分析師警告說 數(shù)以千計(jì)的CS 1.6服務(wù)器陷入了特洛伊木馬

反恐精英：當(dāng)你提到反恐精英時(shí)，大多數(shù)人都會(huì)想到全球攻勢，但2003年發(fā)布的版本仍然有很多粉絲，反恐精英1.6。游戲仍然擁有健康的玩家群- 比Steam上的大多數(shù)游戲更多 - 但有一項(xiàng)研究發(fā)現(xiàn)這些玩家可能面臨風(fēng)險(xiǎn)，數(shù)千臺(tái)CS 1.6服務(wù)器被木馬感染。

Dr.Web反病毒數(shù)據(jù)庫的一項(xiàng)研究警告說，通過CS 1.6客戶端可以查看的5,000臺(tái)服務(wù)器中，近2000臺(tái)服務(wù)器是Trojan.Belonard客戶端創(chuàng)建的虛擬服務(wù)器。這不是第一次CS 1.6成為這種攻擊的目標(biāo)，特洛伊木馬通過用戶在連接1.6服務(wù)器時(shí)看到的每日消息中隱藏的iframe進(jìn)行分發(fā)。

該窗口的內(nèi)容是一個(gè)HTML文件。黑客創(chuàng)建的MOTD文件包含一個(gè)隱藏的IFRAME組件，用于重定向到其中一個(gè)服務(wù)器。反過來，包含Win32.HLLW.HLProxy特洛伊木馬文件的admin.cmd文件被下載并安裝在受害者的計(jì)算機(jī)上。

已向Valve報(bào)告的最新漏洞甚至更嚴(yán)重。根據(jù)分析師的說法，該木馬可以感染Steam版本的游戲或盜版(世界上一些網(wǎng)絡(luò)用戶仍在使用)。

“一名玩家啟動(dòng)官方Steam客戶端并選擇游戲服務(wù)器，”分析師解釋說。“在連接到惡意服務(wù)器時(shí)，它會(huì)利用RCE漏洞，將其中一個(gè)惡意庫上傳到受害者的設(shè)備。根據(jù)漏洞的類型，將下載并執(zhí)行兩個(gè)庫中的一個(gè)：client.dll(Trojan.Belonard。 1)或Mssv24.asi(Trojan.Belonard.5)。“

特洛伊木馬的一個(gè)元素特別令人討厭。在搜索播放器的計(jì)算機(jī)以運(yùn)行CS客戶端之后，它會(huì)根據(jù)自己的方式檢查這些文件的哈希值。如果兩者不匹配，它將結(jié)束現(xiàn)有客戶端 - 顯示“無法加載游戲”的警告 - 然后開始用自己的受感染版本替換客戶端hl.exe文件。

由于惡意軟件依賴于從外部域名中提取文件，因此分析人員可以在俄羅斯域名注冊(cè)商的幫助下削減未來的連接并防止未來的感染。CS 1.6沒有被修補(bǔ)以防止漏洞利用，但是，只有Valve可以做 - 而分析師關(guān)注的事情可能不會(huì)發(fā)生，考慮到游戲的年齡。

他們寫道：“Doctor Web已經(jīng)向Valve通報(bào)了游戲的這些和其他漏洞，但截至目前，還沒有關(guān)于何時(shí)修復(fù)漏洞的數(shù)據(jù)。”