https://news.drweb.com/show/?i=13135&lng=en
Dr. Web affirme que 1951 serveurs de CS 1.6, soit environ 39 % des serveurs analysés, sont infectés par le cheval de Troie Belonard.
Un pirate baptisé Belonard contamine les joueurs.
Malheureusement, les antivirus n’étaient pas en mesure de détecter tous les modules de son cheval de Troie.
Ce dernier utilise une vulnérabilité du logiciel client pour pénétrer dans les ordinateurs. Il s’introduit lors de la connexion à un serveur de jeu contaminé. Le malware remplace ensuite les fichiers client du jeu et créé des serveurs proxy pour propager l’infection. Contrairement aux incidents signalés précédemment, il ne nécessite aucune confirmation de la part de l’utilisateur. Dr. Web précise « avoir informé Valve de ces vulnérabilités et d’autres vulnérabilités du jeu, mais pour le moment, rien n’indique que les vulnérabilités soient corrigées« .
En règle générale, les serveurs proxy affichent un ping inférieur, de sorte que les autres joueurs les verront en haut de la liste. En sélectionnant l'un d'eux, un joueur est redirigé vers un serveur malveillant sur lequel son ordinateur est infecté par Trojan.Belonard.
INFECTION DU CLIENT
Trojan.Belonard comprend 11 composants et fonctionne selon différents scénarios, en fonction du client du jeu.
Si le client officiel est utilisé, le cheval de Troie infecte le périphérique à l'aide d'une vulnérabilité RCE, exploitée par le serveur malveillant, puis s'établit dans le système.
Un client piraté propre est infecté de la même manière. Si un utilisateur télécharge un client infecté depuis le site Web du propriétaire du serveur malveillant, la persistance du cheval de Troie dans le système est assurée après le premier lancement du jeu.
PROCESSUS D'INFECTION
Un joueur lance le client Steam officiel et sélectionne un serveur de jeux.
Lors de la connexion à un serveur malveillant, il exploite une vulnérabilité RCE en téléchargeant l'une des bibliothèques malveillantes sur le périphérique de la victime.
En fonction du type de vulnérabilité, l'une des deux bibliothèques sera téléchargée et exécutée: client.dll (Trojan.Belonard.1) ou Mssv24.asi (Trojan.Belonard.5).
Une fois sur le périphérique de la victime, Trojan.Belonard.1 supprime tous les fichiers .dat situés dans le même répertoire que le fichier de processus de la bibliothèque. Après cela, la bibliothèque malveillante se connecte au serveur de commandes et de contrôle, fuztxhus.valve-ms [.] Ru: 28445, et lui envoie une demande chiffrée pour télécharger le fichier Mp3enc.asi (Trojan.Belonard.2). Le serveur envoie ensuite le fichier crypté en réponse.
INSTALLATION CLIENT
L'infection du client officiel ou piraté est réalisée à l'aide de la fonction spécifique du client Counter-Strike. Une fois lancé, le jeu télécharge automatiquement tous les fichiers ASI à la racine du jeu.
Le client téléchargé sur le site Web du développeur du cheval de Troie est déjà infecté par Trojan.Belonard.10 (le nom du fichier est Mssv36.asi), mais le cheval de Troie s’installe dans le système différemment des versions propres des clients du jeu.
Après l'installation d'un client infecté, Trojan.Belonard.10 recherche l'un de ses composants dans le système d'exploitation de l'utilisateur. S'il n'y en a aucun, il supprime le composant de son corps et télécharge Trojan.Belonard.5 (le nom du fichier est Mssv24.asi) dans la mémoire de processus.
Comme de nombreux autres modules, Trojan.Belonard.10 modifie la date et l'heure de création, de modification ou d'accès au fichier, de sorte que les fichiers du cheval de Troie ne puissent pas être trouvés en triant le contenu du dossier par date de création.
