам предлагается выиграть цифровое оружие и коллекционные предметы для шутера CounterStrike: Global Offensive. Как только вредоносный софт получает доступ к Steam-аккаунту, установившийся на геймерский компьютер втайне от его владельца троянец делает скриншоты, добавляет новых друзей, покупает предметы за Steam-средства, самостоятельно (!!) отправляет и принимает предложения по продаже. После кражи инвентаря он выставляется на Steam Community Market со значительной скидкой — до 35%.
Злоумышленники пользуются тем, что постоянные посетители сервисов, подобных Twitch, привыкли к аналогичным сообщениям. Также Twitch стал одной из наиболее популярных стриминговых платформ для геймеров, позволяя любителям онлайн-трансляций зарабатывать во время «стримов». Многие стримеры смогли получить поклонников законным путем, но некоторые любители легкой наживы решили прибегнуть к услугам ботнетов (сетей зараженных компьютеров) для «накрутки» числа подписчиков. Есть и такой вид теневого бизнеса в мире игр.
Пример вредоносной программы, направленной на атаку платформы Steam
В конце августа 2014 года на различных игровых форумах начали появляться сообщения пользователей платформы Steam о том, что у них стали неожиданно пропадать ценные игровые предметы и ресурсы. Виновником «виртуальных краж» оказался троянец Trojan.SteamBurglar.1. Вредоносная программа рассылалась злоумышленниками через сообщения в чате Steam и на специализированных форумах. Игрокам предлагалось посмотреть скриншоты виртуального оружия или иных ресурсов, представленных якобы для продажи или обмена. Эти предложения Trojan.SteamBurglar.1 демонстрировал пользователю зараженного компьютера. В то же время сам троянец отыскивал в памяти процесс steam.exe, извлекал из него информацию об игровых предметах, выявлял среди них наиболее ценные, после чего осуществлял их кражу с целью последующей продажи. Украденные артефакты пересылались на одну из принадлежащих злоумышленникам учетных записей:
Внимание!
Возможность создания игровых серверов самими игроками позволяет злоумышленникам создавать поддельные серверы и распространять через них вредоносные программы!
Не так давно у вирусных аналитиков «Доктор Веб» появилась информация о том, что злоумышленники создают вредоносные копии страниц игр в каталоге Steam. Страницы-клоны полностью копируют дизайн аутентичных игровых страниц. Выбрав поддельную игру, пользователь перенаправлялся на страницу загрузки в тайне от пользователя вредоносного ПО.
Дальнейшее развитие сценария атаки зависит от функционала, заложенного вирусописателями в код троянца. Вредоносная программа может оказаться в том числе и самым опасным на сегодняшний день троянцем-шифровальщиком.
Опасность: шифровальщики!
Кроме злоумышленников, создающих специальные вредоносные программы, нацеленные на конкретные игры, свой куш желают получить и другие представители «темной стороны» виртуального мира. Настоящей проблемой безопасности на данный момент являются троянцы-энкодеры – программы, шифрующие данные пользователя и требующие выкуп за их расшифровку. Подобный троянец может проникнуть в систему через спам, в виде ссылки в сообщении мессенджера, может быть скачан с сайта или принесен на зараженной флешке на игровой компьютер. Само заражение происходит незаметно в фоновом режиме и не определяется до момента, пока файлы на компьютере не будут зашифрованы и на экране не появится сообщение с требованием выкупа.
Подробнее о шифровальщиках можно прочитать здесь.
По имеющимся у вирусных аналитиков «Доктор Веб» сведениям, энкодеры обладают функционалом, который позволяет шифровать файлы с расширениями, характерными для таких популярных игр, как Call of Duty, Minecraft, StarCraft 2, Skyrim, World of Warcraft, League of Legends, World of Tanks.
Напоминаем, что в компании «Доктор Веб» расшифровка бесплатна только для владельцев коммерческих лицензий Dr.Web. В случае беды следует обращаться за помощью в нашу службу технической поддержки.
Популярные игры «на службе» вирусописателей
Злоумышленники уже используют возможности самих игр для распространения вредоносных программ.
Обычно при соединении с сервером Counter-Strike программа-клиент скачивает с удаленного узла компоненты, отсутствующие на клиентской машине, но используемые в игре.
В ходе проведенного в 2001 году аналитиками компании «Доктор Веб» расследования удалось установить следующее. Изначально группой злоумышленников был создан игровой сервер Counter-Strike, распространявший троянскую программу Win32.HLLW.HLProxy (до этого момента этот троянец вообще распространялся среди поклонников Counter-Strike в качестве «полезного» приложения, поэтому многие игроки самостоятельно скачали и установили его на свой ПК).
Технология «раздачи» троянца весьма интересна: при любом подключении к игровому серверу игроку демонстрируется специальное окно приветствия MOTD, в котором может присутствовать реклама сервера или какие-либо установленные его администрацией правила. Содержимое этого окна представляет собой HTML-файл. Созданный злоумышленниками файл MOTD содержит скрытый компонент IFRAME, с помощью которого выполнялось перенаправление на один из принадлежащих им серверов. С него, в свою очередь, загружался и устанавливался на компьютер жертвы Win32.HLLW.HLProxy.
Основное назначение троянца заключается в том, что он запускает на компьютере игрока прокси-сервер, эмулирующий на одной физической машине несколько игровых серверов Counter-Strike и передающий соответствующую информацию на серверы VALVE. При обращении к сэмулированному троянцем игровому серверу программа-клиент перебрасывалась на настоящий игровой сервер злоумышленников, откуда игрок тут же получал троянца Win32.HLLW.HLProxy.
Таким образом, количество зараженных компьютеров росло в геометрической прогрессии.
