Главная > Разное > Эпидемия вредоносных ссылок в Steam

Эпидемия вредоносных ссылок в Steam

В последнее время появился новый вид вредоносного ПО для Steam, который направлен исключительно на кражу ценных предметов из инвентарей пользователей.

Распространяется данная малварь под видом ссылки на изображение в формате *.jpg (http://example.org/example.jpg), которую отправляют всем своим френдам в Steam уже заражённые пользователи. При переходе по ссылке скачивается не файл картинки, а нечто вида случайное_имя.jpg.scr.

Формат SCR — это обычный Windows PE файл (как и exe), используемый для заставок Windows. Такой расчёт скорее всего сделан на невнимательных пользователей двух категорий:

  1. у которых отключено отображение расширений для зарегистрированных типов файлов (по умолчанию в Windows);
  2. тех, у кого первое включено, но он не знает о том, что SCR — это обычный исполняемый файл.

Данное вредоносное ПО создаётся в специальном генераторе, который недавно утёк в паблик на одном известном в узких кругах ресурсе (ныне ссылки уже стёрты, но Интернет ничего не забывает).

Я загрузил экземпляр данного вредоносного ПО в отладчик и провёл небольшой анализ. После запуска SCR файла пользователь таки увидит картинку, но в фоне малварь осуществит следующие действия:

  1. получит содержимое инвентаря вошедшего в Steam пользователя;
  2. отправит на удалённый сервер куки авторизации клиента Steam;
  3. если в инвентаре есть ценные предметы игр TF2 и Dota2, то переходит дальше, иначе — на шаг 7;
  4. создаст виртуальный невидимый рабочий стол;
  5. отправит трейд-реквесты со всеми ценными предметами на один из захардкоденых внутри SteamID мошенника (трейд-реквесты появляются на невидимом виртуальном рабочем столе);
  6. отправит все имеющиеся в инвентаре подарки (гифты) на один тот же самый SteamID мошенника;
  7. получит список друзей Steam заражённого аккаунта и начнёт массовую рассылку по ним ссылки на загрузку своей копии (текст случайный из словаря программы). Окна входящих сообщений подавляются путём вывода на скрытый виртуальный рабочий стол;
  8. полностью удалит себя из системы.

Таким образом, современные вирмейкеры поняли, что воровать аккаунты и потом вручную перебрасывать вещи бессмысленно ибо их восстановит саппорт. Украденные новым способом вещи через саппорт вернуть практически невозможно ибо HardwareID и IP совпадают с предыдущими входами и Steam не фиксирует взлома. Доказать наличие вредоноса также не представляется возможным ибо он уже самоуничтожился из системы.

Будьте бдительны и никогда не переходите по ссылкам, которые вам отправляют даже старые друзья.

Категории:Разное Метки:, , ,
  1. Олег
    10 ноября 2014 в 20:32 | #1

    а что если скачать сам файл,но не открывать его?

  2. 10 ноября 2014 в 21:12 | #2

    Олег :

    а что если скачать сам файл,но не открывать его?

    Заражение произойдёт непосредственно при запуске данного файла.

  3. Данил
    10 ноября 2014 в 22:00 | #3

    На сообщение выше отмечено неправильно.Я скачивал такой файл(был глуп), и не открывая его , меня взломали и украли вещи.Я переустановил винду на всякий случай.Но вещи вернули с условием ,что больше не вернут

  4. 10 ноября 2014 в 22:57 | #4

    Данил :

    На сообщение выше отмечено неправильно.Я скачивал такой файл(был глуп), и не открывая его

    Выше отвечено абсолютно верно ибо вредоносное ПО сначала должно получить управление, т.е., проще говоря, быть запущенным либо самим пользователем, либо другим вредоносным ПО.

    Возможны случаи заражения через дырявые версии плагинов Adobe Flash или Oracle Java. В таком случае эксплойт на странице будет иметь возможность автоматически загрузить малварь и запустить её. Вмешательства пользователя при этом не требуется.

