Шахрайство в онлайн-іграх. Гра як засіб наживи

1. гра
2. Пірати
3. крадіжки
4. Методи, які використовуються для крадіжки паролів до онлайн-ігор
5. 2. Використання програмних вразливостей ігрового сервера
6. 3. Використання шкідливих програм
7. Розвиток шкідливих програм для крадіжки паролів до онлайн-ігор
8. троянські програми
9. Хробаки і віруси
10. Технології самозахисту шкідливих програм для онлайн-ігор
11. Схема сучасної атаки
12. «Географія» проблеми
13. немного статистики
14. Висновок

Всі ми граємо в ігри: хтось в спортивні, хтось в азартні, а для кого-то і все життя - гра. Давно перестали бути чимось незвичайним і загадковим і комп'ютерні ігри - в них захоплено грають мільйони і мільйони: хто в тетріс, хто - в Counter-Strike, і всі отримують від цього задоволення.

З розвитком Інтернету з'явився окремий клас комп'ютерних ігор - ігор, в які можна грати не тільки локально на своєму комп'ютері або з партнером на одній клавіатурі, а з тисячами і десятками тисяч гравців з усієї планети. В світі MMORPG (Massive multiplayer online role-playing game - «масова розрахована на багато користувачів онлайнова рольова гра») або просто онлайн-ігор можна знайти свою долю, знайомитися з гравцями, дружити, воювати, битися пліч-о-пліч з віртуальним всесвітнім злом і - грати, грати, грати ...

Однак не все райдужно в цьому світі - віртуальне зло може виявитися цілком реальним і жадібним: в онлайн-ігри грають живі люди, серед яких знаходяться шахраї і злодії, «заробляють» справжні гроші на викраденні чужої віртуальної власності.

У нашій статті ми розглянемо, як здійснюється в MMORPG-іграх крадіжка паролів, крадіжка віртуальної власності та інші зловмисні дії.

гра

Онлайн-ігри побудовані на дуже простому принципі взаємодії гравців між собою і з комп'ютерними персонажами гри. Весь ігровий процес зводиться до «блукання» по дуже красивим віртуальних світах і виконання будь-яких завдань, за які гравці отримують не очки, як у звичайній комп'ютерній грі, а ігрові гроші / цінності. Здобуті «кров'ю і потом» віртуальні багатства можна тут же витратити на «купівлю» інших ігрових цінностей, з їх допомогою почати виконувати ще більш складні завдання, «заробити» ще більше «грошей», знову бродити по світах і так далі, і так далі - в онлайн-грі ніколи не з'явиться напис «Game Over».

Сцена битви в онлайн-грі «Lineage II»
(З сайту www.lineage2.com)

Онлайн-ігри - це ігри за правилами, встановленими розробниками та адміністраторами ігрових серверів. Ці люди витрачають свій час і гроші на створення / підтримку віртуальних світів, і ця робота приносить їм реальний дохід.

Центр підтримки компанії Blizzard,
розробника онлайн-гри «World of Warcraft»
Monica Almeida / The New York Times
(З сайту www.nytimes.com)

Онлайн-гру можна купити в магазині або завантажити з Мережі, але щоб в неї грати, в більшості випадків необхідно щомісяця купувати абонемент. Кошти, виручені за абонементи, йдуть на оплату трафіку, підтримку ігрових серверів, створення нових віртуальних локацій, додавання ігрових речей. У динамічному і швидко розвивається онлайн-ігор гравці можуть «жити» роками.

Пірати

Світ онлайн-ігор дуже динамічний: щороку з'являються нові ігри, зростає армія гравців. І практично відразу після виходу ліцензійної версії тієї чи іншої гри в Мережі починають з'являтися піратські ігрові сервери з «безкоштовними» світами, що відтворюють світи гри ліцензійної.

Початок продажів онлайн-гри «World of Warcraft» в Європі
(З сайту www.worldofwarcraft.com)

Кількість піратських серверів величезна. Наприклад, на запит «private game server», зроблений 22 червня 2007 року, Google видав близько 10 800 000 сторінок, і це число постійно зростає. На одній популярній онлайн-грі можуть паразитувати сотні тисяч нелегітимних серверів. Така велика кількість обумовлена ​​їх популярністю у гравців, що бажають заощадити гроші або цих грошей зовсім не мають (підлітків, студентів та ін.). Ідея здається їм привабливою: навіщо витрачати гроші на абонемент для гри на офіційному сервері, якщо можна грати в ту ж гру на піратському, оплачуючи лише свій інтернет-трафік? Насправді все трохи інакше ...

