Развитие вредоносных программ для кражи паролей к онлайн-играм
Первые вредоносные программы для онлайн-игр были простейшими, но сегодня, когда программистская мысль достигла своих высот, они стали весьма сложны и изощренны. Их эволюция происходила в трех направлениях: первое — развитие и модернизация функции непосредственной кражи пароля и доставки его злоумышленнику (Trojan-PSW); второе — совершенствование средств распространения вредоносной программы (worm, virus); третье — самозащита вирусов от антивирусов (rootkit, killav, packers).
Троянские программы
Первые случаи воровства пользовательских паролей к онлайн-играм с помощью вредоносных программ были зафиксированы в 1997 году, когда в антивирусные компании стали приходить письма от игроков Ultima Online, содержащие вредоносное ПО для анализа. Вначале это были в основном классические кейлоггеры, то есть троянские программы, не имеющие прямого отношения к онлайн-играм и осуществляющие сбор всей информации, вводимой пользователем с клавиатуры.
Первой вредоносной программой, ориентированной именно на воровство паролей к онлайн-играм, стал троянец Trojan-PSW.Win32.Lmir.a. Появившийся в конце 2002 года, он представлял собой простенькую программку, написанную на языке Delphi, по таймеру искавшую окно с заголовком «legend of mir2», а затем отсылавшую всю вводимую в данное окно информацию на электронный адрес злоумышленника. Эта вредоносная программа была китайского происхождения, не претендовала на оригинальность и не обещала повсеместного распространения. Однако вскоре простенький и неприметный троянец стал «классикой жанра» кражи паролей к онлайн-играм. Видимо, исходные коды этого вируса когда-то попали в Сеть, и его начали модифицировать под другие онлайн-игры, что оказалось делом несложным. Так, при замене заголовка в строке поиска окна атакуемой игры (например, на «MapleStory»), троянец воровал пароль от другой игры. Такие нехитрые ходы вскоре вызвали лавинообразный рост популяции зловредов для онлайн-игр.
Массовому распространению и большому числу модификаций Trojan-PSW.Win32.Lmir способствовали несколько факторов:
- Популярность онлайн-игры «Legend of Mir», на игроков которой ориентирован Trojan-PSW.Win32.Lmir.
- Наличие большого количества серверов данной игры.
- Возможность распространения троянца через ошибки в браузере: злоумышленники взламывали веб-сайт сервера игры и размещали на нем скрипт, осуществлявший загрузку вируса на компьютеры игроков и его запуск.
- Появление более 30 конструкторов Trojan-PSW.Win32.Lmir (Constructor.Win32.Lmir — специальное ПО для создания и настройки троянов, ворующих пароли к «Legend of Mir 2»).
После очевидных успехов Lmir злоумышленники стали переделывать вредоносную программу, выбирая в качестве мишеней другие популярные онлайн-игры. Такие «последователи» Lmir, как Trojan-PSW.Win32.Nilage («нацелены» на «Lineage II») и Trojan-PSW.Win32.WOW (атакуют игроков «World of Warcraft»), появившиеся в 2004 и 2005 годах соответственно, до сих пор являются самыми востребованными среди злоумышленников, поскольку популярность атакуемых ими игр продолжает расти. Отметим также, что большинство подобных троянцев ориентированы на воровство имен и паролей к серверам онлайн-игр, находящихся на домене «.tw», в то время как передача похищенной информации осуществляется на почту или ftp-сервера в домене «.cn».
Большинство троянских программ ориентированы на конкретные онлайн-игры. Однако в 2006 году появился Trojan-PSW.Win32.OnLineGames.a, который стал воровать пароли практически ко всем популярным онлайн-играм (разумеется, уже с адресами серверов, на которых зарегистрирована жертва), причем список интересующих его игр постоянно растет.
Часть вредоносной программы Trojan-PSW.Win32.OnLineGames.fs
(ворующей пароль, в частности, к онлайн-игре «MapleStory»)
Современный троянец, занимающийся кражей паролей к онлайн-игре, представляет собой динамическую библиотеку (DLL-файл), написанную на Delphi, которая автоматически присоединяется ко всем приложениям, запущенным в системе. При обнаружении запуска онлайн-игры такая вредоносная программа осуществляет перехват ввода с клавиатуры пароля, после чего отправляет пароль на почту злоумышленника и самоудаляется. Использование динамической библиотеки позволяет легко установить троянца на машину пользователя (с помощью дропперов (загрузчиков), червей и др.), а также скрыть от него наличие зловреда в системе.
Черви и вирусы
Благодаря массовости и популярности онлайн-игр отыскать игроков среди общей массы пользователей Интернета не составляет особого труда, поэтому еще одним направлением развития вредоносных программ для кражи игровых паролей стало их самораспространение и, как следствие, ориентирование на как можно большее число игроков самых разных игр и серверов.