Après l’installation d’un nouveau composant, Trojan.Belonard.10 reste dans le système et joue le rôle de protecteur du client. Il filtre les demandes, les fichiers et les commandes reçus d'autres serveurs de jeu et transfère les données sur les tentatives de modification apportées au client sur le serveur du développeur de chevaux de Troie.
Trojan.Belonard.5 reçoit des informations sur le processus en cours et les chemins d'accès au module dans DllMain.
Si le nom du processus n'est pas rundll32.exe, il lance des threads distincts pour les actions suivantes. Trojan.Belonard.5 crée dans le thread en cours d'exécution la clé [HKCU \\ LOGICIEL \\ Microsoft \\ Windows NT \\ CurrentVersion \\ AppCompatFlags \\ Layers] '<chemin d'accès au processus du fichier exécutable>', lui attribue la valeur “RUNASADMIN” et vérifie le nom du module.
S'il ne s'agit pas de «Mssv24.asi», il se copie dans le module «Mssv24.asi», supprime la version portant un nom différent et lance Trojan.Belonard.3 (le nom du fichier est Mssv16.asi). Si le nom correspond, il télécharge et lance immédiatement le cheval de Troie.
L'incorporation dans un client propre est effectuée par Trojan.Belonard.2. Après le téléchargement, il vérifie dans DllMain le nom du processus dans lequel client.dll (Trojan.Belonard.1) est chargé.
S'il ne s'agit pas de rundll32.exe, il crée un fil avec la clé [HKCU \\ LOGICIEL \\ Microsoft \\ Windows NT \\ CurrentVersion \\ AppCompatFlags \\ Layers] '<chemin d'accès au processus du fichier exécutable>', et attribue il la valeur "RUNASADMIN".
Ensuite, il collecte des données sur le périphérique de l'utilisateur et extrait les informations du fichier DialogGamePage.res. Ensuite, il envoie les données collectées au serveur du développeur Trojan dans un format chiffré.
En réponse, le serveur envoie le fichier Mssv16.asi, (Trojan.Belonard.3). Les méta-informations sur le nouveau module sont enregistrées dans le fichier DialogGamePage.res, tandis que Trojan.Belonard.5 est supprimé du périphérique de l'utilisateur.
INSTALLATION DANS LE SYSTEME
Le processus permettant d’assurer la persistance dans le système commence par Trojan.Belonard.3.
Une fois sur le périphérique, il supprime Trojan.Belonard.5 et vérifie le processus, dans le contexte duquel il s'exécute. S'il ne s'agit pas de rundll32.exe, il enregistre deux autres chevaux de Troie dans% WINDIR% \ System32 \: Trojan.Belonard.7 (le nom du fichier est WinDHCP.dll) et Trojan.Belonard.6 (davapi.dll). Dans le même temps, contrairement à Trojan.Belonard.5, les septième et sixième sont stockés dans le cheval de Troie sous une forme désassemblée. Les corps de ces deux chevaux de Troie sont divisés en blocs d'octets 0xFFFC (le dernier bloc peut être plus petit). Une fois enregistré sur le disque, le cheval de Troie assemble les blocs pour obtenir des fichiers de travail.
Une fois les chevaux de Troie assemblés, Trojan.Belonard.3 crée un service WinDHCP pour exécuter WinDHCP.dll (Trojan.Belonard.7) dans le contexte de svchost.exe. Selon les paramètres de langue, le système d'exploitation utilise des textes en russe ou en anglais pour définir les paramètres de service.
Paramètres du service WinDHCP:
Nom du service: “Service Windows DHCP” ou “Служба Windows DHCP”;
Description: “Service de protocole de configuration d'hôte dynamique Windows” ou “Служба протокола динамической настройки узла Windows”;
Le paramètre ImagePath est spécifié sous la forme «% SystemRoot% \ System32 \ svchost.exe -k netsvcs», tandis que ServiceDll spécifie le chemin d'accès à la bibliothèque de chevaux de Troie.