    Данил :

    Но вещи вернули с условием ,что больше не вернут

    Один раз за всю историю аккаунта могут вернуть, но шанс зависит от погоды на Марсе и настроения сотрудника, рассматривающего тикет. Обычно закрывают и ничего не возвращают.

  5. Сергей
    11 ноября 2014 в 18:40 | #5

    Вот у меня такая ситуация, полторы недели назад я случайно скачал такой файл но не запускал и сразу удалил, при этом сменил пароль от стима, и переподключил стим гвард (нельзя трейдиться 15 дней)
    на почту не приходило всяких запросов (новый комп, введите код).
    Стоит ли сделать восстановление системы или переустановку винды?

  6. 12 ноября 2014 в 08:29 | #6

    Сергей :

    на почту не приходило всяких запросов (новый комп, введите код).

    Описанной в статье малвари этого не требуется — она использует аккаунт уже вошедшего пользователя.

    Сергей :

    Стоит ли сделать восстановление системы или переустановку винды?

    Рекомендую загрузить свежую версию утилиты Dr.Web CureIt, загрузить систему в безопасном режиме (F8 при старте — Безопасный режим) и прогнать полную проверку всех дисков (займёт много времени). Всё найденное следует удалить.

  7. Алексей
    12 ноября 2014 в 17:30 | #7

    А если отправить все вещи другу, сменить пароль от стима и почты, то вещи всё равно украдут?

  8. 13 ноября 2014 в 15:50 | #8

    Алексей :

    А если отправить все вещи другу, сменить пароль от стима и почты, то вещи всё равно украдут?

    После запуска описанной малвари, ей достаточно всего пары минут, чтобы всё украсть.

  9. UnlimitedLord
    15 ноября 2014 в 13:34 | #9

    А нечего не будет если я скачал файл и открыл его (но мне не позволил windows smartscreen) я сразу удалил файл! Нечего не будет?

  10. 15 ноября 2014 в 14:16 | #10

    UnlimitedLord :

    А нечего не будет если я скачал файл и открыл его (но мне не позволил windows smartscreen) я сразу удалил файл! Нечего не будет?

    Если файл не запускался, заражения не произошло.

  11. Сергей
    20 ноября 2014 в 02:05 | #11

    @V1TSK
    Вот у меня уже пропал стим гвард, и спустя 8 часов вещи на месте
    До этого я скачивал 2 антивируса в том числе и ваш доктор веб но никакой не нашёл вообще вирусов что меня насторожило ибо обычно у меня их было куча (ибо антивирус не стиот)
    Думаете не стоит беспокоиться?

  12. 20 ноября 2014 в 13:24 | #12

    Сергей :

    @V1TSK
    Вот у меня уже пропал стим гвард

    Куда пропал Guard и что под этим подразумевается?

    Сергей :

    @V1TSK
    в том числе и ваш доктор веб

    Доктор Веб не наш. 🙂

    Мы просто предлагаем использовать его для проверки, т.к., во-первых, это один из лучших антивирусов, а, во-вторых, он бесплатен и не требует установки.

    Сергей :

    @V1TSK
    никакой не нашёл вообще вирусов что меня насторожило ибо обычно у меня их было куча (ибо антивирус не стиот)

    Проверять следует из безопасного режима, т.к. в обычном современные вирусы и трояны найти очень сложно за счёт использования особых технологий маскировки от антивирусов.

  13. Руслан
    6 января 2015 в 16:17 | #13

    Прислали сообщение нажал на него открылся браузер (просто чистый браузер) не чего не было на писано через секунды 2 закрыл . Стоит ли опасаться?

  14. Руслан
    6 января 2015 в 16:24 | #14

    В браузере в меню загрузки нашел два файла jpg но не открывал их удалил

  15. 6 января 2015 в 22:54 | #15

    Руслан :

    В браузере в меню загрузки нашел два файла jpg но не открывал их удалил

    Наверняка это были не *.jpg, а *.jpg.exe, т.к. по умолчанию Windows скрывает расширения для зарегистрированных типов файлов. Если они не были запущены, то опасаться нечего.