Відкриття піратського сервера - вчинок аж ніяк не альтруїстичний. Такий сервер необхідно адмініструвати, підтримувати, витрачати на нього час і гроші (хоча б на трафік). Навіщо піратам це треба? Відповідь проста: справа в тому, що адміністрація піратського сервера починає продавати віртуальні цінності за реальні гроші! І ці продажі приносять непоганий дохід. Про це можна судити хоча б по тому, яке обладнання адміністрація бере в оренду для сервера.

Якість гри на піратських серверах набагато гірше, ніж на офіційному сервері, і це створює проблеми для гравців: помилки, недоліки, періодичне переривання з'єднання - все це істотно гальмує і часом псує ігровий процес. При цьому абсолютно не важливо, як грає користувач - майстерно, добре, погано ... Рано чи пізно він починає розуміти, що перебування на одному рівні гри може тривати дуже довго. Тут йому на допомогу і приходить адміністратор з пропозицією купити віртуальні цінності за реальні гроші.

Ігрові «цінності» можуть продаватися адміністраторами не тільки піратських серверів. Залежно від гри та політики адміністрації такі продажі можуть заохочуватися і на офіційних серверах.

крадіжки

Виникає закономірне питання: чому продавати віртуальні цінності може тільки адміністратор ігрового сервера, їх же можуть продавати самі гравці іншим гравцям? Можуть, і продають. Але такі «товарно-грошові відносини» можуть бути заборонені адміністрацією сервера, особливо піратського, бо в такому випадку гроші проходять повз її рук. Втім, гравців заборони не зупиняють - це їх «бізнес»: посидів людина перед монітором, пограв, заробив щось в грі і продав за реальні гроші.

Гра в онлайн-світі - гра, за яку платять? Так, і буває, навіть дуже добре платять. Є сайти, де можна довідатися про ціни на ігрові «гроші» офіційних ігрових серверів. Зрозуміло, мова йде найчастіше про нелегальну купівлю-продаж: в більшості згадуваних на даних сайтах ігор продаж віртуальних цінностей за реальні гроші не заохочується.

Будь-яка цінність в онлайн-грі може мати грошовий еквівалент в реальному світі. Ось тут-то і з'являються бажаючі поживитися, тобто чужу віртуальну власність вкрасти. Але як? Виявляється, володіючи певними знаннями, зробити це можна досить просто.

Системи авторизації (перевірки на справжність) гравців в більшості онлайн-ігор засновані на введенні пароля. Гравець при вході на сервер вводить ім'я користувача і пароль. Однозначно ідентифікуючи користувача, сервер дозволяє вхід і надає гравцеві повну свободу дій в грі. Зловмисник, який отримав чужий пароль, може спокійно обікрасти свою жертву і виставити вкрадені «речі» на продаж.

Викрадене добро виставляється на інтернет-аукціонах (наприклад, ebay.com), форумах, спеціалізованих сайтах з метою продажу за віртуальні або реальні гроші іншим гравцям. Злодій може також зажадати у господаря викуп за крадене. Сумно, але «віртуальні» крадіжки приносять зловмисникам досить відчутний реальний дохід.

Продаж ігрових персонажів на ebay.com

Скупка краденого, звичайно, переслідується за законом - тобто за правилами сервера, - і гравці офіційних ігрових серверів знають, що в разі будь-якого інциденту у них є союзник в особі адміністрації. У будь-який момент гравець може написати «петицію» (запит, скаргу та ін.), І всі проблеми будуть вирішені для того, щоб він зміг продовжити гру в найкоротші терміни.

З піратськими серверами, яких у багато разів більше, ніж легальних, все інакше: оскільки гравці за підтримку не платять, на розгляд з інцидентами з боку адміністрації сервера їм розраховувати не доводиться. У жертви практично немає шансів довести свою непричетність до скоєного з його віртуальним майном злодіяння. Будь-які докази крадіжки пароля, як правило, ігноруються - під тим приводом, що діалоги з іншими гравцями можна підробити, а картинки і скріншоти підмалювати в Photoshop'е.

Шахраї можуть практично не побоюватися за свої дії на піратських серверах, так як ніякі санкції проти них в більшості випадків не застосовуються. На офіційних серверах справа йде куди краще. Персонажам гравців, викритих у крадіжці, закривають доступ до гри, а в деяких випадках навіть блокуються мережеві адреси «провинилися».

В цілому ситуація, пов'язана з крадіжкою паролів до онлайн-ігор, досить серйозна. Гравці постійно перебувають під прицілом зловмисників.

