分析師警告說 數(shù)以千計的CS 1.6服務器陷入了特洛伊木馬

反恐精英：當你提到反恐精英時，大多數(shù)人都會想到全球攻勢，但2003年發(fā)布的版本仍然有很多粉絲，反恐精英1.6。游戲仍然擁有健康的玩家群- 比Steam上的大多數(shù)游戲更多 - 但有一項研究發(fā)現(xiàn)這些玩家可能面臨風險，數(shù)千臺CS 1.6服務器被木馬感染。

Dr.Web反病毒數(shù)據(jù)庫的一項研究警告說，通過CS 1.6客戶端可以查看的5,000臺服務器中，近2000臺服務器是Trojan.Belonard客戶端創(chuàng)建的虛擬服務器。這不是第一次CS 1.6成為這種攻擊的目標，特洛伊木馬通過用戶在連接1.6服務器時看到的每日消息中隱藏的iframe進行分發(fā)。

該窗口的內(nèi)容是一個HTML文件。黑客創(chuàng)建的MOTD文件包含一個隱藏的IFRAME組件，用于重定向到其中一個服務器。反過來，包含Win32.HLLW.HLProxy特洛伊木馬文件的admin.cmd文件被下載并安裝在受害者的計算機上。

已向Valve報告的最新漏洞甚至更嚴重。根據(jù)分析師的說法，該木馬可以感染Steam版本的游戲或盜版(世界上一些網(wǎng)絡用戶仍在使用)。

“一名玩家啟動官方Steam客戶端并選擇游戲服務器，”分析師解釋說。“在連接到惡意服務器時，它會利用RCE漏洞，將其中一個惡意庫上傳到受害者的設備。根據(jù)漏洞的類型，將下載并執(zhí)行兩個庫中的一個：client.dll(Trojan.Belonard。 1)或Mssv24.asi(Trojan.Belonard.5)。“

特洛伊木馬的一個元素特別令人討厭。在搜索播放器的計算機以運行CS客戶端之后，它會根據(jù)自己的方式檢查這些文件的哈希值。如果兩者不匹配，它將結束現(xiàn)有客戶端 - 顯示“無法加載游戲”的警告 - 然后開始用自己的受感染版本替換客戶端hl.exe文件。

由于惡意軟件依賴于從外部域名中提取文件，因此分析人員可以在俄羅斯域名注冊商的幫助下削減未來的連接并防止未來的感染。CS 1.6沒有被修補以防止漏洞利用，但是，只有Valve可以做 - 而分析師關注的事情可能不會發(fā)生，考慮到游戲的年齡。

他們寫道：“Doctor Web已經(jīng)向Valve通報了游戲的這些和其他漏洞，但截至目前，還沒有關于何時修復漏洞的數(shù)據(jù)。”