  16. Вадим
    12 января 2015 в 20:14 | #16

    Здравствуйте,сегодня вот попался на эту чушь.Запустил,через некоторое время всем друзьям в STEAM приходили сообщения с сылкой,и пропала одна вещь из инвентаря dota2.Стоит ли опасаться что все вещи пропадут?

  17. Вадим
    12 января 2015 в 20:15 | #17

    И могут ли пропасть предметы которые нельзя обменивать?

  18. 15 января 2015 в 16:37 | #18

    Вадим :

    Запустил,через некоторое время всем друзьям в STEAM приходили сообщения с сылкой,и пропала одна вещь из инвентаря dota2.Стоит ли опасаться что все вещи пропадут?

    Разумеется, хотя Valve начали бороться с таким вредоносным ПО и ввели CAPTCHA в окно трейдов и оффлайн-трейдов.

  19. 15 января 2015 в 16:37 | #19

    Вадим :

    И могут ли пропасть предметы которые нельзя обменивать?

    Нет.

  20. Doffus
    17 января 2015 в 01:05 | #20

    Я тож недавно такой файл скачал случайно. Потом мя взломали на след день. Файл в виде заставки для виндовс. Я не запускал. На след день я зашел в стим и мне пишет тип с вашего акка заходил такой то, такой то. Айпи адрес и страна (iraq) Хотя у мя другая стоит. Ну я пометил тип ет не я.

  21. Владимир
    20 января 2015 в 21:55 | #21

    А если я запустил ету прогу где то через два месяца и без интернета что мне опасаться? После этого не заходил в интернет. Что мне делать? Плиз хелп, очень ценные вещи у меня

  22. 21 января 2015 в 01:45 | #22

    Владимир :

    А если я запустил ету прогу где то через два месяца и без интернета что мне опасаться?

    Если вредоносное ПО до сих пор присутствует на ПК и активно, то естественно стоит. Рекомендую загрузить компьютер в безопасном режиме и сделать полную проверку дисков при помощи CureIt.

  23. VipAngel
    17 февраля 2015 в 14:14 | #23

    А что если я запустил эту программу и теперь не могу зайти на официальный сайт стим (пробовал все браузеры). Всё равно страницу не грузит, реестр читстил, комп проверял. Помогите пожалуйста!

  24. 17 февраля 2015 в 15:57 | #24

    VipAngel :

    А что если я запустил эту программу и теперь не могу зайти на официальный сайт стим (пробовал все браузеры).

    Последние версии исследованной малвари при наличии прав администратора модифицируют файл Hosts так, чтобы вместо официальных сайтов Steam пользователь попадал на мошеннические.

    Воспользуйтесь Редактором Hosts и очистите его, оставив в списке только localhost, либо сделайте это вручную, но помните, что вредоносное ПО наверняка переопределило путь к файлу через реестр, а по стандартному пути лежит обманка.

  25. Aleksey
    6 марта 2015 в 10:09 | #25

    Вчера по глупости на форуме нажал на картинку screen_02.scr, ни разу за 2 года ничего подобного не открывал, но тут посреди ночи меня погубила невнимательность и глупость. Собственно, нажал «отменить загрузку», но уже не успел, файл само собой не открыл, просто удалил, с другого компа сменил все пароли, проверил лиц. каспом и прогнал avz не в безопасном режиме. В общем, как узнать заражен или мой комп и в каком порядке действовать? Спасибо.

  26. Aleksey
    6 марта 2015 в 20:59 | #26

    Прогнал в безопасном режиме через dr.web cureit по всем дискам, нашло кучу каких-то старых вирусов, который лиц. касперский не видел, мб из-за того, что им проверял не в безопасном. Я правильно понимаю, что если бы я открыл файл, то вещи пропали бы с аккаунта в течение короткого промежука времени, пока прошли сутки, ничего не пропало, но что делать не знаю т.к не уверен в безопасности компа.

