Есть ли вирусы на дисках-играх

Статистика показывает, что многие современные пользователи недооценивают угрозы со стороны вредоносных программ и киберзлоумышленников.

  • Только 15% пользователей понимают, что могут стать целью киберпреступников.
  • Каждый третий считает маловероятными финансовые потери в результате атак злоумышленников.
  • Абсолютное большинство полагает, что их данные никому не интересны!

Условно, игроков можно разделить на три группы:

В силу подросткового максимализма дети стремятся игнорировать рекомендации по безопасности с одной стороны и хотят попробовать запретное - с другой. Поэтому использование Родительского контроля Dr.Web для предотвращения заражения и похищения информации и игрового имущества для них обязательно!


Невероятно, но факт: одной из первых вредоносных программ — причем не вирусом, а троянцем! — была компьютерная игра Pervading Animal: с помощью наводящих вопросов программа пыталась определить имя животного, задуманного пользователем. Она была написана с ошибкой – при добавлении новых вопросов модифицированная игра записывалась поверх старой версии и копировалась в другие директории (саморазмножалась), в результате чего через некоторое время диск переполнялся. Pervading Animal распространялась с помощью своих жертв и выполняла неизвестные пользователю действия - это говорит о том, что она была классическим троянцем.


Злоумышленники направляют свое внимание туда, где можно и есть чем поживиться. Их целями становятся аккаунты и артефакты игроков — все то, что интересует геймеров и что при этом можно у геймеров украсть и продать.


  • Покупка, продажа и обмен игровых предметов, порой — за реальные деньги.


    • Целями злоумышленников являются аккаунты и артефакты игроков — все из мира игр, что можно украсть и реализовать за деньги.

    Учитывая стоимость прокачанных аккаунтов и дорогих артефактов, без преувеличения можно сказать, что игроки и их имущество – лакомая цель для злоумышленников.

    Пример вредоносной программы для кражи артефактов

    После того, как основной модуль троянца Trojan.SteamLogger.1 запускается и инициализируется, он ищет в памяти зараженного компьютера процесс с именем Steam и проверяет, вошел ли пользователь в свою учетную запись. Если нет, вредоносная программа ожидает момента авторизации игрока, затем извлекает информацию об аккаунте пользователя Steam (наличие SteamGuard, steam-id, security token) и передает эти данные злоумышленникам. В ответ Trojan.SteamLogger.1 получает список учетных записей, на которые могут быть переданы игровые предметы с аккаунта жертвы. Вредоносная программа пытается похитить наиболее ценные игровые предметы, ключи от сундуков и сами сундуки. Trojan.SteamLogger.1 внимательно следит за тем, не пытается ли игрок продать что-либо из виртуальных предметов самостоятельно, и в случае обнаружения такой попытки старается воспрепятствовать этому, автоматически снимая артефакты с продажи.

    Всю собранную информацию троянец отправляет на сервер злоумышленников, затем проверяет, включена ли в настройках Steam автоматическая авторизация, и, если она отключена, в отдельном потоке запускает кейлоггер (перехватчик нажатий кнопок клавиатуры) — собранные с его помощью данные пересылаются на сервер киберпреступников с интервалом в 15 секунд.

    Trojan.SteamLogger.1 распространяется на специализированных форумах или в чате Steam под видом предложения о продаже или обмене игровых предметов.




    Один из способов атаки на игроков — распространение троянцев с целью инфицирования.


    Если одна из их целей — Steam-кошельки для покупки игр, для получения доступа к кошельку также используют фишинг. Пользователям сервиса Twitch, например, рассылаются предложения поучаствовать в лотерее. Жертвам предлагается выиграть цифровое оружие и коллекционные предметы для шутера CounterStrike: Global Offensive. Как только вредоносный софт получает доступ к Steam-аккаунту, установившийся на геймерский компьютер втайне от его владельца троянец делает скриншоты, добавляет новых друзей, покупает предметы за Steam-средства, самостоятельно (!!) отправляет и принимает предложения по продаже. После кражи инвентаря он выставляется на Steam Community Market со значительной скидкой - до 35%.


    Возможность создания игровых серверов самими игроками позволяет злоумышленникам создавать поддельные серверы и распространять через них вредоносные программы!