Часте на ігрових форумах повідомлення про крадіжку пароля
(... і доречна реклама від Google)

Методи, які використовуються для крадіжки паролів до онлайн-ігор

Практично всі крадіжки пов'язані з конкретними серверами онлайн-ігор. Як правило, шахрая цікавлять тільки ім'я і пароль жертви без адреси сервера, на якому ця жертва зареєстрована. Отже, зловмисник знає, на якому сервері грає його жертва і, швидше за все, є гравцем цього ж сервера. Такі злодії промишляють як на піратських, так і на офіційних серверах, хоча загроза втрати ігрових цінностей для гравців піратських серверів набагато серйозніше і більш актуальною.

Розглянемо кілька методів, застосовуваних зловмисниками для отримання чужих паролів.

Один з методів полягає в тому, що в грі або на форумі ігрового сервера гравцям відкритим текстом пропонується віддати свої паролі сторонній особі для отримання якоїсь допомоги в грі або якихось бонусів. Зловмисник, який робить таку пропозицію, не так наївний, як здається на перший погляд. Швидше, наївними і довірливими виявляються гравці: багато хто з них шукають способи полегшити собі гру. В результаті злодій, скориставшись паролями, залишає своїх жертв ні з чим.

Ще один різновид соціальної інженерії - розсилка фішингових листів нібито від імені адміністрації сервера, в яких під тим або іншим приводом гравцям пропонується «пройти аутентифікацію» на вказаній веб-сторінці.

Приклад фішингових листи:
посилання веде на фішингову сторінку http: //lineage***.ru
(З форуму гри - forum.lineage2.su)

Новина від адміністрації сервера
про фішинговою АТТАК на гравців
(З сайту eu.plaync.com)

Однак ці способи отримання пароля, незважаючи на свою простоту і ефективність, не можуть принести великий прибуток зловмисникові, так як на його вудку не потраплять просунуті і, відповідно, «багаті» гравці.

2. Використання програмних вразливостей ігрового сервера

Ігровий сервер являє собою набір системних служб, програм і баз даних для обслуговування ігрового процесу. Як і в будь-якому іншому програмному забезпеченні, в коді сервери знаходяться помилки і недоліки розробників - потенційно вразливі місця, за допомогою експлуатації яких зловмисник може отримати доступ до баз даних сервера і вивудити з неї паролі гравців або хеші (паролі в зашифрованому вигляді, для дешифрування яких використовуються спеціальні програмні засоби).

Відома, наприклад, вразливість, пов'язана з чатом гравців в грі. При відсутності ізольованості середовища спілкування гравців від ігрових баз даних і відсутності перевірок на спецсимволи / команди зловмисник або за допомогою спеціальних програм, або вручну може отримати доступ до бази даних гравців прямо з ігрового чату.

Ігровий чат онлайн-ігри «Linage II»
(З сайту www.lineage2.com)

Варто також відзначити, що кількість і «якість» вразливостей, за допомогою яких викрадач може отримати доступ до внутрішніх баз даних сервера, залежить від статусу останнього. На піратських серверах створення спеціальних «латок», що закривають уразливості, займає набагато більше часу, ніж на офіційних (якщо, звичайно, адміністратор піратського сервера взагалі вирішить закрити вразливість).

Окремим пунктом потрібно виділити спосіб отримання чужого пароля через систему відновлення забутого пароля. Зловмисник за допомогою спеціально сформованого запиту до системи (або просто шляхом перебору відповідей на питання, задані користувачем для зміни пароля) змінює чужий пароль і заходить в гру вже під новим, відомим тільки йому, паролем.

Використання програмних вразливостей сервера пов'язано з технічними складнощами, а підготовка і проведення атаки вимагає значних інтелектуальних зусиль. Результат, як правило, коштує витрачених сил, але далеко не кожен хакер здатний на це.

3. Використання шкідливих програм

В даному випадку злодій створює шкідливе програмне забезпечення, яке розповсюджується всіма можливими способами:

• на форумі гравців публікуються посилання на шкідливу програму під виглядом посилання на патч гри;
• в самій грі проводяться спам-розсилки посилань на шкідливу програму під виглядом «нового патча»;
• по електронній пошті розсилається спам з самої шкідливою програмою або з посиланнями на її виконуваний файл;
• шкідливі програми поширюються через файлообмінні мережі;
• використовуються уразливості веб-браузерів - для завантаження шкідливих програм при відвідуванні ігрових сайтів.
  Але найчастіше зловмисники публікують на ігровому форумі або в грі посилання на шкідливу програму з коментарями про те, який / -е / -а це класний / -е / -а патч / виправлення / тулза і як він / вона / вона полегшує життя гравців ...

