Эпидемия вредоносных ссылок в Steam

В последнее время появился новый вид вредоносного ПО для Steam, который направлен исключительно на кражу ценных предметов из инвентарей пользователей.

Распространяется данная малварь под видом ссылки на изображение в формате *.jpg (http://example.org/example.jpg), которую отправляют всем своим френдам в Steam уже заражённые пользователи. При переходе по ссылке скачивается не файл картинки, а нечто вида случайное_имя.jpg.scr.

Формат SCR — это обычный Windows PE файл (как и exe), используемый для заставок Windows. Такой расчёт скорее всего сделан на невнимательных пользователей двух категорий:

  1. у которых отключено отображение расширений для зарегистрированных типов файлов (по умолчанию в Windows);
  2. тех, у кого первое включено, но он не знает о том, что SCR — это обычный исполняемый файл.

Данное вредоносное ПО создаётся в специальном генераторе, который недавно утёк в паблик на одном известном в узких кругах ресурсе (ныне ссылки уже стёрты, но Интернет ничего не забывает).

Я загрузил экземпляр данного вредоносного ПО в отладчик и провёл небольшой анализ. После запуска SCR файла пользователь таки увидит картинку, но в фоне малварь осуществит следующие действия:

  1. получит содержимое инвентаря вошедшего в Steam пользователя;
  2. отправит на удалённый сервер куки авторизации клиента Steam;
  3. если в инвентаре есть ценные предметы игр TF2 и Dota2, то переходит дальше, иначе — на шаг 7;
  4. создаст виртуальный невидимый рабочий стол;
  5. отправит трейд-реквесты со всеми ценными предметами на один из захардкоденых внутри SteamID мошенника (трейд-реквесты появляются на невидимом виртуальном рабочем столе);
  6. отправит все имеющиеся в инвентаре подарки (гифты) на один тот же самый SteamID мошенника;
  7. получит список друзей Steam заражённого аккаунта и начнёт массовую рассылку по ним ссылки на загрузку своей копии (текст случайный из словаря программы). Окна входящих сообщений подавляются путём вывода на скрытый виртуальный рабочий стол;
  8. полностью удалит себя из системы.

Таким образом, современные вирмейкеры поняли, что воровать аккаунты и потом вручную перебрасывать вещи бессмысленно ибо их восстановит саппорт. Украденные новым способом вещи через саппорт вернуть практически невозможно ибо HardwareID и IP совпадают с предыдущими входами и Steam не фиксирует взлома. Доказать наличие вредоноса также не представляется возможным ибо он уже самоуничтожился из системы.

Будьте бдительны и никогда не переходите по ссылкам, которые вам отправляют даже старые друзья.

53 комментария к записи

  1. Олег :

    а что если скачать сам файл,но не открывать его?

    Заражение произойдёт непосредственно при запуске данного файла.

  2. На сообщение выше отмечено неправильно.Я скачивал такой файл(был глуп), и не открывая его , меня взломали и украли вещи.Я переустановил винду на всякий случай.Но вещи вернули с условием ,что больше не вернут

  3. Данил :

    На сообщение выше отмечено неправильно.Я скачивал такой файл(был глуп), и не открывая его

    Выше отвечено абсолютно верно ибо вредоносное ПО сначала должно получить управление, т.е., проще говоря, быть запущенным либо самим пользователем, либо другим вредоносным ПО.

    Возможны случаи заражения через дырявые версии плагинов Adobe Flash или Oracle Java. В таком случае эксплойт на странице будет иметь возможность автоматически загрузить малварь и запустить её. Вмешательства пользователя при этом не требуется.

    Данил :

    Но вещи вернули с условием ,что больше не вернут

    Один раз за всю историю аккаунта могут вернуть, но шанс зависит от погоды на Марсе и настроения сотрудника, рассматривающего тикет. Обычно закрывают и ничего не возвращают.

  4. Вот у меня такая ситуация, полторы недели назад я случайно скачал такой файл но не запускал и сразу удалил, при этом сменил пароль от стима, и переподключил стим гвард (нельзя трейдиться 15 дней)
    на почту не приходило всяких запросов (новый комп, введите код).
    Стоит ли сделать восстановление системы или переустановку винды?

  5. Сергей :

    на почту не приходило всяких запросов (новый комп, введите код).

    Описанной в статье малвари этого не требуется — она использует аккаунт уже вошедшего пользователя.

    Сергей :

    Стоит ли сделать восстановление системы или переустановку винды?

    Рекомендую загрузить свежую версию утилиты Dr.Web CureIt, загрузить систему в безопасном режиме (F8 при старте — Безопасный режим) и прогнать полную проверку всех дисков (займёт много времени). Всё найденное следует удалить.

