Статус темы: Тема закрыта, ответ в этой теме невозможен.

Вредoносные ссылки в Steam


  1. vkontakte
  2. mail
  1. XAHTE4560
    Coop-Бог

    Оффлайн
    +11

    Сообщений: 286

    Симпатий: 38

    Трофеев: 16

    Эпидемия вредоносных ссылок в Steam
    10 ноября 2014
    В последнее время появился новый вид вредоносного ПО для Steam, который направлен исключительно на кражу ценных предметов из инвентарей пользователей.

    Распространяется данная малварь под видом ссылки на изображение в формате *.jpg (http://example.org/example.jpg), которую отправляют всем своим френдам в Steam уже заражённые пользователи. При переходе по ссылке скачивается не файл картинки, а нечто вида случайное_имя.jpg.scr.

    Формат SCR — это обычный Windows PE файл (как и exe), используемый для заставок Windows. Такой расчёт скорее всего сделан на невнимательных пользователей двух категорий:

    у которых отключено отображение расширений для зарегистрированных типов файлов (по умолчанию в Windows);
    тех, у кого первое включено, но он не знает о том, что SCR — это обычный исполняемый файл.
    Данное вредоносное ПО создаётся в специальном генераторе, который недавно утёк в паблик на одном известном в узких кругах ресурсе (ныне ссылки уже стёрты, но Интернет ничего не забывает).

    Я загрузил экземпляр данного вредоносного ПО в отладчик и провёл небольшой анализ. После запуска SCR файла пользователь таки увидит картинку, но в фоне малварь осуществит следующие действия:

    получит содержимое инвентаря вошедшего в Steam пользователя;
    отправит на удалённый сервер куки авторизации клиента Steam;
    если в инвентаре есть ценные предметы игр TF2 и Dota2, то переходит дальше, иначе — на шаг 7;
    создаст виртуальный невидимый рабочий стол;
    отправит трейд-реквесты со всеми ценными предметами на один из захардкоденых внутри SteamID мошенника (трейд-реквесты появляются на невидимом виртуальном рабочем столе);
    отправит все имеющиеся в инвентаре подарки (гифты) на один тот же самый SteamID мошенника;
    получит список друзей Steam заражённого аккаунта и начнёт массовую рассылку по ним ссылки на загрузку своей копии (текст случайный из словаря программы). Окна входящих сообщений подавляются путём вывода на скрытый виртуальный рабочий стол;
    полностью удалит себя из системы.
    Таким образом, современные вирмейкеры поняли, что воровать аккаунты и потом вручную перебрасывать вещи бессмысленно ибо их восстановит саппорт. Украденные новым способом вещи через саппорт вернуть практически невозможно ибо HardwareID и IP совпадают с предыдущими входами и Steam не фиксирует взлома. Доказать наличие вредоноса также не представляется возможным ибо он уже самоуничтожился из системы.

    Будьте бдительны и никогда не переходите по ссылкам, которые вам отправляют даже старые друзья.
    Zyryanoff, urka419, vovan0440 и ещё 4 нравится это сообщение.
    Сообщение отредактировал XAHTE4560 11 ноября 2014 - 22:48
    11 ноября 2014 - 22:48 / #1
  2. djokeridze
    Более чем богоподобный

    Оффлайн
    +7

    Сообщений: 443

    Симпатий: 99

    Трофеев: 17

    Приму к сведению, это вообще детектируется?

    11 ноября 2014 - 22:50 / #2
  3. vovan0440
    Покоритель планеты

    Оффлайн

    Сообщений: 1365

    Симпатий: 303

    Трофеев: 24

    @XAHTE4560, Да сегодня у меня ''друг ''в стиме засыпал такими ссылками ,пришлось его заблокировать и удалить .