Новина піратського сервера

Існують як «вузькоспеціалізовані» шкідливі програми, атакуючі виключно онлайн-гравців, так і зловредів, в завдання яких входить крадіжка будь-яких паролів (до ігор в тому числі). Найбільш поширені шкідливі програми, які використовуються для крадіжки паролів до онлайн-ігор, згідно з класифікацією «Лабораторії Касперського» відносяться до поводженням Trojan-PSW, Trojan-Spy і до сімейства Trojan.Win32.Qhost.

Перший тип троянців часто використовує класичні прийоми перехоплення введення з клавіатури жертви: якщо гравець вводить пароль, адреса ігрового сервера і інші відомості з клавіатури зараженого комп'ютера, ця інформація стає доступна зловмисникові.

Другий тип троянців базується на зміні файлу «% WinDir% system32driversetchosts», який містить інформацію про статичному відповідно мережевого адреси імені сервера. При внесенні в даний файл помилкового адреси ігрового сервера ігровий клієнт буде проходити авторизацію нема на цьому сервері, а на сервері зловмисника, в результаті чого пароль буде переданий останньому безпосередньо.

Варто згадати також про деяких представників сімейства Trojan-Spy.Win32.Delf, що встановлюють в настройках браузера Internet Explorer якийсь підставний проксі-сервер для підключення до сервера онлайн-ігри (в цьому випадку, аналогічно зміні файлу «hosts», всі дані, пов'язані з входом користувача в гру, передаються зловмисникові). Для деяких онлайн-ігор, де гравцям не потрібно вводити пароль (що зроблено розробниками як раз для захисту користувачів від кейлоггеров), злодієві передаються не паролі в символьній формі, а скріншоти екрану із запущеною грою.

Деякі представники Trojan-PSW перехоплюють дані, що вводяться в веб-форми на певних сайтах. Такі віруси також використовуються для отримання пароля до онлайн-грі користувача. Справа в тому, що на багатьох ігрових серверах можна отримати доступ до статистики або будь-якої іншої інформації, пов'язаної з грою, через веб-інтерфейс сервера; для цього гравцеві необхідно вказати свої ім'я та пароль. У момент передачі цих даних і відбувається їх перехоплення.

Вкрадені паролі можуть передаватися зловмисникові через електронну пошту, по IM-каналах (Instant Messaging - системи миттєвого обміну повідомленнями), за допомогою викладання на його ftp-сервер або ж шляхом відкриття мережевого доступу до папки, яка містить файл з паролем - через web, ftp або shared folder.

Часте на ігрових форумах повідомлення про крадіжку паролів
за допомогою шкідливих програм

В силу своєї простоти (викрадачеві не потрібні особливі технічні навички) і високої прибутковості використання шкідливих програм для крадіжки паролів до онлайн-ігор отримало найбільше поширення.

Розвиток шкідливих програм для крадіжки паролів до онлайн-ігор

Перші шкідливі програми для онлайн-ігор були найпростішими, але сьогодні, коли програмістська думка досягла своїх висот, вони стали дуже складні і витончені. Їх еволюція відбувалася в трьох напрямах: перший - розвиток і модернізація функції безпосередньої крадіжки пароля і доставки його зловмисникові (Trojan-PSW); друге - вдосконалення засобів поширення шкідливої ​​програми (worm, virus); третє - самозахист вірусів від антивірусів (rootkit, killav, packers).

троянські програми

Перші випадки крадіжки користувальницьких паролів до онлайн-ігор за допомогою шкідливих програм були зафіксовані в 1997 році, коли в антивірусні компанії стали приходити листи від гравців Ultima Online, що містять шкідливе ПЗ для аналізу. Спочатку це були в основному класичні кейлоггери, тобто троянські програми, що не мають прямого відношення до онлайн-ігор і здійснюють збір всієї інформації, що вводиться користувачем з клавіатури.

Дерло шкідлівою програмою, орієнтованою самє на крадіжка паролів до онлайн-ігор, ставши троянець Trojan-PSW.Win32.Lmir.a . З'явився в кінці 2002 року, він був простеньку програмку, написану на мові Delphi, за таймером шукати вікно з заголовком «legend of mir2», а потім відсилає всю інформацію, що вводиться в це вікно інформацію на електронну адресу зловмисника. Ця шкідлива програма була китайського походження, не претендувала на оригінальність і не обіцяла бути широко розповсюдженим. Однак незабаром простенький і непримітний троянець став «класикою жанру» крадіжки паролів до онлайн-ігор. Мабуть, вихідні коди цього вірусу колись потрапили в Мережу, і його почали модифікувати під інші онлайн-ігри, що виявилося справою нескладною. Так, при заміні заголовка в рядку пошуку вікна атакується гри (наприклад, на «MapleStory»), троянець крав пароль від іншої гри. Такі нехитрі ходи незабаром викликали лавиноподібне зростання популяції зловредів для онлайн-ігор.

