| IFK | IRB | INFORLEX | GAZETA PRAWNA | INFORORGANIZER | APLIKACJA MOBILNA | PRACA W INFOR | SKLEP
reklama
Jesteś tutaj: STRONA GŁÓWNA > Moja firma > Biznes > Firma > e-Firma > Programy dla firm > Gry online i oszustwa - czyli źródło łatwych pieniędzy

Gry online i oszustwa - czyli źródło łatwych pieniędzy

Wszyscy w coś gramy. Niektórzy preferują gry sportowe, inni hazardowe, są też tacy, dla których samo życie to gra. Gry komputerowe stały się powszechnym zjawiskiem - grają w nie miliony ludzi. Niektórzy lubią Tetris, inni wybierają Counter Strike, ale wszyscy dobrze się bawią.

Ewolucja szkodliwego oprogramowania do kradzieży haseł


Ewolucja ta opiera się na doborze naturalnym. Programy antywirusowe stanowią pierwszą linię obrony dla komputerów i odgrywają znaczącą rolę w ewolucji szkodliwego oprogramowania przeznaczonego do kradzieży haseł do gier online. Im silniejsza obrona, tym trudniej jest ją obejść, co powoduje, że szkodliwe oprogramowanie staje się coraz bardziej złożone.


Pierwsze szkodliwe programy dla gier online były prymitywne, dzisiaj jednak wykorzystują najnowsze technologie. Nastąpiła tu potrójna ewolucja: ewolucja funkcji kradzieży haseł, które zapewniają również dostarczenie danych szkodliwemu użytkownikowi (Trojan-PSW, Trojan-Spy); ewolucja technik rozprzestrzeniania (robaki i wirusy); ewolucja technik autoochrony szkodliwego oprogramowania przed programami antywirusowymi (rootkity, KillAV i pakery).


Trojany


Pierwsze wykorzystanie szkodliwego programu w celu kradzieży haseł do gier online odnotowano w 1997 roku, gdy firmy antywirusowe zaczęły otrzymywać emaile od graczy Ultima Online, zawierające szkodliwe oprogramowanie do analizy. Początkowo, programy te były klasycznymi keyloggerami. Keyloggery to trojany nie posiadające bezpośredniego związku z grami online, które rejestrują wszystkie uderzenia klawiszy użytkownika (łącznie z hasłami do gier online).


Pierwszym szkodliwym programem, którego celem były hasła do gier online, był Trojan-PSW.Win32.Lmir.a. Ten prosty program napisany w języku programowania Delphi pojawił się pod koniec 2002 r. Co pewien, wcześniej zdefiniowany okres czasu, szkodnik ten szukał okien zatytułowanych "Legend of Mir 2", a następnie wysyłał wszystkie wprowadzone do okien dane na adres email szkodliwego użytkownika. Szkodnik ten został stworzony w Chinach.

Pod względem programowania nie był szczególnie oryginalny, nic nie wskazywało również na to, że będzie tak szeroko rozpowszechniony. Jednak ten prosty i niepozorny trojan stał się wkrótce klasyką dla szkodliwych użytkowników zajmujących się kradzieżą haseł do gier online. Jego kod źródłowy został opublikowany w Internecie, a następnie zmodyfikowany dla innych gier online - co było stosunkowo proste. Po tym, jak zmieniła się nazwa atakowanej gry (na przykład na "MapleStory"), trojan kradł hasła do tej gry. Te proste modyfikacje w niedługim czasie spowodowały niepowstrzymany wzrost ilości szkodliwego oprogramowania dla gier online.


Rozpowszechnienie trojana Trojan-PSW.Win32.Lmir oraz ogromna liczba wariantów spowodowane były kilkoma czynnikami:

1.      popularnością gry Legend of Mir, pierwotnego celu trojana Trojan-PSW.Win32.Lmir;

2.      dużą liczbą serwerów obsługujących tę grę;

3.      możliwością rozprzestrzeniania trojanów poprzez wykorzystanie luk w zabezpieczeniach przeglądarki Internet Explorer - szkodliwi użytkownicy włamali się na strony serwerów obsługujących gry i dodali skrypt pobierający i uruchamiający trojana na komputerach graczy;

4.      pojawieniem się ponad 30 konstruktorów Trojan-PSW.Win32.Lmir (Constructor.Win32.Lmir - wyspecjalizowane oprogramowania do tworzenia i konfigurowania trojanów, których celem jest kradzież haseł do gry Legend of Mir 2).


Po tym, jak Trojan-PSW.Win32.Lmir okazał się skuteczny, szkodliwi użytkownicy zaczęli przerabiać program, tak aby jego celem mogły być również inne popularne gry online. Jego następcą był Trojan-PSW.Win32.Nilage (którego celem była gra Lineage 2) oraz Trojan-PSW.Win32.WOW.a (który atakuje graczy World of Warcraft). Trojany te pojawiły się w roku 2004 i 2005 i nadal są najpopularniejszymi programami wśród szkodliwych użytkowników, ponieważ popularność gier, które stanowią ich cel, nadal rośnie. Większość takich trojanów ma na celu kradzież nazw użytkownika i haseł do gier online w tzw. domenach .tw, a następnie przesłanie skradzionych danych na adres email lub serwer FTP w domenie .cn.


Celem większości trojanów są konkretne gry online. Jednak w 2006 r. pojawił się Trojan-PSW.Win32.OnLineGames.a i zaczął kraść hasła do prawie wszystkich popularnych gier online (naturalnie z adresów serwerów, na których zarejestrowały się już ofiary). Lista gier będących celem tego trojana ciągle rośnie.