Ensuite, Trojan.Belonard.3 vérifie régulièrement si le service WinDHCP est en cours d'exécution. S'il n'est pas en cours d'exécution, il réinstalle le service.
Trojan.Belonard.7 est WinDHCP.dll avec une fonction exportée ServiceMain, installée sur le périphérique infecté par un service autorun. Son but est de vérifier le paramètre "Tag" dans le registre de la clé "HKLM \\ SYSTEM \\ CurrentControlSet \\ Services \\ WinDHCP". Si ce paramètre est défini sur 0, Trojan.Belonard.7 charge la bibliothèque davapi.dll (Trojan.Belonard.6) et appelle la fonction exportée, en passant un pointeur sur un SERVICE_STATUS en tant qu’argument, qui reflète le statut du service WinDHCP.
Ensuite, il attend 1 seconde et vérifie une nouvelle fois le paramètre «Tag». Si la valeur ne correspond pas à 0, Trojan.Belonard.7 charge la bibliothèque spwinres.dll (Trojan.Belonard.4), qui est une version plus ancienne de Trojan.Belonard.6. Après cela, il appelle la fonction exportée de spwinres.dll, en passant un pointeur sur un SERVICE_STATUS en tant qu'argument, qui reflète le statut du service WinDHCP.
Le cheval de Troie répète ces actions toutes les secondes.
Paramètres de service WinDHCP du rapport de notre client:
Code : Tout sélectionner
<RegistryKey Name="WinDHCP" Subkeys="1" Values="11">
<RegistryKey Name="Parameters" Subkeys="0" Values="1">
<RegistryValue Name="ServiceDll" Type="REG_EXPAND_SZ" SizeInBytes="68" Value="%SystemRoot%\system32\WinDHCP.dll" />
</RegistryKey>
<RegistryValue Name="Type" Type="REG_DWORD" Value="32" />
<RegistryValue Name="Start" Type="REG_DWORD" Value="2" />
<RegistryValue Name="ErrorControl" Type="REG_DWORD" Value="0" />
<RegistryValue Name="ImagePath" Type="REG_EXPAND_SZ" SizeInBytes="90" Value="%SystemRoot%\System32\svchost.exe -k netsvcs" />
<RegistryValue Name="DisplayName" Type="REG_SZ" Value="Служба Windows DHCP" />
<RegistryValue Name="ObjectName" Type="REG_SZ" Value="LocalSystem" />
<RegistryValue Name="Description" Type="REG_SZ" Value="Служба протокола динамической настройки узла Windows" />
<RegistryValue Name="Tag" Type="REG_DWORD" Value="0" />
<RegistryValue Name="Data" Type="REG_BINARY" SizeInBytes="32" Value="f0dd5c3aeda155767042fa9f58ade24681af5fbd45d5df9f55a759bd65bc0b7e" />
<RegistryValue Name="Scheme" Type="REG_BINARY" SizeInBytes="16" Value="dcef62f71f8564291226d1628278239e" />
<RegistryValue Name="Info" Type="REG_BINARY" SizeInBytes="32" Value="55926164986c6020c60ad81b887c616db85f191fda743d470f392bb45975dfeb" />
</RegistryKey>
La suite et autres détails à https://news.drweb.com/show/?i=13135&lng=en
A noter que les appels ce font sur les noms de domaines (à bloquer donc dans le fichier Hosts https://www.malekal.com/quest-ce-que-le-fichier-hosts-de-windows-et-a-quoi-il-sert/ ) :
csgoogle.ru
etmpyuuo.csgoogle.ru
jgutdnqn.csgoogle.ru
hl.csgoogle.ru
half-life.su
play.half-life.su
valve-ms.ru
bmeadaut.valve-ms.ru
fuztxhus.valve-ms.ru
ixtzhunk.valve-ms.ru
oihcyenw.valve-ms.ru
suysfvtm.valve-ms.ru
wcnclfbi.valve-ms.ru
reborn.valve-ms.ru
et les DNS sont
37.143.12.3
46.254.17.165