Масовому поширенню і великому числу модифікацій Trojan-PSW.Win32.Lmir сприяли кілька чинників:

1. Популярність онлайн-гри «Legend of Mir», на реєстрації гравці мають змогу орієнтований Trojan-PSW.Win32.Lmir.
2. Наявність великої кількості серверів даної гри.
3. Можливість поширення троянця через помилки в браузері: зловмисники зламували веб-сайт сервера гри і розміщували на ньому скрипт, який здійснював завантаження вірусу на комп'ютери гравців і його запуск.
4. Поява більш 30 конструкторів Trojan-PSW.Win32.Lmir (Constructor.Win32.Lmir - спеціальне програмне забезпечення для створення і налаштування троянів, що крадуть паролі до «Legend of Mir 2»).

Після очевидних успіхів Lmir зловмисники стали переробляти шкідливу програму, вибираючи в якості мішеней інші популярні онлайн-ігри. Такі «послідовники» Lmir, як Trojan-PSW.Win32.Nilage ( «націлені» на «Lineage II») і Trojan-PSW.Win32.WOW (атакують гравців «World of Warcraft»), що з'явилися в 2004 і 2005 роках відповідно, до сих пір мають найбільший попит серед зловмисників, оскільки популярність атакованих ними ігор продовжує рости. Відзначимо також, що більшість подібних троянців орієнтовані на крадіжку імен і паролів до серверів онлайн-ігр, які перебувають на домені «.tw», в той час як передача викраденої інформації здійснюється на пошту або ftp-сервера в домені «.cn».

Більшість троянських програм орієнтовані на конкретні онлайн-ігри. Однак в 2006 році з'явився Trojan-PSW.Win32.OnLineGames.a , Який став красти паролі практично до всіх популярних онлайн-ігор (зрозуміло, вже з адресами серверів, на яких зареєстрована жертва), причому список цікавлять його ігор постійно зростає.

Частина шкідливої ​​програми Trojan-PSW.Win32.OnLineGames.fs
(Яка краде пароль, зокрема, до онлайн-грі «MapleStory»)

Сучасний троянець, що займається крадіжкою паролів до онлайн-грі, являє собою динамічну бібліотеку (DLL-файл), написану на Delphi, яка автоматично приєднується до всіх програм, запущеним в системі. При виявленні запуску онлайн-гри така шкідлива програма здійснює перехоплення введення з клавіатури пароля, після чого відправляє пароль на пошту зловмисника і самовидаляється. Використання динамічної бібліотеки дозволяє легко встановити троянця на машину користувача (за допомогою Дроппер (завантажувачів), черв'яків і ін.), А також приховати від нього наявність зловредів в системі.

Хробаки і віруси

Завдяки масовості і популярності онлайн-ігор відшукати гравців серед загальної маси користувачів Інтернету не складає особливих труднощів, тому ще одним напрямком розвитку шкідливих програм для крадіжки ігрових паролів стало їх самораспространения і, як наслідок, орієнтування на як можна більшу кількість гравців самих різних ігор і серверів .

Першим саморозмножуватися хробаком, які крадуть паролі до онлайн-ігор, став Email-Worm.Win32.Lewor.a . Він розсилав себе за адресами з адресної книги Outlook Express. Знайшовши на зараженому комп'ютері логін, пароль і адресу сервера все тієї ж «Legend of Mir», вірус зберігав ці відомості ftp-сервері зловмисника. Перша спам-розсилка Email-Worm.Win32.Lewor.a була зафіксована на початку червня 2004 року.

Пізніше автори шкідливих програм, що займаються крадіжкою паролів до онлайн-ігор, почали додавати в свої творіння функцію самокопірованія на знімні диски з додаванням файлу «autorun.inf», що забезпечує автозапуск зловреда при підключенні зараженого диска до комп'ютера (зараження відбувалося тільки в тому випадку, якщо на комп'ютері був дозволений подібний автозапуск). Коли до інфікованої машині підключали, наприклад, флеш-накопичувач, вірус самокопіюватися туди, а при підключенні зараженого носія до іншого комп'ютера автоматично запускався на ньому і починав інфікувати підключаються вже до нього знімні пристрої. Жертвами подібних атак ставали, зокрема, клієнти центрів фотодруку, приносили туди матеріали на флеш-накопичувачах.