    Дальнейшее развитие сценария атаки зависит от функционала, заложенного вирусописателями в код троянца. Вредоносная программа может оказаться в том числе и самым опасным на сегодняшний день троянцем-шифровальщиком.

    Подробнее о шифровальщиках можно прочитать здесь.

    Злоумышленники уже используют возможности самих игр для распространения вредоносных программ.

    Обычно при соединении с сервером Counter-Strike программа-клиент скачивает с удаленного узла компоненты, отсутствующие на клиентской машине, но используемые в игре.



    Основное назначение троянца заключается в том, что он запускает на компьютере игрока прокси-сервер, эмулирующий на одной физической машине несколько игровых серверов Counter-Strike и передающий соответствующую информацию на серверы VALVE. При обращении к сэмулированному троянцем игровому серверу программа-клиент перебрасывалась на настоящий игровой сервер злоумышленников, откуда игрок тут же получал троянца Win32.HLLW.HLProxy.

    Таким образом, количество зараженных компьютеров росло в геометрической прогрессии.



    При запуске Android.Elite.1.origin обманным путем пытается получить доступ к функциям администратора мобильного устройства, которые якобы необходимы для завершения корректной установки приложения. В случае успеха троянец приступает к немедленному форматированию подключенной SD-карты, удаляя все хранящиеся на ней данные. После этого вредоносная программа ожидает запуска ряда популярных приложений для общения (мессенджеров).


    Помимо форматирования SD-карты и частичной блокировки средств коммуникации, Android.Elite.1.origin с периодичностью в 5 секунд рассылает по всем найденным в телефонной книге контактам СМС, и счет пострадавших владельцев зараженных мобильных устройств может быть опустошен за считанные минуты и даже секунды!

    Конкуренция среди владельцев игровых серверов высока, особенно если речь идет о ресурсах, входящих в топ рейтинга Gametracker. В феврале 2012 появилось несколько вредоносных приложений, предназначенных для вывода из строя игровых серверов, работающих на движке GoldSource (в том числе Counter-Strike, Half-Life). Одно из них, добавленное в вирусную базу Dr.Web под именем Flooder.HLDS, представляет собой программу, которая эмулирует подключение к игровому серверу большого числа игроков, что может вызвать зависание и сбои в его работе.

    Другая вредоносная программа, Flooder.HLDS.2, способна отправлять на сервер определенный пакет данных, вызывающих отказ серверного ПО.

    Оба приложения получили широкое распространение на форумах околоигровой тематики, и число атак на игровые серверы с помощью данных программ в течение месяца значительно возросло.


    Перед покупкой аккаунта на игровом сервере внимательно прочитайте текст Лицензионного соглашения и соблюдайте его положения.

    • Правила использования большинства игровых серверов, которые должен принять пользователь, включают пункты о полном отказе администрации сервера от каких-либо гарантий в случае кражи аккаунта и о возможности заблокировать любую учетную запись без объяснения причин, что становится сюрпризом для многих игроков.
    • При покупке учетной записи соблюдайте условия лицензии, запрещающие покупку учетной записи.

    На большинстве игровых серверов (включая поддерживаемые Blizzard) учетная запись пользователя привязана к его адресу электронной почты, иногда — к телефонному номеру. В случае кражи аккаунта администрация будет общаться с тем, кого она считает владельцем аккаунта, по этому e-mail.

    Храните скан-копии вашего паспорта на отдельном носителе, не на геймерском компьютере — чтобы его не увел троянец. Эта рекомендация относится ко всем пользователям, а не только к геймерам. В случае кражи аккаунта администрация игрового сервера может потребовать у вас предоставить паспортные данные , изображения отсканированных страниц паспорта или ваше фото с паспортом в руках.

    В качестве доказательства подлинности личности владельца учетной записи техподдержка игрового сервера может попросить выслать фотографию не просто с паспортом в руках, но и с подтверждением времени создания снимка, например, в кадре должна присутствовать свежая газета. В результате аккаунт отдадут тому, кто сможет предоставить такой кадр.

    Если вы не сможете это сделать, выставленный на продажу украденный мошенниками игровой аккаунт может быть заблокирован. Деньги останутся у злоумышленников, а проблемы — у вас, их жертвы.

