資訊安全專欄

啥? 玩CS也會中毒? 上到「假的」遊戲伺服器會被植入木馬,大家請小心!

文.圖/Johan 2019-03-14 11:21:38
玩線上遊戲遇到外掛,已經不是什麼新鮮事。畢竟神仙與神仙之間的對決,凡人只要退一步就海闊天空了!但是,現在連用正版的遊戲去連上遊戲伺服器,玩家的電腦竟然會被植入木馬,這就要小心囉!

現在玩家在玩線上遊戲時,要小心別連到「假的」遊戲伺服器,以免幫人免費打廣告 (設計對白)


有毒的CS (絕對武力) 伺服器,會種植木馬,讓玩家幫忙打廣告

大家還有在玩CS (Counter-Strike)系列嗎? 這個由Valve公司自2000年推出到現在,歷經無數次的改版,目前最新的CS:GO版本為1.6,在全世界仍擁有不少的粉絲。此外像是國際性的電競賽事,也有不少CS:GO的比賽項目,讓不少戰隊們搶奪冠軍的寶座。

目前以官方CS 1.6的玩家數量,平均上線人數達到2萬人,至於遊戲伺服器部份,在Steam上面註冊的就超過5,000個。由於有需求就有供給,使得銷售、租賃、推廣遊戲伺服器也成為一項線上服務,而這些都可以在一些提供推廣服務的網站(以下簡稱「推廣服務商」)上購買得到!例如,想要提升伺服器的一週排名,只要花200盧布,成本低廉,使得不少伺服器經營者都會不時花點小錢,來提升其伺服器能見度,讓CS伺服器的業務也變為相當成功的一種商業模式!

許多知名的CS遊戲伺服器擁有者,會透過銷售各種特權來保護玩家,例如防止被Ban,或是能夠購買武器等。有些伺服器擁有者會一直為自己宣傳,或從上述的推廣服務商購買宣傳服務。一旦付費買了這些服務後,客戶們通常不會知道他們的伺服器是如何被推廣服務商廣告宣傳出去的。

其中有位綽號叫做Belonard的推廣服務商,就採用非法的促銷手段,在他的伺服器裡面加入了一隻Trojan(特洛伊木馬),會感染玩家的電腦,並使用他們的帳號,來推廣其他遊戲伺服器。簡單來說,只要玩家們一上了這些有毒的遊戲伺服器,就會被種入ADSL植入木馬,並利用玩家們的資源,來幫其他遊戲伺服器做推廣(打廣告)。

Belonard木馬病毒的運作方式 (取自於Dr.WEB)


已有災情傳出,上線玩時請注意別亂連低ping的Server

這個人是利用玩家們安裝好的CS遊戲程式漏洞,搭配其新撰寫的Trojan,來突破防毒軟體的大門,只要玩家一上該CS的遊戲伺服器,其內的Trojan就會感染玩家的PC,並下載惡意軟體來保護這隻Trojan,同時還會複製自己,並傳染到其他的玩家電腦。他們利用RCE (Remote Code Execution,遠端代碼執行)的漏洞,讓電腦可以受到控制。目前資安公司已經在2部安裝官方CS程式的電腦,以及在4部安裝破解版CS程式的電腦裡,找到這隻病毒!

受感染的電腦中,Belonard Trojan會偷偷修改目前線上的遊戲伺服器列表,並在受感染的電腦上透過proxy(代理伺服器)的方式來散播木馬。一般來說,代理伺服器會顯示較低的ping值,因此可以在其他玩家電腦中,列在遊戲伺服器列表中的頂部,好讓這些倒楣鬼能點到這些被重新定向的惡意伺服器,因而感染到Belonard Trojan。

透過這種傳染方式,Belonard等於透過CS 1.6遊戲伺服器來創造一組殭屍網絡,隨時可以進行特定的攻擊!根據資安公司分析師的資料顯示,目前在官方Steam註冊的5,000台CS伺服器中,就有1,951台是由Belonard Trojan所創造的,佔了39%。因此在不少玩家們玩CS的時候,可能間接幫這位病毒開發者打廣告而不自知,讓病毒開發者舒服躺在家裡數鈔票!

目前這種Trojan攻擊方式可說是非常新的手法。一般來說,使用者必須批准,系統才會允許放行,但只要隱匿在遊戲伺服器裡面,玩家們通常不會注意到順便把Trojan放行進來!使得自己的電腦受感染,成為別人的生財工具!

病毒本身有破綻,可以輕易辨認,讓玩家不會上了賊船

因為Belonard木馬會竄改遊戲伺服器列表,讓玩家一不小心的上了賊船。還好Belonard木馬病毒本身有Bug,在其所建造的假伺服器列表中,Game那欄會顯示成「Counter-Strike」後面接著一個數字(可能是1、2或3),而不是顯示成官方正規的「Counter-Strike 1.6」,玩家們只要看到這欄不是1.6,就大概可以分辨出誰真誰假了!

好在Belonard木馬病毒有Bug,其所建造的假伺服器,在Game那欄會顯示成「Counter-Strike」後面接著一個數字(土黃色底),而不是顯示成官方正規的「Counter-Strike 1.6」,玩家們可以透過這裡來分別誰真誰假 (取自於Dr.WEB)


不過,難保該病毒也會「更新」,將上述的Bug修掉,變成也是1.6,到時候就更難分辨哪些伺服器是假的。目前資安公司已向Valve通報這個遊戲和其他漏洞,就等Valve的回應,以及何時修復這個漏洞了!

有關於Belonard Trojan的運作原理,可參考這裡



發表您的看法

請勿張貼任何涉及冒名、人身攻擊、情緒謾罵、或內容涉及非法的言論。

請勿張貼任何帶有商業或宣傳、廣告用途的垃圾內容及連結。

請勿侵犯個人隱私權,將他人資料公開張貼在留言版內。

請勿重複留言(包括跨版重複留言)或發表與各文章主題無關的文章。

請勿張貼涉及未經證實或明顯傷害個人名譽或企業形象聲譽的文章。

您在留言版發表的內容需自負言論之法律責任,所有言論不代表PCDIY!雜誌立場,違反上述規定之留言,PCDIY!雜誌有權逕行刪除您的留言。