Незабаром почали з'являтися окремі екземпляри вірусів-викрадачів, що володіють функціями зараження виконуваних файлів і самокопірованія на мережеві ресурси. Це забезпечувало зловмисникам додаткову можливість поширення їх дітищ на комп'ютери користувачів і додавало завдань антивірусним компаніям. Плюс до всього, самокопірованіє в папки, до яких відкритий загальний доступ, або через файлообмінні мережі (p2p), або через мережу Microsoft Networks (shared folder) здатне істотно збільшити кількість потенційних жертв.

Весь спектр описаних шкідливих програм іменувався в класифікації «Лабораторії Касперського» як Worm.Win32.Viking. Подальший розвиток ідеї масового поширення шкідливого ПЗ для онлайн-ігор втілилося в прямому «нащадку» Viking - черв'яка Worm.Win32.Fujack.

Останнім досягненням письменників зловредів для онлайн-ігор на сьогоднішній день є поліморфний вірус Virus.Win32.Alman.a і його спадкоємець Virus.Win32.Hala.a . Крім зараження виконуваних файлів дані шкідливі програми несуть в собі функції хробака (поширення з мережних ресурсів), руткита (механізми приховування в системі) і бекдора. Заражений комп'ютер підключається до певного сервера Мережі, отримуючи з нього команди від зловмисника - в тому числі на завантаження і виконання програм, що класифікуються «Лабораторією Касперського» як Trojan-PSW.Win32.OnLineGames.

Віруси Alman.a і Hala.a містять списки виконуваних файлів, які не повинні бути заражені. Крім файлів інших зловредів вирусописатели включили в ці списки і файли клієнтів онлайн-ігор. Навіщо?

З огляду на, що захисні механізми самої гри і / або антивірусні продукти можуть блокувати запуск змінених виконуваних файлів, зловмисники подбали про те, щоб гравці могли безперешкодно запускати гру на заражених машинах, а завантажений Trojan-PSW.Win32.OnLineGames - перехоплювати паролі і відправляти їх своїм творцеві.

Фрагмент файлу, зараженого вірусом Virus.Win32.Alman.a

Визначимо тимчасові рамки появи зловредів для онлайн-ігор:

Рік, місяць Троянці Черви Віруси 1997 р Звичайні keyloggers 2002 р, грудень Trojan-PSW.Win32.Lmir.a 2004 р, червень Email-Worm.Win32.Lewor.a 2004 р, жовтень Trojan-PSW.Win32.Nilage.a 2005 р, лютий Worm.Win32.Viking.a 2005 р, грудень Trojan-PSW.Win32.WOW.a 2006 р, серпень Trojan-PSW.Win32.OnLineGames.a 2006 р, грудень Worm.Win32.Fujack.a 2007 р, квітень Virus.Win32.Alman.a 2007 р, червень Virus.Win32.Hala.a

Технології самозахисту шкідливих програм для онлайн-ігор

Постійна боротьба з антивірусами змушує вірусів піклуватися про самозахист своїх творінь від антивірусного ПО.

Першим кроком на шляху самозахисту вірусів для онлайн-ігор стало використання навісних пакувальників для приховування коду від сигнатурного пошуку. Використання подібних пакувальників захищає код шкідливої ​​програми від дизассемблирования і ускладнює її аналіз.

Наступним етапом розвитку самозахисту стало використання killav-технологій. Ці технології дозволяють шкідливому ПО або взагалі відключити захист зараженого комп'ютера, або зробити роботу шкідливого ПО невидимим для антивіруса.

Останнім досягненням в області самозахисту зловредів для онлайн-ігор стало застосування rootkit-технологій, які дозволяють приховати роботу шкідливого ПЗ не тільки від антивірусів, але і від всіх процесів в системі.

Сучасні шкідливі програми для онлайн-ігор, як правило, використовують поєднання всіх трьох технологій самозахисту.

Відзначимо, що шкідливі програми типу Trojan-PSW.Win32.Nilage (крадуть паролі до гри «Lineage II») і Trojan-PSW.Win32.WOW ( «націлені» на гравців «World of Warcraft») пішли двома різними шляхами розвитку. Перші ховаються в системі від антивірусних сканерів, використовуючи для свого захисту в основному навісні пакувальники, що утрудняють виявлення при сигнатурному пошуку. Другі ж віддали перевагу пряма протидія антивірусним продуктам, а саме виключення захисту зараженого ПК. Це не дивно, враховуючи, що «Lineage II» має велику популярність в Азії, а «World of Warcraft» - в Америці і Європі.