    Неприятное ощущение, когда вы узнали, что ваш компьютер или ноутбук заражен вирусом, ведь на жестком диске могут быть важные файлы, незаменимые фотографии или какой-то незавершенный проект, который вы забыли сохранить. Вирусы и вредоносные программы могут представлять собой значительную угрозу вашим данным и вашей персональной информации, а также могут негативно влиять на работу вашего компьютера.

    Существует множество причин, почему ваш компьютер может начать работать медленно, но одна из причин – это наличие вредоносных программ, а потому в первую очередь необходимо обратить внимание на это. Т.к. избавиться от вирусов порой бывает достаточно сложно, то мы подготовили для вас пошаговое руководство от начала и до конца о том, как избавиться от вирусов.

    Обнаружение вируса

    Прежде чем углубиться в процесс очистки вашего компьютера, важно убедиться в том, есть ли у вас вирус или нет. Вот несколько явных признаков того, что компьютер может быть заражен вирусом:


    Метод 1: Сканирование

    Перед началом процесса удаления вирусов, проверьте, чтобы у вас были сделаны резервные копии всех ваших самых важных файлов. Это гарантирует вам, что все ценные файлы будут в безопасности, после чего можно будет начинать процесс очистки компьютера. Самое лучшее – это просканировать все ваши персональные данные перед тем, как вы скопируете их на какой-нибудь внешний жесткий диск. Существует множество программ для удаления шпионов/вирусов/вредоносных программ, причем большинство из них – бесплатные. Например, два бесплатных сканера для лечения вашего ПК всего за пару шагов: Panda Cloud Cleaner и Panda Cloud Cleaner для аварийного USB, которые мы обсудим чуть ниже.

    После завершения сканирования вы получите сводную информацию о найденных вредоносных программах. Проверьте список обнаружений, чтобы случайно не удалить легитимные программы и быть уверенным в том, что были удалены именно вредоносные программы. Затем перезагрузите ПК и проверьте его работу и быстродействие. Попробуйте открыть браузер или любую другую программу, с которой у вас ранее были проблемы. Если ваш компьютер стал работать хорошо, значит, скорее всего, он теперь свободен от вирусов.

    Метод 2: Аварийный диск/USB

    Если ваш компьютер не может запуститься в результате вируса, то вам необходимо использовать аварийный диск или USB. Аварийный USB позволяет вам сканировать компьютер без необходимости запуска его системы. Используя другой компьютер, скачайте ISO-образ файлов, предоставляемых вашей антивирусной компанией, и запишите их на диск или USB.

    Метод 3: Ручное удаление вируса

    Некоторые вирусы могут быть удалены только вручную. Но делать это можно только в том случае, если вы хорошо знаете Windows и знаете, как просматривать и удалять программные файлы. Если вы чувствуете себя вполне уверенно, то скачайте AutoRuns, который позволяет вам точно увидеть, что именно работает на вашем компьютере и как можно от этого избавиться. После того, как вы загрузили AutoRuns, проверьте, что он находится в удобном месте (папке), куда вы сможете быстро обратиться позже при необходимости.

    Запустите программу и помните, что есть множество моментов, которые могут быть незнакомы. Чтобы упростить процесс, отключите отчетность о некоторых подписанных службах Microsoft и программах, о которых вы точно знаете, что они не являются вредоносными. Отфильтруйте параметры, чтобы проверять подписи кода, включите пустые локации и скройте записи Microsoft.

    Затем перезагрузите ПК в безопасном режиме с поддержкой сети. Это позволит вам использовать Интернет для поиска этих подозрительных программ, которые загружаются вместе с вашим компьютером. Запустите программу AutoRuns и начните поиск подозрительных объектов.

    Это может занять много ресурсов и времени, но это важно для поиска вирусов. Обращайте внимание на название файлов и их местоположение, проверяйте легитимность названия с помощью его поиска в Интернете идентификатора процесса, который может помочь вам понять, что за процесс и является ли он потенциальной угрозой. Проверьте вкладки входа в систему и службы, где будет представлена отфильтрованная для вас информация. Также для тщательного анализа потратьте еще время, чтобы пройтись по этим процессам.

    Если можете, записывайте местоположение файлов и любой другой соответствующей информации перед тем, как удалять ее. Нажмите правой кнопкой на вредоносной программе и удалите ее. Удалите все связанные файлы, причем удаляйте по одному объекту за раз для обеспечения безопасности. После того как вы удалите вредоносные программы и файлы, проверьте, что ваша корзина на рабочем столе пуста и снова перезагрузите ваш компьютер.