  27. 7 марта 2015 в 00:26 | #27

    Aleksey :

    Вчера по глупости на форуме нажал на картинку screen_02.scr, ни разу за 2 года ничего подобного не открывал, но тут посреди ночи меня погубила невнимательность и глупость. Собственно, нажал «отменить загрузку», но уже не успел, файл само собой не открыл, просто удалил

    Если SCR-файл не запускали, то бояться нечего.

  28. 7 марта 2015 в 00:31 | #28

    Aleksey :

    Прогнал в безопасном режиме через dr.web cureit по всем дискам, нашло кучу каких-то старых вирусов, который лиц. касперский не видел, мб из-за того, что им проверял не в безопасном.

    У разных антивирусов разные вирусные базы. Некоторые могут считать вирусами и вполне безобидные программы-шутки.

    Современные вирусы умело маскируются в системе, поэтому только проверка из безопасного режима (а ещё лучше с антивирусного LiveCD), дадут положительные результаты.

    Aleksey :

    Я правильно понимаю, что если бы я открыл файл, то вещи пропали бы с аккаунта в течение короткого промежука времени

    Valve усилили безопасность трейдов, введя обязательное подтверждение транзакций посредством электронной почты, к которой привязана учётная запись Steam. Таким образом, мошенникам теперь требуется ещё и узнать пароль от этого ящика. Рекомендуем использовать Gmail с включённой двухфакторной авторизацией (при каждом входе система отправляет одноразовый код в виде SMS-сообщения). Взломать такую связку практически невозможно.

  29. Aleksey
    7 марта 2015 в 06:48 | #29

    Спасибо за ответ, да, аккаунт прикреплен к гугл почте с двухфакторной авторизацией и 17 символьным паролем, после смены всех паролей в стиме блок трейда и работы с торговой площадкой, я просто боюсь того, что (как я прочитал в статье) все можно украсть через гифты т.к на них нету никаких временных банов. Хоть я и не запустил файл, но т.к его скачал страх само собой появился, тем более выше видел ответы, что для этого почта вовсе не потребуется злоумышленниками, зайдут якобы с моего ip и все гифтом вышлют куда подальше.

  30. 7 марта 2015 в 16:02 | #30

    Aleksey :

    тем более выше видел ответы, что для этого почта вовсе не потребуется злоумышленниками, зайдут якобы с моего ip и все гифтом вышлют куда подальше.

    Раньше не требовалась, но после масштабной эпидемии в декабре-январе Valve ввели обязательное подтверждение трейдов по электронной почте, а отправки гифтов — паролем аккаунта.

  31. Aleksey
    7 марта 2015 в 20:01 | #31

    Про подтверждение по почте трейдов в курсе, а касаемо гифтов, как я писал уже выше, поменял пароли и у меня стоит блок на трейд / маркет, но подарки своим друзьям все так же могу кидать без каких либо ограничей, не совсем понял про «а отправки гифтов — паролем аккаунта.» , или это какая ситуация с подарками рассматривается?

  32. 9 марта 2015 в 01:31 | #32

    Aleksey :

    подарки своим друзьям все так же могу кидать без каких либо ограничей, не совсем понял про «а отправки гифтов — паролем аккаунта.» , или это какая ситуация с подарками рассматривается?

    При отправке подарка через браузер появляется предложение повторно авторизоваться. Если эти действия выполняются через клиент Steam, то, действительно, подтверждение не запрашивается.

  33. Марсель
    10 марта 2015 в 02:17 | #33

    Здраствуйте хочу спросить,недавно в стиме кинули ссылку якобы общение через микрофон скачал файл открыл стим не запускаеться пишет что не правильный пароль зашел с другого компа,пропала вешь,со стараго компьютера незаходит,поменял виноус зашло,вешь сапорт вернул,поменял мыло,секретный впорос пароль в стиме,может ли быть такое что взломают опять хотя мейл сменил и поменял виндоус?

  34. 11 марта 2015 в 01:56 | #34

    Марсель :

    недавно в стиме кинули ссылку якобы общение через микрофон скачал файл открыл стим не запускаеться пишет что не правильный пароль

    Это широко распространённый в последнее время троян. Он маскируется под популярные программы голосового общения: Team Speak 3, Mumble, Skype. Внутри имеется функция кейлоггера, поэтому он легко получает контроль над аккаунтом Steam и почтой.