Схема сучасної атаки

Розвиток зловредів, що займаються крадіжкою паролів до онлайн-ігор, помітно відстає від розвитку всіх інших шкідливих програм. Це пояснюється в першу чергу відносно недавнім появою самих онлайн-ігор. Досить довго шкідливі програми для них були дуже прості і писалися тільки на Delphi, і антивірусним сканерів не становило жодних проблем детектувати і видаляти їх. Але за останні два роки, прагнучи пробити захист антивірусів, шкідливі програми для онлайн-ігор зробили величезний стрибок у своєму розвитку - їх автори перейшли до іншої стратегії. Сучасні атаки на комп'ютери гравців організовуються в такий спосіб. Створюється черв'як, який несе в собі безліч функцій: самораспространения (функціонал email-worm, p2p-worm, net-worm), зараження виконуваних файлів (virus-функціонал), приховування себе в системі (rootkit-функціонал), і, власне, програму для крадіжки пароля (функціонал trojan-psw).

Схема модулів шкідливої ​​програми,
призначеної для атаки на онлайн-гравців

Потім влаштовується спам-розсилка цього хробака. Один необережний дію користувача - і всі виконувані файли на комп'ютері заражені, за всіма адресами з адресної книги розіслані копії хробака, шкідливий код присутній на всіх мережевих ресурсах, до яких йому вдалося отримати доступ. Але жертва нічого не знає про це, тому що використовуються в черв'яка руткит-технології приховують його присутність в системі.

Примітно, що практично при всіх подібних атаках зібраний «урожай» паролів також відправляється на електронні поштові адреси або ftp-сервери, розташовані в домені «.cn».

«Географія» проблеми

Коли мова йде про крадіжку паролів до онлайн-ігор, «азіатський слід» неминучий, оскільки за статистикою найбільша армія онлайн-гравців мешкає саме в азіатському регіоні. Проблема крадіжки паролів до онлайн-ігор в першу чергу стосується Китаю і Південної Кореї. Не беремося судити про причини, але більше 90% всіх троянських програм для онлайн-ігор фактично пишуться в Китаї, а 90% паролів, які крадуть ці троянці, належать гравцям південнокорейських сайтів.

В інших країнах будь-які нові троянці для онлайн-ігор виникають вкрай рідко, і кількість їх модифікацій рідко перевищує 2-3 екземпляри.

У Росії комп'ютеризація і швидке зростання IT-галузі не могли не сприяти розвитку комп'ютерних розваг. Характерною рисою російської ігрової індустрії стала популярність BBMMORPG (Browser based massive multiplayer online role-playing game) - браузерних масових багатокористувацьких онлайн-ігор. Специфікою даних ігор, найпопулярнішою з яких в 2002 році став «Бійцівський клуб» (www.combats.ru), є відсутність окремого клієнта для гри - всі дії проводяться безпосередньо через браузер.

Скріншот екрану із завантаженою грою «Бійцівський клуб»
(З сайту www.mjournal.ru)

Велика кількість таких ігор і величезна кількість людей, в них грають, не могли не привернути російських зловмисників. Особливістю російських атак стало переважне використання фішингу для поширення шкідливого ПЗ. У Мережі почали з'являтися численні сайти-клони «БК» і багатьох інших ігор, посилання на які поширювалися в фішингових листах.

Так, в ході однієї з атак в розісланих нібито від імені адміністрації сайту листах повідомлялося про зміну адреси сервера гри. Коли гравці намагалися увійти в гру за новою адресою, з'являлося повідомлення про помилку. При цьому введені гравцями паролі виявлялися у зловмисників, а робот автоматично змінював вихідні паролі на оригінальному сайті гри. В результаті користувач не міг увійти в гру під старим паролем, а злодії отримували повну свободу дій в грі і могли розпоряджатися чужим віртуальним майном.

Що використовувалися віруси були зараховані «Лабораторією Касперського» до сімейств Trojan-Spy.HTML.Fraud и Trojan-Spy.HTML.Combats . Але на цьому розробка зловредів для онлайн-ігор вітчизняними зловмисниками і зупинилася. Трапляються, звичайно, окремі екземпляри нових шкідливих програм, але про великомасштабну атаку на гравців онлайн-ігор в Росії годі й казати. Все обмежується або звичайними кейлоггера, що не мають відношення до онлайн-ігор, або тим же фішингом.