  6. А если отправить все вещи другу, сменить пароль от стима и почты, то вещи всё равно украдут?

  7. Алексей :

    А если отправить все вещи другу, сменить пароль от стима и почты, то вещи всё равно украдут?

    После запуска описанной малвари, ей достаточно всего пары минут, чтобы всё украсть.

  8. А нечего не будет если я скачал файл и открыл его (но мне не позволил windows smartscreen) я сразу удалил файл! Нечего не будет?

  9. UnlimitedLord :

    А нечего не будет если я скачал файл и открыл его (но мне не позволил windows smartscreen) я сразу удалил файл! Нечего не будет?

    Если файл не запускался, заражения не произошло.

  10. @V1TSK
    Вот у меня уже пропал стим гвард, и спустя 8 часов вещи на месте
    До этого я скачивал 2 антивируса в том числе и ваш доктор веб но никакой не нашёл вообще вирусов что меня насторожило ибо обычно у меня их было куча (ибо антивирус не стиот)
    Думаете не стоит беспокоиться?

  11. Сергей :

    @V1TSK
    Вот у меня уже пропал стим гвард

    Куда пропал Guard и что под этим подразумевается?

    Сергей :

    @V1TSK
    в том числе и ваш доктор веб

    Доктор Веб не наш. 🙂

    Мы просто предлагаем использовать его для проверки, т.к., во-первых, это один из лучших антивирусов, а, во-вторых, он бесплатен и не требует установки.

    Сергей :

    @V1TSK
    никакой не нашёл вообще вирусов что меня насторожило ибо обычно у меня их было куча (ибо антивирус не стиот)

    Проверять следует из безопасного режима, т.к. в обычном современные вирусы и трояны найти очень сложно за счёт использования особых технологий маскировки от антивирусов.

  12. Прислали сообщение нажал на него открылся браузер (просто чистый браузер) не чего не было на писано через секунды 2 закрыл . Стоит ли опасаться?

  13. Руслан :

    В браузере в меню загрузки нашел два файла jpg но не открывал их удалил

    Наверняка это были не *.jpg, а *.jpg.exe, т.к. по умолчанию Windows скрывает расширения для зарегистрированных типов файлов. Если они не были запущены, то опасаться нечего.

  14. Здравствуйте,сегодня вот попался на эту чушь.Запустил,через некоторое время всем друзьям в STEAM приходили сообщения с сылкой,и пропала одна вещь из инвентаря dota2.Стоит ли опасаться что все вещи пропадут?

  15. Вадим :

    Запустил,через некоторое время всем друзьям в STEAM приходили сообщения с сылкой,и пропала одна вещь из инвентаря dota2.Стоит ли опасаться что все вещи пропадут?

    Разумеется, хотя Valve начали бороться с таким вредоносным ПО и ввели CAPTCHA в окно трейдов и оффлайн-трейдов.

  16. Я тож недавно такой файл скачал случайно. Потом мя взломали на след день. Файл в виде заставки для виндовс. Я не запускал. На след день я зашел в стим и мне пишет тип с вашего акка заходил такой то, такой то. Айпи адрес и страна (iraq) Хотя у мя другая стоит. Ну я пометил тип ет не я.

  17. А если я запустил ету прогу где то через два месяца и без интернета что мне опасаться? После этого не заходил в интернет. Что мне делать? Плиз хелп, очень ценные вещи у меня

  18. Владимир :

    А если я запустил ету прогу где то через два месяца и без интернета что мне опасаться?

    Если вредоносное ПО до сих пор присутствует на ПК и активно, то естественно стоит. Рекомендую загрузить компьютер в безопасном режиме и сделать полную проверку дисков при помощи CureIt.

  19. А что если я запустил эту программу и теперь не могу зайти на официальный сайт стим (пробовал все браузеры). Всё равно страницу не грузит, реестр читстил, комп проверял. Помогите пожалуйста!

  20. VipAngel :

    А что если я запустил эту программу и теперь не могу зайти на официальный сайт стим (пробовал все браузеры).

    Последние версии исследованной малвари при наличии прав администратора модифицируют файл Hosts так, чтобы вместо официальных сайтов Steam пользователь попадал на мошеннические.

    Воспользуйтесь Редактором Hosts и очистите его, оставив в списке только localhost, либо сделайте это вручную, но помните, что вредоносное ПО наверняка переопределило путь к файлу через реестр, а по стандартному пути лежит обманка.