 

Fragment trojana Trojan-PSW.Win32.OnLineGames.fs,
kradnącego hasła, głównie do gry MapleStory


Współczesny trojan stworzony w celu kradzieży haseł do gier online jest zazwyczaj dynamiczną biblioteką napisaną w języku programowania Delphi, która automatycznie łączy się z wszystkimi aplikacjami uruchomionymi w systemie. Jeśli szkodnik taki wykryje, że uruchomiono grę online, przechwyci hasło wprowadzone za pośrednictwem klawiatury, wyśle dane na adres e-mail szkodliwego użytkownika, a następnie skasuje się. Wykorzystanie dynamicznej biblioteki umożliwia trojanowi zamaskowanie swojej obecności w systemie oraz ułatwia instalowanie trojana na zaatakowanej maszynie przy użyciu trojana droppera, robaka lub innego szkodliwego oprogramowania.


Robaki i wirusy


Ponieważ gry online cieszą się tak dużą popularnością na całym świecie, nietrudno znaleźć gracza wśród przeciętnych internautów. Właśnie dlatego możliwość samodzielnego rozprzestrzeniania się stała się tak istotnym czynnikiem w ewolucji szkodliwego oprogramowania przeznaczonego do kradzieży haseł do gier online. Celem tych programów jest atakowanie jak największej liczby różnych graczy z różnych gier i serwerów.


Pierwszym robakiem kradnącym hasła do gier online był Email-Worm.Win32.Lewor.a. Robak ten wysyłał się na adresy zebrane z książek adresowych w Outlook Expressie na zainfekowanych komputerach. Jeśli robak znajdzie na zainfekowanym komputerze nazwę użytkownika, hasło lub adres serwera dla "Legend of Mir", zapisze te dane na serwerze FTP należącym do szkodliwego użytkownika. Pierwszą masową wysyłkę robaka Email-Worm-Win32.Lewor.a odnotowano na początku czerwca 2004 r.


Autorzy szkodliwych programów przeznaczonych do kradzieży haseł do gier online zaczęli dodawać do swoich "tworów" funkcję samodzielnego rozprzestrzeniania się. Szkodnik miał kopiować się na dyski wymienne z dodatkowym plikiem o nazwie "autorun.inf"; spowodowałoby to uruchomienie szkodliwego programu, po tym jak zainfekowany dysk zostałby podłączony do komputera (jednak do infekcji doszłoby tylko wtedy, gdyby komputer został ustawiony w taki sposób, aby zezwalał na tego typu automatyczne uruchomienie). Gdyby użytkownik podłączył pamięć flash do zainfekowanego komputera, szkodliwy program automatycznie skopiowałby się do pamięci flash, a następnie - po podłączeniu zainfekowanej pamięci do innego komputera - szkodliwy kod zostałby automatycznie uruchomiony, infekując wszystkie inne wymienne dyski.


Wkrótce zaczęły pojawiać się inne rodzaje szkodliwego oprogramowania, które potrafiły infekować pliki wykonywalne i kopiować się do zasobów sieciowych. Takie procedury infekcji dostarczyły twórcom wirusów kolejny sposób rozprzestrzeniania ich tworów, a firmom antywirusowym kolejny problem, na który musiały znaleźć rozwiązanie. Jeśli szkodliwy program potrafi kopiować się do folderów udostępnionych dla wielu użytkowników (np. poprzez P2P lub współdzielone foldery Microsoft Networks), znacznie zwiększa to liczbę potencjalnych ofiar.


Jeden z przykładów szkodliwych programów tej klasy klasyfikowany jest przez firmę Kaspersky Lab jako Worm.Win32.Viking. Następca Vikinga, robak Worm.Win32.Fujack, stanowił kolejny krok w ewolucji masowego rozprzestrzeniania szkodliwych programów dla gier online.


Obecnie najnowszym osiągnięciem osób piszących wirusy dla gier online jest polimorficzny wirus Virus.Win32.Alman.a i jego następca Virus.Win32.Hala.a. Oprócz infekowania plików wykonywalnych, takie szkodliwe programy zawierają funkcjonalność robaka (umiejętność rozprzestrzeniania się za pośrednictwem zasobów sieciowych), funkcjonalność rootkita (umiejętność maskowania swojej obecności w systemie) oraz funkcjonalność backdoora. Zainfekowana maszyna podłączy się do wyznaczonego serwera w celu nadsłuchiwania poleceń szkodliwego użytkownika. Polecenia takie mogą obejmować polecenie pobrania i uruchomienia programów klasyfikowanych przez firmę Kaspersky Lab jako Trojan-PSW.Win32.OnLineGames.

 

Fragment pliku zainfekowanego przez wirusa Virus.Win32.Alman.a


Zarówno Alman.a jak i Hala.a zawiera listę plików wykonywalnych, które nie powinny być infekowane. Oprócz plików należących do innych szkodliwych programów lista zawiera pliki należące do klientów gier online. Dlaczego?


W ramach mechanizmu ochrony zarówno gry online jak i rozwiązania antywirusowe mogą uniemożliwić uruchomienie zmodyfikowanych plików wykonywalnych. Wzięli to pod uwagę szkodliwi użytkownicy, którzy z pewnością nie chcieliby, aby gracze nie mogli grać na zainfekowanych maszynach. W końcu maszyna zainfekowana trojanem Trojan-PSW.Win32.OnLineGames umożliwi cyberprzestępcom zdobycie haseł graczy. 

reklama

Narzędzia przedsiębiorcy

POLECANE

Dotacje dla firm

reklama

Ostatnio na forum

Fundusze unijne

Pomysł na biznes

Eksperci portalu infor.pl

Wojciech Krawczyk

Instruktor American Heart Association (pierwsza pomoc).

Zostań ekspertem portalu Infor.pl »