немного статистики

З року в рік число нових шкідливих програм для онлайн-ігор і модифікацій вже відомих зловредів зростає. Сьогодні в «Лабораторію Касперського» щодня надсилають більше 40 шкідливих програм, що крадуть паролі до популярних онлайн-ігор. Причому кількість і «якість» вірусів постійно росте, що викликано відповідною реакцією на них антивірусних компаній і зростанням популярності онлайн-ігор. Велика частина таких програм вузько спеціалізована під конкретні сервера онлайн-ігор.

Загальна кількість шкідливих програм,
крадуть паролі від онлайн-ігор, в різні роки

Якщо в 2002 році практично 99% присилаються зловредів, що відносяться до онлайн-ігор, були класифіковані як Trojan-PSW.Win32.Lmir, то з появою нових ігор і зростанням їхньої популярності частка шкідливих програм, атакуючих гравців «Legend of Mir», помітно впала . Сьогодні найпопулярнішими мішенями розробників троянських програм для онлайн-ігор є ігри «Lineage II» (більше 40% всього потоку троянців для онлайн-ігор), «World of Warcraft» (близько 20%), «Gamania», «Tibia», « Legend of Mir »(близько 6% для кожної). Це побічно відображає популярність самих онлайн-ігор, на паролі від яких «заточені» зловредів.

Наведемо статистику появи в 2006 році нових зловредів для найбільш популярних у зловмисників онлайн-ігор «Lineage II» і «World of Warcraft».

Кількість шкідливих програм, що крадуть паролі
від онлайн-ігор «Lineage II» і «World of Warcraft», за 2006 рік

Світи цих онлайн-ігор були відкриті в 2004 році. У міру зростання популярності цих ігор серед гравців росла їх популярність і у зловмисників. У 2006 році число щомісяця випускаються троянців для «Lineage II» і «World of Warcraft» росло лавиноподібно і в цілому за рік склало більше 70% від вхідного потоку зловредів для онлайн-ігор в цілому.

Висновок

Число онлайн-ігор постійно зростає, і армія гравців весь час поповнюється новими волонтерами. При цьому практично для всіх MMORPG-ігор існують програми, що крадуть паролі до них (а якщо для якоїсь гри їх ще немає, це означає, що гравці поки просто не готові платити матеріальним за віртуальне).

Величезний зростання популяції зловредів для онлайн-ігор пояснюється не тільки тим, що торгівля ігровими цінностями є вигідний бізнес, а й відсутністю реальної загрози покарання за крадіжку паролів до онлайн-ігор. У переважній більшості ліцензійних угод декларується, що всі компоненти гри на свої власні розробники. Гравець лише користується наданими йому послугами, в тому числі паролем до гри. Відповідно, скаржитися на крадіжку він може лише адміністратор, а не в правоохоронні органи.

З юридичної точки зору, в разі крадіжки віртуальної власності гравця склад злочину відсутній, і залучати зловмисників до відповідальності можна тільки за поширення шкідливих програм або за шахрайство.

Гравці онлайн-ігор постійно перебувають під прицілом у зловмисників.

Розробники ігор намагаються захистити користувачів від зловмисників, вводячи нові механізми авторизації / аутентифікації користувачів, криптографічні протоколи, всілякі патчі ігрових клієнтів - аж до зміни системи цінностей в ігровому процесі.

Антивірусні компанії теж намагаються захистити своїх клієнтів від крадіжки паролів до онлайн-ігор, оперативно надаючи бази вже відомих шкідливих програм, додаючи в антивіруси нові евристики і поведінкові ознаки програм, які здійснюють неправомірний доступ до ігрових клієнтам.

Лінія фронту у війні з Трояно / вірусопісателямі,
атакуючими гравців онлайн-ігор

Ще одна ефективна можливість захисту гравців онлайн-ігор - активна співпраця розробників ігор з антивірусними компаніями. Так, в 2004 році «Лабораторією Касперського» було укладено угоду з розробниками онлайн-гри «Бійцівський клуб», згідно з яким будь-який підозрілий код, виявлений адміністраторами або користувачами гри, відправляється на аналіз до антивірусної лабораторії з метою його якнайшвидшого аналізу і своєчасного захисту віртуальної власності гравців. І ця угода принесло свої плоди: запобігли спробі крадіжки паролів тисяч користувачів. Якби зловмисникам вдалося успішно провести свої атаки, то суми в реальних доларах США, «зароблені» ними на продажу віртуальних цінностей, мали б не менше чотирьох нулів.

Які рекомендації можна дати самим гравцям для запобігання крадіжки? Як завжди - елементарні запобіжні заходи, просте розсудливість, голова на плечах і, звичайно ж, найкращий антивірус.