LibCat » Книги » Компьютеры и интернет » Прочая околокомпьтерная литература » Валентин Холмогоров - PRO вирусы. Версия 4.0

Валентин Холмогоров - PRO вирусы. Версия 4.0

Здесь есть возможность читать онлайн «Валентин Холмогоров - PRO вирусы. Версия 4.0» — ознакомительный отрывок электронной книги совершенно бесплатно, а после прочтения отрывка купить полную версию. В некоторых случаях можно слушать аудио, скачать через торрент в формате fb2 и присутствует краткое содержание. Год выпуска: 2020, Издательство: ООО «ЛитРес», www.litres.ru, Жанр: Прочая околокомпьтерная литература, на русском языке. Описание произведения, (предисловие) а так же отзывы посетителей доступны на портале библиотеки ЛибКат.

Читать книгу

Название:
PRO вирусы. Версия 4.0
Автор:
Валентин Холмогоров
Издательство:
ООО «ЛитРес», www.litres.ru
Жанр:
Прочая околокомпьтерная литература / на русском языке
Год:
2020
ISBN:
нет данных
Рейтинг книги:
4 / 5. Голосов: 2
Избранное:

Добавить в избранное
Отзывы:
Написать комментарий
Ваша оценка:
- 80
- 1
- 2
- 3
- 4
- 5

PRO вирусы. Версия 4.0: краткое содержание, описание и аннотация

Предлагаем к чтению аннотацию, описание, краткое содержание или предисловие (зависит от того, что написал сам автор книги «PRO вирусы. Версия 4.0»). Если вы не нашли необходимую информацию о книге — напишите в комментариях, мы постараемся отыскать её.

Время энтузиастов-одиночек, создававших компьютерные вирусы на заре информационной эпохи, давно прошло: в наши дни разработкой и распространением вредоносных программ занимаются хорошо организованные преступные группировки, имеющие жесткую иерархию и напоминающие по своей структуре настоящие мафиозные кланы. Объем этого подпольного рынка составляет сотни миллионов долларов. Книга рассказывает об истории возникновения и развития технологий компьютерных вирусов, их разновидностях, внутренней архитектуре, способах распространения и принципах действия. Книга позволит читателям познакомиться с таинственным теневым миром киберпреступности, представители которого ежедневно осуществляют атаки на компьютеры простых пользователей по всему миру. Издание четвертое, переработанное и дополненное.
В формате PDF A4 сохранен издательский макет.

PRO вирусы. Версия 4.0 — читать онлайн ознакомительный отрывок

Ниже представлен текст книги, разбитый по страницам. Система сохранения места последней прочитанной страницы, позволяет с удобством читать онлайн бесплатно книгу «PRO вирусы. Версия 4.0», без необходимости каждый раз заново искать на чём Вы остановились. Поставьте закладку, и сможете в любой момент перейти на страницу, на которой закончили чтение.

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

Осенью того же года по Сети начал разгуливать новый троянец, SteamLogger.1, с тем же самым функциональным назначением — кража предметов у игроков Dota 2, CS: GO и Team Fortress 2. Но устроен он был гораздо более замысловато.

Дроппер трояна распространялся с помощью ссылок на читерских сайтах, в социальных сетях и в личных сообщениях. Потенциальной жертве предлагалось купить по дешевке или обменять игровой инвентарь, а подробности сделки она должна была получить по ссылке, при нажатии на которую на компьютер скачивался дроппер троянца. Внутри дроппера в зашифрованном виде хранился сам троян и его сервисный модуль. При запуске исполняемого файла образ дроппера загружался в память, его содержимое расшифровывалось и сохранялось на диск: сервисный модуль в папку %TEMP% под именем update.exe , а тело трояна подгружалось в память с помощью метода Assembly.Load () . Сразу же после этого SteamLogger.1 скачивал с управляющего сервера и показывал на экране картинку с изображением якобы предлагаемого к продаже товара, чтобы усыпить бдительность жертвы.

Рис. 8. Вот такую картинку показывал игроку троянец SteamLogger.1

Дальше к работе подключался сервисный модуль. Он искал в папке ProgramFiles (x86)\Common Files\ подпапку с именем Steam (если не находил — создавал ее), сохранял в нее файл SteamService.exe , присваивал ему атрибуты «системный» и «скрытый», после чего запускал его, предварительно зарегистрировав это приложение в отвечающей за автозагрузку ветви реестра. Собрав информацию о зараженной машине (включая серийный номер системного раздела, версию и разрядность ОС), сервисный модуль отсылал ее на управляющий сервер. При этом использовались прокси, адреса которых хранятся в самой программе. Основное предназначение сервисного модуля — обновление трояна.

Основной модуль SteamLogger.1 висит в памяти зараженной машины, внимательно отслеживает состояние процесса игрового клиента и ждет, пока пользователь авторизуется в Steam. Как только это произойдет, троян перехватывает используемые для входа в учетную запись данные, определяет, используются ли защитные механизмы SteamGuard, steam-id, security token, и передает все эти сведения на управляющий сервер. В ответ он получает список аккаунтов, на которые можно передать украденные у жертвы игровые предметы, и необходимые для совершения «сделки» параметры. Затем троян ищет в папке steam-клиента файлы, в именах которых содержится строка ssfn* , собирает содержимое подпапки confg , после чего формирует из полученных файлов большой массив, дописывает в его конец данные об аккаунте жертвы и шифрует все это с помощью Base64. Результат отсылается на управляющий сервер. Наконец, SteamLogger.1 проверяет, включена ли в клиенте Steam функция автоматического входа в аккаунт, и, если нет, запускает кейлоггер, который записывает и передает злодеям коды нажимаемых на зараженной машине клавиш. Любопытно, что кейлоггер не сохраняет результат своей работы в файл на локальной машине, а формирует специальный POST-запрос и передает его на управляющий сервер с интервалом в пятнадцать секунд. Этот запрос обрабатывается и логируется уже на стороне сервера.

Предметы, которые троянец планирует украсть, он ищет в инвентаре жертвы по ключевым словам Mythical, Legendary, Arcana, Immortal, Container и Supply Crate. При этом SteamLogger.1 проверяет, не выставил ли сам пользователь что-либо из списка на продажу, и, если это так, снимает с продажи интересующий его предмет. После чего все найденные предметы передаются на один из аккаунтов Steam, реквизиты которых троян получил ранее с управляющего сервера. Для перепродажи краденого киберпреступники создали несколько интернет-магазинов.

С тех пор новые вредоносы, предназначенные для угона аккаунтов Steam и различного игрового инвентаря, стали появляться регулярно. Распространению способствовало и появление троянцев, продававшихся как услуга — по принципу malware as a service . Несколько таких стилеров активно распространялись летом 2018 года. Стоило пользователю зараженной машины выставить для обмена какой-либо игровой предмет на одной из предназначенных для этого площадок, такой троянец дожидался запроса от желающего обменять артефакт пользователя, отклонял его, а затем использовал аватар и ник игрока, чтобы направить жертве аналогичное предложение, но уже от имени учетной записи злоумышленника. При обмене инвентаря на официальном портале steamcommunity.com троян с помощью веб-инжекта менял изображения игровых предметов. Игроку казалось, что он приобретает дорогой и очень ценный артефакт, в то время как на самом деле он получал дешевую «безделушку».