Помимо этого, троянец обладает функционалом, позволяющим организовывать DDoS-атаки на игровые серверы и серверы VALVE, благодаря чему значительная их часть в разное время могла оказаться недоступна. Можно предположить, что одной из целей злоумышленников являлся сбор денег с владельцев игровых серверов за подключение к ним новых игроков, а также DDoS-атаки на «неугодные» игровые серверы.
Распространение вирусов под видом игр для Android-устройств
Еще один аспект, на котором «играют» злоумышленники, – доверие пользователей к играм. Так Android.Elite.1.origin, относящийся к классу программ-вандалов, распространяется под видом популярных приложений, в том числе игр.
При запуске Android.Elite.1.origin обманным путем пытается получить доступ к функциям администратора мобильного устройства, которые якобы необходимы для завершения корректной установки приложения. В случае успеха троянец приступает к немедленному форматированию подключенной SD-карты, удаляя все хранящиеся на ней данные. После этого вредоносная программа ожидает запуска ряда популярных приложений для общения (мессенджеров).
Помимо форматирования SD-карты и частичной блокировки средств коммуникации, Android.Elite.1.origin с периодичностью в 5 секунд рассылает по всем найденным в телефонной книге контактам СМС, и счет пострадавших владельцев зараженных мобильных устройств может быть опустошен за считанные минуты и даже секунды!
Вирусы как оружие конкурентной борьбы на рынке игр
Конкуренция среди владельцев игровых серверов высока, особенно если речь идет о ресурсах, входящих в топ рейтинга Gametracker. В феврале 2012 появилось несколько вредоносных приложений, предназначенных для вывода из строя игровых серверов, работающих на движке GoldSource (в том числе Counter-Strike, Half-Life). Одно из них, добавленное в вирусную базу Dr.Web под именем Flooder.HLDS, представляет собой программу, которая эмулирует подключение к игровому серверу большого числа игроков, что может вызвать зависание и сбои в его работе.
Другая вредоносная программа, Flooder.HLDS.2, способна отправлять на сервер определенный пакет данных, вызывающих отказ серверного ПО.
Оба приложения получили широкое распространение на форумах околоигровой тематики, и число атак на игровые серверы с помощью данных программ в течение месяца значительно возросло.
Любопытный факт: использование подобных программ-вредителей может нанести ущерб самим злоумышленникам, пытающимся вывести из строя игровые серверы, — в распоряжении специалистов «Доктор Веб» имеются загруженные с игровых форумов экземпляры приложения Flooder.HLDS.2, которое при запуске инфицирует компьютер троянскими программами BackDoor.DarkNess.47 и Trojan.Wmchange.14. Первая из них реализует функции бэкдора и DDoS-бота, второй троянец подменяет в памяти инфицированного ПК номера кошельков при операциях с электронной валютой WebMoney с целью кражи денег со счета пользователя. Таким образом, горе-злоумышленники сами становятся жертвами вирусописателей и подвергают свои компьютеры опасности заражения.
Как защититься, если вы играете в компьютерные игры?
«Доктор Веб» рекомендует:
Перед покупкой аккаунта на игровом сервере внимательно прочитайте текст Лицензионного соглашения и соблюдайте его положения.
- Правила использования большинства игровых серверов, которые должен принять пользователь, включают пункты о полном отказе администрации сервера от каких-либо гарантий в случае кражи аккаунта и о возможности заблокировать любую учетную запись без объяснения причин, что становится сюрпризом для многих игроков.
- При покупке учетной записи соблюдайте условия лицензии, запрещающие покупку учетной записи.
«Доктор Веб» рекомендует:
При приобретении игрового аккаунта требуйте у продавца не только пароль от учетной записи и ответ на секретный вопрос, необходимый для его восстановления, но также полный доступ к почтовому ящику, к которому «привязан» этот аккаунт.
На большинстве игровых серверов (включая поддерживаемые Blizzard) учетная запись пользователя привязана к его адресу электронной почты, иногда — к телефонному номеру. В случае кражи аккаунта администрация будет общаться с тем, кого она считает владельцем аккаунта, по этому e-mail.
«Доктор Веб» рекомендует:
Храните скан-копии вашего паспорта на отдельном носителе, не на геймерском компьютере — чтобы его не увел троянец. Эта рекомендация относится ко всем пользователям, а не только к геймерам.
В случае кражи аккаунта администрация игрового сервера может потребовать у вас предоставить паспортные данные , изображения отсканированных страниц паспорта или ваше фото с паспортом в руках.
В качестве доказательства подлинности личности владельца учетной записи техподдержка игрового сервера может попросить выслать фотографию не просто с паспортом в руках, но и с подтверждением времени создания снимка, например, в кадре должна присутствовать свежая газета. В результате аккаунт отдадут тому, кто сможет предоставить такой кадр.
Если вы не сможете это сделать, выставленный на продажу украденный мошенниками игровой аккаунт может быть заблокирован. Деньги останутся у злоумышленников, а проблемы — у вас, их жертвы.
Чтобы вы не стали жертвой троянца, «Доктор Веб» рекомендует:
- Не переходите по ссылкам, если вы не уверены на 100% в том, что они приведут именно туда, куда вам необходимо.
- Загружайте игры только из известных доверенных источников, а при покупке игровых артефактов пользуйтесь только проверенными «рынками».
- Не публикуйте в Интернете свои персональные данные.
- Не отвечайте на «секретные вопросы», которые используются для идентификации на различных сервисах, если вам задают их посторонние люди.
- Позаботьтесь о том, чтобы на вашем компьютере были установлены все актуальные обновления ОС и программного обеспечения, не только антивируса.
- Обязательно используйте актуальную версию антивирусной программы! Обновляйте ее перед каждым заходом на игровой сервер.
Благодарим за то, что вы нашли время ознакомиться с этими материалами.
Источник