Первым саморазмножающимся червем, ворующим пароли к онлайн-играм, стал Email-Worm.Win32.Lewor.a. Он рассылал себя по адресам из адресной книги Outlook Express. Найдя на зараженном компьютере логин, пароль и адрес сервера все той же «Legend of Mir», вирус сохранял эти сведения ftp-сервере злоумышленника. Первая спам-рассылка Email-Worm.Win32.Lewor.a была зафиксирована в начале июня 2004 года.
Позже авторы вредоносных программ, занимающихся кражей паролей к онлайн-играм, начали добавлять в свои творения функцию самокопирования на съемные диски с добавлением файла «autorun.inf», обеспечивающего автозапуск зловреда при подключении зараженного диска к компьютеру (заражение происходило только в том случае, если на компьютере был разрешен подобный автозапуск). Когда к инфицированной машине подключали, например, флэш-накопитель, вирус самокопировался туда, а при подключении зараженного носителя к другому компьютеру автоматически запускался на нем и начинал инфицировать подключаемые уже к нему съемные устройства. Жертвами подобных атак становились, в частности, клиенты центров фотопечати, приносившие туда материалы на флэш-накопителях.
Вскоре начали появляться отдельные экземпляры вирусов-похитителей, обладающие функциями заражения исполняемых файлов и самокопирования на сетевые ресурсы. Это обеспечивало злоумышленникам дополнительную возможность распространения их детищ на компьютеры пользователей и добавляло задач антивирусным компаниям. Плюс ко всему, самокопирование в папки, к которым открыт общий доступ, или через файлообменные сети (p2p), или через сеть Microsoft Networks (shared folder) способно существенно увеличить количество потенциальных жертв.
Весь спектр описанных вредоносных программ именовался в классификации «Лаборатории Касперского» как Worm.Win32.Viking. Дальнейшее развитие идеи массового распространения вредоносного ПО для онлайн-игр воплотилось в прямом «потомке» Viking — черве Worm.Win32.Fujack.
Последним достижением писателей зловредов для онлайн-игр на сегодняшний день являются полиморфный вирус Virus.Win32.Alman.a и его наследник Virus.Win32.Hala.a. Помимо заражения исполняемых файлов данные вредоносные программы несут в себе функции червя (распространение по сетевым ресурсам), руткита (механизмы сокрытия в системе) и бэкдора. Зараженный компьютер подключается к определенному серверу Сети, получая с него команды от злоумышленника — в том числе на загрузку и выполнение программ, классифицируемых «Лабораторией Касперского» как Trojan-PSW.Win32.OnLineGames.
Вирусы Alman.a и Hala.a содержат списки исполняемых файлов, которые не должны быть заражены. Помимо файлов иных зловредов вирусописатели включили в эти списки и файлы клиентов онлайн-игр. Зачем?
Учитывая, что защитные механизмы самой игры и/или антивирусные продукты могут блокировать запуск измененных исполняемых файлов, злоумышленники позаботились о том, чтобы игроки могли беспрепятственно запускать игру на зараженных машинах, а загруженный Trojan-PSW.Win32.OnLineGames — перехватывать пароли и отправлять их своему создателю.
Фрагмент файла, зараженного вирусом Virus.Win32.Alman.a
Определим временные рамки появления зловредов для онлайн-игр:
Год, месяц |
Троянцы |
Черви |
Вирусы |
1997 г. |
Обычные keyloggers |
|
|
2002 г., декабрь |
Trojan-PSW.Win32.Lmir.a |
|
|
2004 г., июнь |
|
Email-Worm.Win32.Lewor.a |
|
2004 г., октябрь |
Trojan-PSW.Win32.Nilage.a |
|
|
2005 г., февраль |
|
Worm.Win32.Viking.a |
|
2005 г., декабрь |
Trojan-PSW.Win32.WOW.a |
|
|
2006 г., август |
Trojan-PSW.Win32.OnLineGames.a |
|
|
2006 г., декабрь |
|
Worm.Win32.Fujack.a |
|
2007 г., апрель |
|
|
Virus.Win32.Alman.a |
2007 г., июнь |
|
|
Virus.Win32.Hala.a |
Технологии самозащиты вредоносных программ для онлайн-игр
Постоянная борьба с антивирусами заставляет вирусописателей заботиться о самозащите своих творений от антивирусного ПО.
Первым шагом на пути самозащиты вирусов для онлайн-игр стало использование навесных упаковщиков для сокрытия кода от сигнатурного поиска. Использование подобных упаковщиков защищает код вредоносной программы от дизассемблирования и затрудняет ее анализ.
