11 марта 2019 года

В антивирусной лаборатории «Доктор Веб» был изучен троянец Trojan.Belonard, проникающий на компьютеры с использованием уязвимости клиента игры Counter-Strike 1.6. Попав на устройство, троянец заменяет файлы игры и список доступных игровых серверов.

Trojan.Belonard попадает на устройство при подключении к вредоносному игровому серверу. Троянец использует уязвимости клиента игры и может заражать как Steam-версии, так и пиратские сборки Counter-Strike 1.6 (CS 1.6). Попав на компьютер жертвы, троянец меняет файлы клиента и создает игровые прокси-серверы для заражения других пользователей. Подобная схема используется для раскрутки игровых серверов и позволяет на этом зарабатывать.

Несмотря на возраст игры, количество игроков только с официальными клиентами CS 1.6 в среднем достигает 20 000 человек онлайн, а общее число зарегистрированных в Steam серверов игры превышает 5000. Продажа, аренда и раскрутка игровых серверов стали реальным видом бизнеса и предлагаются как услуги на различных сайтах. Владельцы серверов нередко платят за подобные услуги, не зная, что для раскрутки их сервера может использоваться вредоносное ПО. Именно такими нелегальными методами пользовался разработчик под ником Belonard: его сервер заражал троянцем игроков и использовал их аккаунты для продвижения других серверов.

На данный момент количество вредоносных серверов CS 1.6, созданных троянцем Belonard, достигло 39% от числа всех официальных серверов, зарегистрированных в Steam. Сообщество игроков CS давно столкнулось с этой проблемой, но, к сожалению, до сих пор антивирусы определяли только части троянца Belonard, а не угрозу в целом. Теперь все модули троянца Belonard успешно определяются антивирусом Dr.Web и не угрожают нашим пользователям. О том, как работает троянец Belonard, более подробно рассказано в нашем исследовании.