Статус темы: Тема закрыта, ответ в этой теме невозможен.

Вредoносные ссылки в Steam
11 ноября 2014 - 22:48 #1
Coop-Бог   Сообщений: 286 , Симпатий: 38 , Трофеев: 16
+11
Эпидемия вредоносных ссылок в Steam
10 ноября 2014
В последнее время появился новый вид вредоносного ПО для Steam, который направлен исключительно на кражу ценных предметов из инвентарей пользователей.

Распространяется данная малварь под видом ссылки на изображение в формате *.jpg (http://example.org/example.jpg), которую отправляют всем своим френдам в Steam уже заражённые пользователи. При переходе по ссылке скачивается не файл картинки, а нечто вида случайное_имя.jpg.scr.

Формат SCR — это обычный Windows PE файл (как и exe), используемый для заставок Windows. Такой расчёт скорее всего сделан на невнимательных пользователей двух категорий:

у которых отключено отображение расширений для зарегистрированных типов файлов (по умолчанию в Windows);
тех, у кого первое включено, но он не знает о том, что SCR — это обычный исполняемый файл.
Данное вредоносное ПО создаётся в специальном генераторе, который недавно утёк в паблик на одном известном в узких кругах ресурсе (ныне ссылки уже стёрты, но Интернет ничего не забывает).

Я загрузил экземпляр данного вредоносного ПО в отладчик и провёл небольшой анализ. После запуска SCR файла пользователь таки увидит картинку, но в фоне малварь осуществит следующие действия:

получит содержимое инвентаря вошедшего в Steam пользователя;
отправит на удалённый сервер куки авторизации клиента Steam;
если в инвентаре есть ценные предметы игр TF2 и Dota2, то переходит дальше, иначе — на шаг 7;
создаст виртуальный невидимый рабочий стол;
отправит трейд-реквесты со всеми ценными предметами на один из захардкоденых внутри SteamID мошенника (трейд-реквесты появляются на невидимом виртуальном рабочем столе);
отправит все имеющиеся в инвентаре подарки (гифты) на один тот же самый SteamID мошенника;
получит список друзей Steam заражённого аккаунта и начнёт массовую рассылку по ним ссылки на загрузку своей копии (текст случайный из словаря программы). Окна входящих сообщений подавляются путём вывода на скрытый виртуальный рабочий стол;
полностью удалит себя из системы.
Таким образом, современные вирмейкеры поняли, что воровать аккаунты и потом вручную перебрасывать вещи бессмысленно ибо их восстановит саппорт. Украденные новым способом вещи через саппорт вернуть практически невозможно ибо HardwareID и IP совпадают с предыдущими входами и Steam не фиксирует взлома. Доказать наличие вредоноса также не представляется возможным ибо он уже самоуничтожился из системы.

Будьте бдительны и никогда не переходите по ссылкам, которые вам отправляют даже старые друзья.
Zyryanoff, urka419, vovan0440 и ещё 4 нравится это сообщение.
Сообщение отредактировал XAHTE4560 11 ноября 2014 - 22:48
11 ноября 2014 - 22:50 #2
Более чем богоподобный   Сообщений: 443 , Симпатий: 99 , Трофеев: 17
+7
Приму к сведению, это вообще детектируется?
11 ноября 2014 - 22:52 #3
Покоритель планеты   Сообщений: 1384 , Симпатий: 304 , Трофеев: 24
@XAHTE4560, Да сегодня у меня ''друг ''в стиме засыпал такими ссылками ,пришлось его заблокировать и удалить .
11 ноября 2014 - 22:52 #4
Прародитель живого   Сообщений: 5940 , Симпатий: 1503 , Трофеев: 33
Без дурака и жизнь не та
11 ноября 2014 - 22:53 #5
Coop-Бог   Сообщений: 74 , Симпатий: 5 , Трофеев: 11
+4
Лол, недавно чувак в друзья пытался пробится с сылкой типа такой. Благо про развод такой знал и нахер удалил чела. и вроде репорт кинул.
djokeridze нравится это сообщение.
11 ноября 2014 - 22:55 #6
Прародитель живого   Сообщений: 5940 , Симпатий: 1503 , Трофеев: 33
@djokeridze, просто смотри разширение файла
11 ноября 2014 - 22:56 #7
Более чем богоподобный   Сообщений: 443 , Симпатий: 99 , Трофеев: 17
+7
@KriBetko, ну это понятно, всегда стараюсь обращать на это внимание, я имею в виду антивирусы его видят? :D
XAHTE4560 нравится это сообщение.
11 ноября 2014 - 22:57 #8
  Сообщений: 138 , Симпатий: 67 , Трофеев: 13
+4
@XAHTE4560,
Вредoносные ссылки в Steam
XAHTE4560 нравится это сообщение.
11 ноября 2014 - 22:57 #9
Прародитель живого   Сообщений: 5940 , Симпатий: 1503 , Трофеев: 33
@djokeridze, не знаю. Но думаю, уже работают над этим.
11 ноября 2014 - 23:03 #10
Coop-Бог   Сообщений: 286 , Симпатий: 38 , Трофеев: 16
+11
@djokeridze, Только визуально это можно понять,а так нет так как после выполнения программы она сама себя удаляет.
11 ноября 2014 - 23:22 #11
  Сообщений: 8532 , Симпатий: 1401 , Трофеев: 34
За развод спасибо. Добавлю в базу: http://coop-land.ru/forum/showtopic/44123-vse-o-sposobah-moshennichestva-kak-ih-
raspoznat-i-ne-ne-popastsya-na-ih-ulovki/
XAHTE4560 нравится это сообщение.
Первый раз на сайте? Ничего не понятно?
Читай:FAQ по использованию форума и сайта
11 ноября 2014 - 23:28 #12
Более чем богоподобный   Сообщений: 443 , Симпатий: 99 , Трофеев: 17
+7
А я всё думал, почему так много рандомных людей в "френды" стучится?)
XAHTE4560 нравится это сообщение.
12 ноября 2014 - 14:19 #13
Просвещенный   Сообщений: 74 , Симпатий: 11 , Трофеев: 11
+1
Поступил в институт,нет времени на любимую! Кому нужен акк забирайте вот ссылка на скрин с логином, паролем, и мылом
addscrn.com/0Bdg0v/png/Screen_81621.png
мне вот такая фигня приходит от всех друзей P.S на ссылку не нажимать
FaNaTiK2495 нравится это сообщение.
Сообщение отредактировал FaNaTiK2495 12 ноября 2014 - 14:20
12 ноября 2014 - 14:21 #14
Deus ex machina   Сообщений: 1272 , Симпатий: 294 , Трофеев: 21
+81
@O_L_E_G, Файл scr. Исчезает после запуска. Скидывает то что ты сейчас написал всем друзьям в стиме ну и акк ворует конечно.
12 ноября 2014 - 14:36 #15
Более чем богоподобный   Сообщений: 618 , Симпатий: 85 , Трофеев: 19
+12
как ценные вещи попадаются так сразу их продаю на площадке
  • Статистика форума:
    Всего участников: 827879 Участников онлайн: 641 (показать) Новый участник: Mirayzaki
    Создано тем: 65876 Всего сообщений: 911011