Отметим, что вредоносные программы типа Trojan-PSW.Win32.Nilage (ворующие пароли к игре «Lineage II») и Trojan-PSW.Win32.WOW («нацеленные» на игроков «World of Warcraft») пошли двумя разными путями развития. Первые скрываются в системе от антивирусных сканеров, используя для своей защиты в основном навесные упаковщики, затрудняющие обнаружение при сигнатурном поиске. Вторые же предпочли прямое противодействие антивирусным продуктам, а именно выключение защиты зараженного ПК. Это неудивительно, учитывая, что «Lineage II» имеет большую популярность в Азии, а «World of Warcraft» — в Америке и Европе.
Схема современной атаки
Развитие зловредов, занимающихся кражей паролей к онлайн-играм, заметно отстает от развития всех остальных вредоносных программ. Это объясняется в первую очередь относительно недавним появлением самих онлайн-игр. Довольно долго вредоносные программы для них были очень просты и писались только на Delphi, и антивирусным сканерам не составляло труда детектировать и удалять их. Но за последние два года, стремясь пробить защиту антивирусов, вредоносные программы для онлайн-игр сделали огромный скачок в своем развитии — их авторы перешли к другой стратегии. Современные атаки на компьютеры игроков организуются следующим образом. Создается червь, который несет в себе множество функций: самораспространения (функционал email-worm, p2p-worm, net-worm), заражения исполняемых файлов (virus-функционал), сокрытия себя в системе (rootkit-функционал), и, собственно, программу для кражи пароля (функционал trojan-psw).
Схема модулей вредоносной программы,
предназначенной для атаки на онлайн-игроков
Затем устраивается спам-рассылка этого червя. Одно неосторожное действие пользователя — и все исполняемые файлы на компьютере заражены, по всем адресам из адресной книги разосланы копии червя, вредоносный код присутствует на всех сетевых ресурсах, к которым ему удалось получить доступ. Но жертва ничего не знает об этом, так как использующиеся в черве руткит-технологии скрывают его присутствие в системе.
Примечательно, что практически при всех подобных атаках собранный «урожай» паролей также отправляется на электронные почтовые адреса или ftp-серверы, расположенные в домене «.cn».
«География» проблемы
Когда речь идет о краже паролей к онлайн-играм, «азиатский след» неизбежен, поскольку по статистике самая большая армия онлайн-игроков обитает именно в азиатском регионе. Проблема воровства паролей к онлайн-играм в первую очередь касается Китая и Южной Кореи. Не беремся судить о причинах, но более 90% всех троянских программ для онлайн-игр фактически пишутся в Китае, а 90% паролей, которые воруют эти троянцы, принадлежат игрокам южнокорейских сайтов.
В других странах какие-либо новые троянцы для онлайн-игр возникают крайне редко, и количество их модификаций редко превышает 2-3 экземпляра.
В России компьютеризация и быстрый рост IT-отрасли не могли не способствовать развитию компьютерных развлечений. Характерной чертой российской игровой индустрии стала популярность BBMMORPG (browser based massive multiplayer online role-playing game) — браузерных массовых многопользовательских онлайн-игр. Спецификой данных игр, самой популярной из которых в 2002 году стал «Бойцовский клуб» (www.combats.ru), является отсутствие отдельного клиента для игры — все действия производятся непосредственно через браузер.
Скриншот экрана с загруженной игрой «Бойцовский клуб»
(с сайта www.mjournal.ru)
Обилие таких игр и огромное количество людей, в них играющих, не могли не привлечь российских злоумышленников. Особенностью российских атак стало преимущественное использование фишинга для распространения вредоносного ПО. В Сети начали появляться многочисленные сайты-клоны «БК» и многих других игр, ссылки на которые распространялись в фишинговых письмах.
Так, в ходе одной из атак в разосланных якобы от имени администрации сайта письмах сообщалось о смене адреса сервера игры. Когда игроки пытались войти в игру по новому адресу, появлялось сообщение об ошибке. При этом введенные игроками пароли оказывались у злоумышленников, а робот автоматически изменял исходные пароли на оригинальном сайте игры. В результате пользователь не мог войти в игру под старым паролем, а воры получали полную свободу действий в игре и могли распоряжаться чужим виртуальным имуществом.
Использовавшиеся вирусы были причислены «Лабораторией Касперского» к семействам Trojan-Spy.HTML.Fraud и Trojan-Spy.HTML.Combats. Но на этом разработка зловредов для онлайн-игр отечественными злоумышленниками и остановилась. Попадаются, конечно, отдельные экземпляры новых вредоносных программ, но о крупномасштабной атаке на игроков онлайн-игр в России говорить не приходится. Все ограничивается либо обычными кейлоггерами, не имеющими отношения к онлайн-играм, либо тем же фишингом.