    Удаление вируса с Mac

    Чтобы предотвратить вирус, загрузите безопасную антивирусную систему на ваш компьютер, если таковой еще у вас нет. Обновляйте ваши программы так часто, как вы можете это делать, т.к. вирусы постоянно меняются и обновляются, чтобы перехитрить вашу систему. Кроме того, регулярно делайте резервную копию ваших данных, чтобы исключить потерю важных файлов, даже если система будет заражена вирусом. Будьте осторожны с электронными письмами, которые вы получаете, и не открывайте подозрительные письма, ссылки или файлы.

    Удаление вирусов из Android Phone

    Если вы думаете, что ваш смартфон с Android был заражен вирусом, при проверке этого можно использовать те же самые правила. Если наблюдается всплеск обращения к данным, появились нежелательные приложения или внезапные всплывающие окна, то у вас может быть вирус. Если вы стали замечать, что заряд вашего телефона стал быстро исчезать, то это также может быть связано с вирусом (хотя и не всегда). Существует несколько шагов для удаления вирусов с телефона на базе Android.

    Вы можете удалить вирус, запустив ваш телефон или планшет в безопасном режиме. Это предотвратит запуск сторонних приложений, включая и вредоносные программы. Нажмите кнопку питания для доступа к опциям выключения питания, а затем нажмите кнопку для перезагрузки в безопасном режиме. После загрузки в безопасном режиме вы можете открывать Настройки и выбрать Приложения или Менеджер приложений.

    Теперь у вас будет возможность вернуться в меню приложений и удалить требуемые приложения. Теперь, после удаления вируса, перезагрузите ваше устройство и выключите безопасный режим. После удаления вируса обязательно сделайте резервные копии важных файлов с вашего устройства и установите антивирус для Android, чтобы избежать проблем в будущем.

    Читайте о симптомах, которые сигнализируют о наличии на компьютере вируса. Как на вирусы реагирует компьютер, антивирусная программа или браузер. Вредоносные программы или вирусы могут повергнуть ваш компьютер в хаос. Они могут деактивировать антивирусную программу и сделать компьютер уязвимым для другого вредоносного программного обеспечения, мешать нормальному функционированию компьютера или повредить файлы операционной системы.


    Вирусы вымогатели шифруют данные пользователей таким образом, что их практически невозможно расшифровать или восстановить. Вирусы могут получить доступ к любым данным, будь то личные файлы, банковские данные или пароли пользователя, а также создавать двойники аккаунтов.

    Что же делать чтобы защитить себя и компьютер от вирусов? Начать необходимо с установки антивирусной программы. Также не помешает освоить навыки безопасного пользования ПК. Частой причиной заражения компьютера вирусами или другим вредоносным ПО есть отсутствие компьютерной грамотности пользователя, которую также стоит подтянуть.

    Новые виды вирусов и вредоносных программ появляются всё время, поэтому они не всегда могут определяются каждой антивирусной программой, по крайней мере до того момента пока не будут внесены в базу данных сигнатур вирусов. Такие свежие вирусы могут попасть в систему и пройти все программные средства защиты.

    Если вы случайно скачали подозрительный файл, который содержит вирус или кликнули на вложении в email, ваша система может быть инфицирована такими вирусами как: Trojan, Rootkit, Worm, Backdoor, Junkware или Malware. Поэтому, прежде чем кликать на неизвестном файле или ссылке лучше подумать дважды и следить за тем, чтобы установленная на вашем компьютере антивирусная программа была с актуальными антивирусными сигнатурами.

    Итак, как же определить, что ваш компьютер заражен вирусами? Вот несколько явных признаков, которые сигнализируют о том, что на компьютере присутствуют вирусы или другое вредоносное ПО:

    А теперь детально:

    Ваша антивирусная программа деактивирована (отключена).

