恶意Counter Strike 1.6服务器使用零天来感染恶意软件用户

恶意Counter-Strike 1.6服务器使用零天来感染恶意软件用户

Dr.Web：39%的Counter-Strike 1.6服务器都是恶意软件，并试图用恶意软件感染用户。

安全研究人员发现了一个恶意的Counter-Strike 1.6多人服务器网络，利用用户游戏客户端中的远程代码执行(RCE)漏洞，用一种名为Belonard的新恶意软件来感染他们。

俄罗斯反病毒公司Dr.Web的研究人员周一在一份报告中表示，该网络已被关闭。

整个操作依赖于代理多人游戏服务器，这些服务器由于ping值较低而诱使用户连接到它们。

当CS1.6游戏玩家连接到这些代理服务器时，他们将被重定向到使用四个RCE中的一个(在官方CS1.6游戏中有两个，在盗版中有两个)来执行代码并植入Belonard恶意软件的恶意游戏。他们的电脑。

被Belonard感染的计算机都被添加到类似僵尸网络的结构中。

BELONARD将收取广告和CS1.6服务器的费用

据Web安全研究员Ivan Korolev博士称，僵尸网络背后的人将使用Belonard恶意软件对用户的CS1.6客户进行修改，并在用户游戏中展示广告。

“当玩家开始游戏时，他们的昵称将改为可以下载受感染游戏客户端的网站地址，而游戏菜单将显示指向VKontakte CS 1.6社区的链接，其中包含超过11,500名订阅者，”Korolev说道。 。

但最重要的是，该木马主要用于推广合法的CS1.6多人游戏服务器，方法是将它们添加到用户的可用服务器列表中，而Belonard开发人员可以付费使用。

BELONARD受害者也会帮助感染其他用户

为了确保Belonard僵尸网络的增长并保持活跃，恶意软件的作者还有另一个技巧。

根据Korolev的说法，Belonard恶意软件还将创建在用户计算机上运行的代理服务器。

然后，这些服务器将显示在主CS1.6多人服务器列表中，其他用户将看到并连接这些服务器，认为它们是合法服务器。

但是，这些代理服务器会将游戏玩家重定向到托管四个RCE的恶意服务器，感染新游戏玩家，并提升Belonard僵尸网络的排名。

图片：Dr.Web

根据Korolev的说法，Belonard代理服务器网络增长到1,951台服务器，占当时可用的所有CS1.6多机服务器的39%。

Dr.Web研究员表示，他们与REG.ru域名注册商合作，取消了Belonard工作人员用于操作僵尸网络的所有域名。

在接管域名后，Dr.Web表示有127个游戏客户试图连接到水槽域，但受感染主机的数量很可能要大得多。

Korolev告诉ZDNet他告知CS1.6的制造商Valve，关于这两个零日。该公司承诺提供补丁，但拒绝透露何时。

根据Korolev的说法，用户可以识别Belonard的代理服务器，因为其代码中的错误将服务器游戏类型显示为“反恐精英1”，“反恐精英2”或“反恐精英3”而不是标准“反恐精英1.6。”