Немного статистики
Из года в год число новых вредоносных программ для онлайн-игр и модификаций уже известных зловредов растет. Сегодня в «Лабораторию Касперского» ежедневно присылают более 40 вредоносных программ, ворующих пароли к популярным онлайн-играм. Причем количество и «качество» вирусов постоянно растет, что вызвано соответствующей реакцией на них антивирусных компаний и ростом популярности онлайн-игр. Большая часть таких программ узко специализирована под конкретные сервера онлайн-игр.
Общее количество вредоносных программ,
ворующих пароли от онлайн-игр, в разные годы
Если в 2002 году практически 99% присылаемых зловредов, относящихся к онлайн-играм, были классифицированы как Trojan-PSW.Win32.Lmir, то с появлением новых игр и ростом их популярности доля вредоносных программ, атакующих игроков «Legend of Mir», заметно упала. Сегодня самыми популярными мишенями разработчиков троянских программ для онлайн-игр являются игры «Lineage II» (более 40% всего потока троянцев для онлайн-игр), «World of Warcraft» (около 20%), «Gamania», «Tibia», «Legend of Mir» (около 6% для каждой). Это косвенно отображает популярность самих онлайн-игр, на пароли от которых «заточены» зловреды.
Приведем статистику появления в 2006 году новых зловредов для наиболее популярных у злоумышленников онлайн-игр «Lineage II» и «World of Warcraft».
Количество вредоносных программ, ворующих пароли
от онлайн-игр «Lineage II» и «World of Warcraft», за 2006 год
Миры этих онлайн-игр были открыты в 2004 году. По мере роста популярности этих игр среди игроков росла их популярность и у злоумышленников. В 2006 году число ежемесячно выпускаемых троянцев для «Lineage II» и «World of Warcraft» росло лавинообразно и в целом за год составило более 70% от входящего потока зловредов для онлайн-игр в целом.
Заключение
Число онлайн-игр постоянно растет, и армия игроков все время пополняется новыми волонтерами. При этом практически для всех MMORPG-игр существуют программы, ворующие пароли к ним (а если для какой-то игры их еще нет, это значит, что игроки пока просто не готовы платить материальным за виртуальное).
Огромный рост популяции зловредов для онлайн-игр объясняется не только тем, что торговля игровыми ценностями представляет собой выгодный бизнес, но и отсутствием реальной угрозы наказания за кражу паролей к онлайн-играм. В подавляющем большинстве лицензионных соглашений декларируется, что все компоненты игры принадлежат разработчикам. Игрок лишь пользуется предоставленными ему услугами, в том числе паролем к игре. Соответственно, жаловаться на кражу он может только администратору, а не в правоохранительные органы.
С юридической точки зрения, в случае кражи виртуальной собственности игрока состав преступления отсутствует, и привлекать злоумышленников к ответственности можно только за распространение вредоносных программ или за мошенничество.
Игроки онлайн-игр постоянно находятся под прицелом у злоумышленников.
Разработчики игр пытаются оградить пользователей от злоумышленников, вводя новые механизмы авторизации/аутентификации пользователей, криптографические протоколы, всевозможные патчи игровых клиентов — вплоть до изменения системы ценностей в игровом процессе.
Антивирусные компании тоже пытаются оградить своих клиентов от кражи паролей к онлайн-играм, оперативно предоставляя базы уже известных вредоносных программ, добавляя в антивирусы новые эвристики и поведенческие признаки программ, осуществляющих неправомерный доступ к игровым клиентам.
Линия фронта в войне с трояно/вирусописателями,
атакующими игроков онлайн-игр
Еще одна эффективная возможность защиты игроков онлайн-игр — активное сотрудничество разработчиков игр с антивирусными компаниями. Так, в 2004 году «Лабораторией Касперского» было заключено соглашение с разработчиками онлайн-игры «Бойцовский клуб», согласно которому любой подозрительный код, обнаруженный администраторами или пользователями игры, отправляется на анализ в вирусную лабораторию с целью его скорейшего анализа и своевременной защиты виртуальной собственности игроков. И это соглашение принесло свои плоды: была предотвращена попытка кражи паролей тысяч пользователей. Если бы злоумышленникам удалось успешно провести свои атаки, то суммы в реальных долларах США, «заработанные» ими на продаже виртуальных ценностей, имели бы не менее четырех нулей.
Какие рекомендации можно дать самим игрокам для предотвращения кражи? Как обычно — элементарные меры предосторожности, простое благоразумие, голова на плечах и, конечно же, лучший антивирус.