    Некоторые типы вредоносных программ могут деактивировать или отключить антивирусную программу или антивирусное решение для защиты интернет пользователей (internet security suite). В таком случае вредоносные программы могут свободно проникнуть на компьютер, украсть или повредить данные. Существует много типов вредоносного ПО, некоторые нацелены на повреждение или уничтожение данных, другие шифруют файлы и вымогают оплату за возобновление к ним доступа. Попытки переустановить или установить заново антивирусное ПО, такими вирусами могут также блокироваться. Установившись на компьютер, вирусы могут вносить изменения в реестр, которые будут блокировать установку антивирусных программ.


    Антивирусная программа сообщает о наличии на компьютере вирусов.

    Наилучшим способом определить наличие на компьютере вирусов есть наличие соответствующих сообщений антивирусной программы или брандмауэра. Брандмауэр – это мощный инструмент защиты, который контролирует всё что загружается на компьютер из Интернета и из компьютера в Интернет. Поэтому, лучше если на компьютере будут одновременно активированы и антивирусная программа, и брандмауэр.


    Компьютер работает медленно или тормозит.

    Если компьютер начал работать медленнее чем обычно или тормозить, это также является признаком того, что он заражен вредоносным ПО. Чтобы определить, что именно является причиной неправильной работы ПК достаточно открыть диспетчер задач и просмотреть список запущенных программ и процессов.


    Если какое-то неизвестное приложение использует много ресурсов процессора, оно может и быть вирусом. Также, вирус может своей деятельностью использовать ресурсы жесткого диска. Такая активность вредоносных программ может значительно снизить производительность компьютера. Rootkit программы (вид вирусов) могут также влиять на продолжительность загрузки операционной системы во время включения компьютера или его отключения, а также быть причиной зависаний.

    Браузер перенаправляет на другие сайты или не запускается.

    Проблемы в работе браузера являются ключевым признаком того, что безопасность компьютера нарушена. Например, осуществляя поиск информации или сайта с помощью Google вы обнаруживаете, что, переходя по ссылке нужного сайта вы попадаете не на него, а на рекламный сайт, который вы не искали и никогда раннее на него не переходили. Браузер также может начать медленно работать или зависать, может появится большое количество надстроек или расширений, при наличии Интернет соединения браузер не может подключиться к сети, и т.д. Всё это свидетельствует о наличии вирусов или вредоносного ПО на компьютере.

    Компьютер работает со сбоями или зависает во время перезагрузки.

    Руткит или вирус могут стать причиной нестабильной работы операционной системы или даже вносить изменения в master boot record (MBR). В результате, в работе компьютера появятся сбои, что со временем приведёт к появлению ошибок синего экрана (BSOD) и зависаний. Это типичный признак заражения компьютера вирусами.


    Это только самые распространённые способы определения наличия на компьютере вирусов, вредоносных программ (malware) или программ вымогателей (ransomware), и их симптомы. И то как быстро пользователь сможет разобраться с такими программами на своём ПК зависит сохранность его данных и файлов.

    Если же, в результате заражения компьютера вирусами или деятельности вредоносных программ, ваш компьютер утратил работоспособность, восстановить которую возможно только переустановкой операционной системы или форматированием жесткого диска, а как результат ваши данные были утеряны или повреждены, вы их можете восстановить с помощью программы для восстановления данных Hetman Partition Recovery. Также, рекомендуем воспользоваться одним из способов, описанных в других статьях нашего блога.


    Компания BitSight, которая занимается оценкой уровня кибербезопасности, опубликовала отчет по контенту торрент-сервисов. Исследователи установили, что 43% приложений и 39% игр, распространяющихся через торрент-трекеры, содержат в себе вирусы.

    Авторы отчета подчеркнули, что пиратские программы и игры гораздо опаснее для компьютера, чем музыка или видео.

    А что пираты-пикабушники думают на этот счет? Были ли у вас случаи, когда пиратский контент оказывался "троянским конем"?


    ахххахаха.. причём как правило вирус сам себя предлагает установить в виде: "яндекс бар Ннннадааа?"

    Для того, чтобы поиграть в пиратскую игру, её нужно взломать. А для того, чтобы взломать, как бы вирус и нужен. И ничего удивительного в том, что в играх содержатся вирусы, большинство из них безвредны для самого компьютера.

    посоны я тут тоже поискал, покачал, а может и не покачал, короч 90% игр имеют вирусы. Верьте мне.

    80% пользователей называют системник "процессором", а монитор "телевизором". Им срать на вирусы в компе, лишь бы не платить ни за что, а в случае краха системы, всегда найдётся сосед кулхацкер 80лвл.