    Марсель :

    может ли быть такое что взломают опять хотя мейл сменил и поменял виндоус?

    Загрузите Windows в безопасном режиме (F8 при загрузке ПК — Безопасный режим) и сделайте полную проверку всех дисков компьютера при помощи утилиты Dr. Web CureIt. Только после полной проверки системы и удаления вредоносго ПО меняйте пароли как на почту, так и Steam аккаунт. Рекомендуется использовать почту Gmail с привязкой к номеру мобильного телефона.

    Также малварь модифицирует файл Hosts, поэтому воспользуйтесь редактором и очистите всё, кроме строки 127.0.0.1 localhost.

  35. Вячеслав
    5 апреля 2015 в 11:30 | #35

    Если скачал файл, но открыть его не дал сам виндовс. потому что не знал тип файла?

  36. 5 апреля 2015 в 14:55 | #36

    Вячеслав :

    Если скачал файл, но открыть его не дал сам виндовс. потому что не знал тип файла?

    Нормально работающая ОС Windows не может не понимать формат своих исполняемых файлов.

  37. Сергей
    8 апреля 2015 в 13:20 | #37

    Недавно начали добовляться какието пользователи, которые пишут на английском языке(все) и промят перейти по ссылке, чтобы проверить вещь и начать обмен. Что делать?

  38. 8 апреля 2015 в 15:22 | #38

    Сергей :

    Недавно начали добовляться какието пользователи, которые пишут на английском языке(все) и промят перейти по ссылке, чтобы проверить вещь и начать обмен. Что делать?

    Это боты. По ссылке загрузится троян, ворующий предметы из инвентаря. Не переходите по ссылкам, которые отправляют в Steam, а подобных ботов добавляйте в игнор.

  39. Алишер
    14 июня 2015 в 21:36 | #39

    Помогите пожалуйста!!! Я скачал файл, открыл его, дебилом был, и теперь что мне делать? Я боюсь! Друзья жалуются что я спамлю очень много! И друг сказал что я целые сутки провел в стиме(онлайн типо был), а на самом деле меня вообще дома не было! Стим я нигде не запускаю, кроме компа в доме! ПОМОГИТЕ!!!

  40. 15 июня 2015 в 14:05 | #40

    @Алишер
    Скачать свежий Dr.Web CureIt, загрузиться в безопасном режиме и прогнать полную проверку всех дисков ПК.

    После удаления вредоносного ПО сменить пароли на почтовом ящике и в Steam.

  41. Алишер
    15 июня 2015 в 14:54 | #41

    @V1TSK
    Спасибо большое! Понял! Если будут проблемы, отпишусь если что.

  42. Molag Bal
    25 июня 2015 в 21:50 | #42

    Скинули ссылку, по глупости перешел по ней, но ссылка была несколько иной, там было что-то «picture», но ничего с форматом .jpg, ничего не скачал, сразу же поменял пароль, прошло уже минут 30, ничего не пропало, стоит опасаться?

  43. 27 июня 2015 в 15:02 | #43

    @Molag Bal
    Если ничего не было скачано и запущено, то опасаться нечего.

  44. Никита
    5 декабря 2015 в 22:00 | #44

    Здравствуйте! Мне пришла похожая ссылка, я вписал ее в строку браузера (браузер в стиме). Стоит ли мне опасаться? Спасибо!

  45. 5 декабря 2015 в 22:45 | #45

    @Никита
    Если вы ничего не скачивали и не запускали оттуда, то нет. Но всё равно рекомендую прогнать полную проверку системы свежим антивирусом.

Представьтесь, пожалуйста! Если ваш комментарий предполагает ответ, мы ответим на него в ближайшее время. Адрес электронной почты должен быть действительным.


Внимание! Запрещено публиковать любые ссылки в тексте комментария, иначе он сразу же будет помечен как нежелательный и не будет опубликован на сайте.