  21. Вчера по глупости на форуме нажал на картинку screen_02.scr, ни разу за 2 года ничего подобного не открывал, но тут посреди ночи меня погубила невнимательность и глупость. Собственно, нажал «отменить загрузку», но уже не успел, файл само собой не открыл, просто удалил, с другого компа сменил все пароли, проверил лиц. каспом и прогнал avz не в безопасном режиме. В общем, как узнать заражен или мой комп и в каком порядке действовать? Спасибо.

  22. Прогнал в безопасном режиме через dr.web cureit по всем дискам, нашло кучу каких-то старых вирусов, который лиц. касперский не видел, мб из-за того, что им проверял не в безопасном. Я правильно понимаю, что если бы я открыл файл, то вещи пропали бы с аккаунта в течение короткого промежука времени, пока прошли сутки, ничего не пропало, но что делать не знаю т.к не уверен в безопасности компа.

  23. Aleksey :

    Вчера по глупости на форуме нажал на картинку screen_02.scr, ни разу за 2 года ничего подобного не открывал, но тут посреди ночи меня погубила невнимательность и глупость. Собственно, нажал «отменить загрузку», но уже не успел, файл само собой не открыл, просто удалил

    Если SCR-файл не запускали, то бояться нечего.

  24. Aleksey :

    Прогнал в безопасном режиме через dr.web cureit по всем дискам, нашло кучу каких-то старых вирусов, который лиц. касперский не видел, мб из-за того, что им проверял не в безопасном.

    У разных антивирусов разные вирусные базы. Некоторые могут считать вирусами и вполне безобидные программы-шутки.

    Современные вирусы умело маскируются в системе, поэтому только проверка из безопасного режима (а ещё лучше с антивирусного LiveCD), дадут положительные результаты.

    Aleksey :

    Я правильно понимаю, что если бы я открыл файл, то вещи пропали бы с аккаунта в течение короткого промежука времени

    Valve усилили безопасность трейдов, введя обязательное подтверждение транзакций посредством электронной почты, к которой привязана учётная запись Steam. Таким образом, мошенникам теперь требуется ещё и узнать пароль от этого ящика. Рекомендуем использовать Gmail с включённой двухфакторной авторизацией (при каждом входе система отправляет одноразовый код в виде SMS-сообщения). Взломать такую связку практически невозможно.

  25. Спасибо за ответ, да, аккаунт прикреплен к гугл почте с двухфакторной авторизацией и 17 символьным паролем, после смены всех паролей в стиме блок трейда и работы с торговой площадкой, я просто боюсь того, что (как я прочитал в статье) все можно украсть через гифты т.к на них нету никаких временных банов. Хоть я и не запустил файл, но т.к его скачал страх само собой появился, тем более выше видел ответы, что для этого почта вовсе не потребуется злоумышленниками, зайдут якобы с моего ip и все гифтом вышлют куда подальше.

  26. Aleksey :

    тем более выше видел ответы, что для этого почта вовсе не потребуется злоумышленниками, зайдут якобы с моего ip и все гифтом вышлют куда подальше.

    Раньше не требовалась, но после масштабной эпидемии в декабре-январе Valve ввели обязательное подтверждение трейдов по электронной почте, а отправки гифтов — паролем аккаунта.

  27. Про подтверждение по почте трейдов в курсе, а касаемо гифтов, как я писал уже выше, поменял пароли и у меня стоит блок на трейд / маркет, но подарки своим друзьям все так же могу кидать без каких либо ограничей, не совсем понял про «а отправки гифтов — паролем аккаунта.» , или это какая ситуация с подарками рассматривается?

  28. Aleksey :

    подарки своим друзьям все так же могу кидать без каких либо ограничей, не совсем понял про «а отправки гифтов — паролем аккаунта.» , или это какая ситуация с подарками рассматривается?

    При отправке подарка через браузер появляется предложение повторно авторизоваться. Если эти действия выполняются через клиент Steam, то, действительно, подтверждение не запрашивается.

  29. Здраствуйте хочу спросить,недавно в стиме кинули ссылку якобы общение через микрофон скачал файл открыл стим не запускаеться пишет что не правильный пароль зашел с другого компа,пропала вешь,со стараго компьютера незаходит,поменял виноус зашло,вешь сапорт вернул,поменял мыло,секретный впорос пароль в стиме,может ли быть такое что взломают опять хотя мейл сменил и поменял виндоус?

  30. Марсель :

    недавно в стиме кинули ссылку якобы общение через микрофон скачал файл открыл стим не запускаеться пишет что не правильный пароль

    Это широко распространённый в последнее время троян. Он маскируется под популярные программы голосового общения: Team Speak 3, Mumble, Skype. Внутри имеется функция кейлоггера, поэтому он легко получает контроль над аккаунтом Steam и почтой.