    11 ноября 2014 - 22:52 / #3
  4. KryBet
    Прародитель живого

    Оффлайн

    Сообщений: 5940

    Симпатий: 1499

    Трофеев: 33

    Без дурака и жизнь не та
    11 ноября 2014 - 22:52 / #4
  5. SirWave
    Coop-Мастер

    Оффлайн
    +5

    Сообщений: 73

    Симпатий: 5

    Трофеев: 9

    Лол, недавно чувак в друзья пытался пробится с сылкой типа такой. Благо про развод такой знал и нахер удалил чела. и вроде репорт кинул.
    djokeridze нравится это сообщение.
    11 ноября 2014 - 22:53 / #5
  6. KryBet
    Прародитель живого

    Оффлайн

    Сообщений: 5940

    Симпатий: 1499

    Трофеев: 33

    @djokeridze, просто смотри разширение файла
    11 ноября 2014 - 22:55 / #6
  7. djokeridze
    Более чем богоподобный

    Оффлайн
    +7

    Сообщений: 443

    Симпатий: 99

    Трофеев: 17

    @KriBetko, ну это понятно, всегда стараюсь обращать на это внимание, я имею в виду антивирусы его видят? :D
    XAHTE4560 нравится это сообщение.

    11 ноября 2014 - 22:56 / #7
  8. Astrix104

    Оффлайн
    +4

    Сообщений: 138

    Симпатий: 67

    Трофеев: 13

    @XAHTE4560,
    Вредoносные ссылки в Steam
    XAHTE4560 нравится это сообщение.

    Cheeki breeki i v damke ( ͡° ͜ʖ ͡°)

    11 ноября 2014 - 22:57 / #8
  9. KryBet
    Прародитель живого

    Оффлайн

    Сообщений: 5940

    Симпатий: 1499

    Трофеев: 33

    @djokeridze, не знаю. Но думаю, уже работают над этим.
    11 ноября 2014 - 22:57 / #9
  10. XAHTE4560
    Coop-Бог

    Оффлайн
    +11

    Сообщений: 286

    Симпатий: 38

    Трофеев: 16

    @djokeridze, Только визуально это можно понять,а так нет так как после выполнения программы она сама себя удаляет.
    11 ноября 2014 - 23:03 / #10
  11. FaNaTiK2495
    Главный ReвиZoR

    Оффлайн

    Сообщений: 8223

    Симпатий: 1318

    Трофеев: 36

    За развод спасибо. Добавлю в базу: http://coop-land.ru/forum/showtopic/44123-vse-o-sposobah-moshennichestva-kak-ih-
    raspoznat-i-ne-ne-popastsya-na-ih-ulovki/
    XAHTE4560 нравится это сообщение.

    Первый раз на сайте? Ничего не понятно?
    Читай: FAQ по использованию форума и сайта

    11 ноября 2014 - 23:22 / #11
  12. djokeridze
    Более чем богоподобный

    Оффлайн
    +7

    Сообщений: 443

    Симпатий: 99

    Трофеев: 17

    А я всё думал, почему так много рандомных людей в "френды" стучится?)
    XAHTE4560 нравится это сообщение.

    11 ноября 2014 - 23:28 / #12
  13. O_L_E_G
    Просвещенный

    Оффлайн
    +1

    Сообщений: 74

    Симпатий: 11

    Трофеев: 11

    Поступил в институт,нет времени на любимую! Кому нужен акк забирайте вот ссылка на скрин с логином, паролем, и мылом
    addscrn.com/0Bdg0v/png/Screen_81621.png
    мне вот такая фигня приходит от всех друзей P.S на ссылку не нажимать
    FaNaTiK2495 нравится это сообщение.
    Сообщение отредактировал FaNaTiK2495 12 ноября 2014 - 14:20
    12 ноября 2014 - 14:19 / #13
  14. Nitran
    Deus ex machina

    Оффлайн
    +81

    Сообщений: 1272

    Симпатий: 294

    Трофеев: 21

    @O_L_E_G, Файл scr. Исчезает после запуска. Скидывает то что ты сейчас написал всем друзьям в стиме ну и акк ворует конечно.
    12 ноября 2014 - 14:21 / #14
  15. Dartec
    Более чем богоподобный

    Оффлайн
    +12

    Сообщений: 575

    Симпатий: 84

    Трофеев: 19

    как ценные вещи попадаются так сразу их продаю на площадке
    12 ноября 2014 - 14:36 / #15

Статистика форума, пользователей онлайн: 68 (за последние 15 минут)

Все материалы на форуме предоставляются участниками.

Если распространяете информацию с сайта, старайтесь всегда указывать ссылку на исходную статью, спасибо!