    ану постчитайте, сколько пиратских антивирусов содержат вирусы

    И так, антивирус жалуется на кряки в почти любой игре или программе, из-за измененного экзешника.

    К моему счастью антивирус удалял сразу файл при закачке. 1 раз такое с Dragon Age:Inquisition было, а так всегда без вирусов.

    Мне вот интересно, при чем тут на картинке справа, ассемблерный код на ДОС ?

    Дважды со свежими игрушками ловил. Один вирусячий шёл явным, второй шёл скрытым - нарисовал мне папку в документах, но прописался в автозапуске и тем самым сдал себя с потрохами. Учитывая, что никаких финансовых операций на домашнем ПК не совершаю, винда забэкапена - никакого вреда с раздачами пока не получил. Качал, качаю и буду качать.

    Конечно были, и часто, но я хз из игор ли или интернета, порой утилита Касперского выцепляет какой-нибудь троян или майнер.

    Как ни странно, но когда я лет 10 назад был пиратом, то постоянно то винду переустанавливал, то чистил комп от всего. Сейчас, когда из пиратского у меня остались только редкие фильмы и сериалы, винда держится уже много лет. Есть тут связь, нет – не важно. Можно считать, что с 2000 по 2010 год был бум вирусов, когда люди не шарили, хакеры хотели захватить мир. Хз, хз, может и так.

    Тут дело в изменении типа популярных вирусов, раньше часто встречались черви, а сейчас большинство трояны, которые винде не вредят.

    чувак ты случаем не депутат? нимб срать не мешает? такой бл*адь бреедддд.

    Такое ощущение, что мой личный выбор тебе всю жизнь испортил. Я ж не веган какой-то, просто покупаю игры и использую либре офис =(

    твое утверждение звучит как "у меня лицуха, я не переустанавливал винду уже много лет. на пиратках одни вирусы" и это никак не связано с реальностью.

    у меня например одни пиратки, я тоже винду давно не переустанавливал, никаких проблем нет. причем у меня антивирус не стоит даже.

    ты просто меньше порнухи смотреть с 2010 стал.

    Вообще-то, если бы внимательно прочитал, то в твоей трактовки я написал:

    "У меня лицуха, и я не переустанавливал винду уже много лет. Есть тут связь, нет связи – не суть важно"

    самое смешное, что в реалиях, в конторах которые занимаются борьбой с лицензиями, лицензиями и не пахнет в силу нехватки людей разбирающихся в лицензиях))

    Когда я работал в гос. конторе, у нас был полный сейф закупленных лицензий винды, офисов и других нужных программ. Только использовались они лишь один раз, при самой первой установке, а дальше всегда было проще диск с собственноручно сделанным "зверем" накатить со всеми нужными программами. Раз в пару лет перед проверкой чистили, а потом всё равно возвращались к диску. Лень и удобство делает своё дело.

    Не помню уже что бы что-то скачаное было без вирусни)

    Из репакеров только у Seyter косяки были. В свои репаки пихать стал бит-койнт майнеры.

    Есть проверенные репакоделы.

    На одну игру есть штук 10 вариантов раздачи. Очевидно, что среди них есть вирусы.

    при чем тут репакоделы? не они ексешник крякают.

    Раздачи проверяются перед тем, как их выкладывают в общий доступ. Не везде, конечно, но тем не менее.

    Пока нет, хотя лицушный нод появился у меня тока год назад =) Нод не орал, до этого вирусни у себя не помню.

    нет. качаю у проверенных и признанных репакеров.

    ну и что? ексешник игры они же не из пальца высасывают, они берут их из релизов команд крякеров, которые в свою очередь могли пихнуть туда чего захотят (как это было с биткоин майнером в кряке к watch dogs)

    что значит самое лучшее и подозрительное? и как они это проверяют?

    по твоему они ексешник этот дебажат, чтобы выловить "подозрительные моменты"? им что делать больше нечего?

    чем сильнее степень коррекции екзешника, тем подозрительнее.

    например, nop-коррекция явно самая безопасная, а выяснить что изменено можно простым бинарным сравнением исходного(или исходного распакованного) и результирующего файла.

    также достаточно сравнить загрузку процессора на разных версиях крякнутой программы.