    Марсель :

    может ли быть такое что взломают опять хотя мейл сменил и поменял виндоус?

    Загрузите Windows в безопасном режиме (F8 при загрузке ПК — Безопасный режим) и сделайте полную проверку всех дисков компьютера при помощи утилиты Dr. Web CureIt. Только после полной проверки системы и удаления вредоносго ПО меняйте пароли как на почту, так и Steam аккаунт. Рекомендуется использовать почту Gmail с привязкой к номеру мобильного телефона.

    Также малварь модифицирует файл Hosts, поэтому воспользуйтесь редактором и очистите всё, кроме строки 127.0.0.1 localhost.

  31. Если скачал файл, но открыть его не дал сам виндовс. потому что не знал тип файла?

  32. Вячеслав :

    Если скачал файл, но открыть его не дал сам виндовс. потому что не знал тип файла?

    Нормально работающая ОС Windows не может не понимать формат своих исполняемых файлов.

  33. Недавно начали добовляться какието пользователи, которые пишут на английском языке(все) и промят перейти по ссылке, чтобы проверить вещь и начать обмен. Что делать?

  34. Сергей :

    Недавно начали добовляться какието пользователи, которые пишут на английском языке(все) и промят перейти по ссылке, чтобы проверить вещь и начать обмен. Что делать?

    Это боты. По ссылке загрузится троян, ворующий предметы из инвентаря. Не переходите по ссылкам, которые отправляют в Steam, а подобных ботов добавляйте в игнор.

  35. Помогите пожалуйста!!! Я скачал файл, открыл его, дебилом был, и теперь что мне делать? Я боюсь! Друзья жалуются что я спамлю очень много! И друг сказал что я целые сутки провел в стиме(онлайн типо был), а на самом деле меня вообще дома не было! Стим я нигде не запускаю, кроме компа в доме! ПОМОГИТЕ!!!

  36. @Алишер
    Скачать свежий Dr.Web CureIt, загрузиться в безопасном режиме и прогнать полную проверку всех дисков ПК.

    После удаления вредоносного ПО сменить пароли на почтовом ящике и в Steam.

  37. Скинули ссылку, по глупости перешел по ней, но ссылка была несколько иной, там было что-то «picture», но ничего с форматом .jpg, ничего не скачал, сразу же поменял пароль, прошло уже минут 30, ничего не пропало, стоит опасаться?

  38. Здравствуйте! Мне пришла похожая ссылка, я вписал ее в строку браузера (браузер в стиме). Стоит ли мне опасаться? Спасибо!

  39. @Никита
    Если вы ничего не скачивали и не запускали оттуда, то нет. Но всё равно рекомендую прогнать полную проверку системы свежим антивирусом.

  40. Когда я захожу в стим у меня все становится чёрным и на экране появляются 2 телефона. Как мне удалить вирус? Помогите пожалуйста.

    1. Необходимо скачать самую свежую версию антивирусного сканера DrWeb CureIt и запустить полную проверку всех дисков компьютера с удалением найденных вирусов.

      1. А если открыл в стиме — в сообщениях такую ссылку, в игровом-браузере, Стим позволил ей скачаться?

        Я еще посмотрел в обычном браузере, ну вдруг скриншот будет в браузере видно, он начал качать, типо скриншот, я его удалил в браузере в загрузке .
        Мне не стоит беспокоиться?

        1. А если открыл в стиме — в сообщениях такую ссылку, в игровом-браузере, Стим позволил ей скачаться?

          Steam использует достаточно редко обновляемую версию Chromium Embedded Framework, а уязвимости, в т.ч. критические, в нём находят достаточно часто.

          Я еще посмотрел в обычном браузере, ну вдруг скриншот будет в браузере видно, он начал качать, типо скриншот, я его удалил в браузере в загрузке .
          Мне не стоит беспокоиться?

          Если загруженный файл вы не запускали, а лишь загрузили и потом удалили, то бояться нечего, но для гарантии рекомендую всё же провести полную проверку свежим антивирусным сканером.

          1. но все таки я не понял, стим может скачать да?

          2. но все таки я не понял, стим может скачать да?

            При открытии внутри оверлея Steam вредоносного сайта, эксплуатирующего не исправленную уязвимость внутри CEF, вполне.

          3. и куда скачивает стим, эти файлы?

            В нормальной ситуации CEF Steam не может скачивать файлы, но для этого он способен задействовать установленный в системе браузер по умолчанию.

            Если использована уязвимость в CEF, то вредоносный объект загружается в кэш CEF, а затем тут же исполняется.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *