俄罗斯反病毒公司Dr.Web的研究人员周一在一份报告中表示,该网络已被关闭。
整个操作依赖于代理多人游戏服务器,这些服务器由于ping值较低而诱使用户连接到它们。
当CS1.6游戏玩家连接到这些代理服务器时,他们将被重定向到使用四个RCE中的一个(在官方CS1.6游戏中有两个,在盗版中有两个)来执行代码并植入Belonard恶意软件的恶意游戏。他们的电脑。
感染了Belonard的计算机都被添加到类似僵尸网络的结构中。
BELONARD将收取广告和CS1.6服务器的费用
据Web安全研究员Ivan Korolev博士称,僵尸网络背后的人将使用Belonard恶意软件对用户的CS1.6客户进行修改,并在用户游戏中展示广告。
“当玩家开始游戏时,他们的昵称将改为可以下载受感染游戏客户端的网站地址,而游戏菜单将显示指向VKontakte CS 1.6社区的链接,其中包含超过11,500名订阅者,”Korolev说道。 。
但最重要的是,该木马主要用于推广合法的CS1.6多人游戏服务器,方法是将它们添加到用户的可用服务器列表中,而Belonard开发人员可以付费使用。
BELONARD受害者也会帮助感染其他用户
为了确保Belonard僵尸网络的增长并保持活跃,恶意软件的作者还有另一个技巧。
根据Korolev的说法,Belonard恶意软件还将创建在用户计算机上运行的代理服务器。
然后,这些服务器将显示在主CS1.6多人服务器列表中,其他用户将看到并连接这些服务器,认为它们是合法服务器。
但是,这些代理服务器会将游戏玩家重定向到托管四个RCE的恶意服务器,感染新游戏玩家,并提升Belonard僵尸网络的排名。
根据Korolev的说法,Belonard代理服务器网络增长到1,951台服务器,占当时可用的所有CS1.6多机服务器的39%。
Dr.Web研究员表示,他们与REG.ru域名注册商合作,取消了Belonard工作人员用于操作僵尸网络的所有域名。
在接管域名后,Dr.Web表示有127个游戏客户试图连接到水槽域,但受感染主机的数量很可能要大得多。
Korolev告诉ZDNet他告知CS1.6的制造商Valve,关于这两个零日。该公司承诺提供补丁,但拒绝透露何时。
根据Korolev的说法,用户可以识别Belonard的代理服务器,因为其代码中的错误将服务器游戏类型显示为“反恐精英1”,“反恐精英2”或“反恐精英3”而不是标准“反恐精英1.6。”