    фаервол даст информацию о том, куда взломанная программа ломиться.

    process explorer даст информацию об открываемых файлах.

    всё довольно просто и не требуется бегать по ассемблеру.

    т.е. по твоему репакеры этим занимаются?

    И не только этим.

    а где пруфы? какие трекеры исследовались и т.д.?
    Последние

    20 лет пользую бесплатную Avira Antivirus и отключенный автозапуск с флешек и прочего. На всех новых компах (дома, друзья, работа) первая операция - всё нахрен отформатировать и установить винду по своему (да, лицензию сношу и ставлю скачанное на торрентах). Жалоб нет.
    Я не оспариваю наличие вирусов, но как-то всё это мимо идёт.

    вводить номер карты только с телефона ios, на компе максимум профукаете контакт, больше нечего трояны не сопрут, если вы не агент

    Решение проблемы с пропажей места на жестком диске

    С пару недель я страдал от постоянной нехватки места на компьютере на Windows 10. Стоило мне что-то удалить, как через какое-то время свободное место на диске становилось равно нулю. Поиски по интернету далеко не сразу привели меня к решению этой проблемы, по этому решил поделиться с вами вот здесь, мало ли кому пригодится.

    Запустив программу SpaceSniffer (от имени Администратора), я увидел, что папка c\windows\temp занимает около 50% объема диска. Внутри обнаружилось десятки тысяч файлов под названиями Appx. и тд. И вы сейчас скажете, что всего лишь то нужно было почистить Temp, а я тут целый пост развожу. Я тоже так думал, но после удаления файлов - проблема не решилась - файлы опять начали генерироваться с бешенной скоростью. А вот теперь перейдем к корню проблемы.

    Идем в Настройки, Конфиденциальность и во вкладках Фоновые приложения и Диагностика приложения - сверху переключаем триггер в состояние Отключить.

    Вот и все. Если подробнее, то какие-то службы винды, а именно магазина создавали кучу ошибок, логи которых как раз и забивали место не диске.

    Надеюсь, кому-то спасу много часов :)


    Криптоджекинг. Разбор случайного вируса-майнера под Windows.

    Как-то раз на неделе обратился ко мне коллега из офиса, говорит, что его домашний компьютер вдруг начинает жутко лагать, самопроизвольно перезагружается, и т.п.
    Я взялся посмотреть, что же это было.
    Первым делом была проверена автозагрузка процессов и служб, как обычно делает большинство "мастеров", думая, что они при отключении там чего-либо полностью излечили компьютер от вирусов. Может быть раньше, со всякими WinLocker'ами или рекламными баннерами этот трюк и прокатывал, но времена меняются, и теперь технологии другие. В винде любых версий есть старые дыры, но вполне функциональные. Итак, первое, что видно при включении ЭВМ - открывается вот такое вот окошко (скрин не было сделать возможности с него, звиняйте, скрины пойдут дальше):


    В автозагрузке, повторюсь всё в порядке:


    После того, как компьютер был штатно заштопан двумя разными антивирусами, возникла идея исследовать этот файл, который система начала загружать. Но не всё оказалось так просто.
    Итак, дальше расписано по шагам, каким образом работает этот вирус, и к какому конечному результату это приводит.

    Шаг 0. Попадание первичного файла в систему.
    Для того, чтобы в системе MS Windows инициировался какой-либо процесс, что-то должно его запускать. В первых версиях вирусов - ярлык вируса просто кидался в папку автозагрузки программ, в Windows 7 она находится по адресу:
    %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
    Потом вирусы стали добавляться в ветви реестра [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] и то же самое в разделе HKEY_LOCAL_MACHINE, откуда удалить их было уже не так просто. Но оказалось, что в автозагрузку эти файлы можно и не добавлять, чтобы не провоцировать простенькие антивирусы. В системе существует "Планировщик заданий" (mmc.exe), куда прекрасно можно добавить задачу автозапуска какой-либо программы, и даже целую исполняемую часть командной строки (сценарий):


    В таком случае на действия начинают реагировать лишь единицы антивирусов, никакие а**сты, макаффи и т.п. фри версии антивирей туда по большей части даже не суются.
    Итак, я попытался зайти на тот адрес из окна (http://f******r.com/) в веб-браузере. Но, попробовав ввести тот адрес, да и вообще, какой бы адрес я не открывал, я получал заглушку на nginx:


    Дальше я стал копать и выяснил, что бирюзовое окно - это рабочее окно системы BITS (Background Intelligent Transfer Service). Изначально он предназначен для быстрой передачи данных по специальному протоколу через команды приложений. Как оказалось, именно этот протокол (с 2016 года, по версии xakep.ru) стал часть использоваться для загрузки вирусов. Поэтому я подключился через этот протокол, используя команды PowerShell по оригинальному адресу:


    И, вуаля, я получил какой-то файл, весом гораздо больше пустой веб-страницы:


    Видимо, на сервере специальным образом настроены порты, чтобы при обращении именно от BITS был отправлен экземпляр этого файла. При этом, как выяснилось, неважно, какое название у архива - всегда будет получен тот же файл. Давайте исследуем его.
    Шаг 1: Первичный файл загружен. Что это?
    Я открыл файл в Hex-редакторе, чтобы распознать тип. Начинается он с MZP, значит файл исполняемый. В файле была обнаружена сигнатура Inno Setup, стало ясно, что это - файл инсталлятора чего-либо:


    Шаг 2. Вместо установки этого файла я воспользовался утилитой Inno Unpacker, которая дала мне следующие файлы, содержащиеся внутри проекта:


    Собственно, как оказалось, программа никаких файлов в себе не содержала - только скрипт install_script с описанием установщика, а так же скомпилированный фрагмент кода, выполненного на паскале. Вот файл скрипта:


    Обратите внимание на параметры [Setup], а именно название программы, и выходное имя файла OutputBasenameFile (оно совпадает кое с чем на первой картинке).
    Шаг 3. Также неизвестным оставался код программы CompiledCode.bin. Для того, чтобы расшифровать его, я воспользовался декомпилятором паскаль-фрагмента кода:


    Шаг 4. Стало ясно, что данные внутри кода немного зашифрованы (обфусцированы) от посторонних глаз. Немного видоизменив код, я интерпретировал его на FreePascal'е, и получил следующий результат:




    Внутри инсталлятора (MSICEE2.msi) оказались два файла: unzip.exe и vcruntime140.lib.zip. Во втором архиве ещё два файла, но он запаролен. Для начала я исследовал файл unzip.exe:


    Оказалось, что этот файл является неизмененной копией утилиты для систем Windows 2005 года, которая называется "Info-Zip UnZip", и являющейся простым распаковщиком zip-файлов. Вот, что будет, если её запустить:



    Шаг 6. В одной из строчек виден пароль от архива: IBM644. Но обычный архиватор этот пароль не принимает - распаковываются файлы только оригинальным UnZip'ом при помощи этой команды.
    Все файлы внутри архива - исполняемые библиотеки для системы типа dll или lib. Написаны они на C, декомпилировать их я смысла не видел. Возможно, именно в них содержится блок, занимающийся копированием вируса в системе, но так глубоко я их не копал. В песочнице после их регистрации в системе (папка TEMP) появился следующий файл: [612A9A]. Смотрим, что у него внутри:


    Этот файл представляет собой json - конфиг, в котором видно ключевое слово CryptoNight и URL, логин и пароль от майнинг-сервера. Данный майнер майнит монету "Monero". Данный файл подозрительно совпадает с конфиг-файлом для Windows-версии майнера "****Rig":


    Скормив этот конфиг исполняемому файлу майнера (оконной версии), загруженному из интернета, действительно компьютер получил настоящую "работу", и видео при этом стало жутко лагать. В оригинальном конфиге прописано также исполнение без gui (фоновым процессом - никаких окон).


    Собственно, это и есть конечный результат. Помайнил 10 секунд для него, чтобы сделать вам скрин, надеюсь, что вырученных за это время денег автору хватит как минимум на два билета до Канарских островов. Итого имеем сложный файл, прописывающий себя в нескольких местах системы, работающий на языках Pascal и C++, в итоге приводящий к запланированному запуску майнера. Берегите свои компьютеры. С вами был Kekovsky, специально для pikabu.

    Читайте также:

    Пожалуйста, не занимайтесь самолечением!
    При симпотмах заболевания - обратитесь к врачу.

    Copyright © Иммунитет и инфекции