Подпишитесь на нашу ежедневную рассылку с новыми материалами

Игры


Олег Галкин,

Корпорация Symantec сообщила об обнаружении нового варианта червя W32.Gammima.AG, который научился перехватывать коммуникации в игре Diablo III. Вредоносное ПО крадет пользовательские пароли, тем самым позволяя злоумышленникам брать под контроль аккаунты игроков. Поскольку одной из особенностей игры является возможность продажи игроками своих ресурсов за реальные деньги, зараженные компьютеры могут приносить злоумышленникам солидный доход.
 
Неудивительно, что игра стала целью атак, ведь она использует систему Real Money Auction House, которая позволяет игрокам продавать выигранные виртуальные вещи и золото за настоящие деньги, в частности, за доллары США. Теперь запуск Diablo III может стать причиной заражения компьютеров русскоязычных пользователей по всему миру.



По словам специалистов Symantec, данная угроза не является принципиально новой. Червь W32.Gammima.AG уже был известен ранее. Теперь появилась модифицированная версия специально для атак на Diablo III. В прошлом его атакам подвергались и продолжают подвергаться онлайн-игры Arad, Lineage, MapleStory, The Kingdom of the Winds и World of Warcraft.

Обнаружить на своем компьютере эту вредоносную программу можно по следующим признакам:

При первом запуске он создает в системной директории Windows (%System%) файлы:

  • %System%\kavo.exe
  • %System%\kavo0.dll

DLL kavo0.dll внедряется во все работающие процессы. Затем создает файл-руткит (определяется Symantec как Hacktool.Rootkit):

  • %Temp%\[СЛУЧАЙНОЕ_ИМЯ].dll

Копирует себя в корень всех дисков от C до Z под именем ntdetect.com (так называется скрытый файл Windows NT - Vista). Там же создает autorun.inf, файл, обеспечивающий автозапуск ntdetect.com при подключении диска к системе.

Червь обеспечивает свою автозагрузку при каждом запуске Windows, записывая в соответствующий раздел реестра ссылку на %System%\kavo.exe

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"kava" = "%System%\kavo.exe" 

Также он отключает через реестр отображение скрытых и системных файлов и директорий, а также включает автозапуск autorun.inf при подключении дисков к системе:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue" = "0"
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden" = "2"
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "0"
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Pocilies\Explorer\"NoDriveTypeAutoRun" = "0x91"

Разработчик игры, Blizzard Entertainment, использует определенные средства безопасности, такие как одноразовые пароли и блокировка учетных записей, благодаря чему игроки могут защитить свои виртуальные вещи и золото. Однако, чтобы обеспечить свою безопасность, эксперты по борьбе с вредоносным ПО рекомендуют убедиться в том, что на ваших компьютерах установлены последние обновления для операционной системы и новейшие антивирусные базы.

Запуск русскоязычной локализованной версии Diablo III произошел 7 июля. Мировая премьера игры состоялась 15 мая.

Нужные услуги в нужный момент