Эпидемия вредоносных ссылок Steam

В последнее время появился новый вид вредоносного ПО для Steam, который направлен исключительно на кражу ценных предметов из инвентарей пользователей.

Распространяется данная малварь под видом ссылки на изображение в формате *.jpg (http://example.org/example.jpg), которую отправляют всем своим френдам в Steam уже заражённые пользователи. При переходе по ссылке скачивается не файл картинки, а нечто вида случайное_имя.jpg.scr.

Формат SCR - это обычный Windows PE файл (как и exe), используемый для заставок Windows. Такой расчёт скорее всего сделан на невнимательных пользователей двух категорий:

у которых отключено отображение расширений для зарегистрированных типов файлов (по умолчанию в Windows);

тех, у кого первое включено, но он не знает о том, что SCR - это обычный исполняемый файл.

Данное вредоносное ПО создаётся в специальном генераторе, который недавно утёк в паблик на одном известном в узких кругах ресурсе (ныне ссылки уже стёрты, но Интернет ничего не забывает).

Я загрузил экземпляр данного вредоносного ПО в отладчик и провёл небольшой анализ. После запуска SCR файла пользователь таки увидит картинку, но в фоне малварь осуществит следующие действия:

1. получит содержимое инвентаря вошедшего в Steam пользователя;
2. отправит на удалённый сервер куки авторизации клиента Steam;
3. если в инвентаре есть ценные предметы игр TF2 и Dota 2, то переходит дальше, иначе — на шаг 7;
4. создаст виртуальный невидимый рабочий стол;
5. отправит трейд-реквесты со всеми ценными предметами на один из захардкоденых внутри SteamID мошенника (трейд-реквесты появляются на невидимом виртуальном рабочем столе);
6. отправит все имеющиеся в инвентаре подарки (гифты) на один тот же самый SteamID мошенника;
7. получит список друзей Steam заражённого аккаунта и начнёт массовую рассылку по ним ссылки на загрузку своей копии (текст случайный из словаря программы). Окна входящих сообщений подавляются путём вывода на скрытый виртуальный рабочий стол;
8. полностью удалит себя из системы.

Таким образом, современные вирмейкеры поняли, что воровать аккаунты и потом вручную перебрасывать вещи бессмысленно ибо их восстановит саппорт. Украденные новым способом вещи через саппорт вернуть практически невозможно ибо HardwareID и IP совпадают с предыдущими входами и Steam не фиксирует взлома. Доказать наличие вредоноса также не представляется возможным ибо он уже самоуничтожился из системы.

Будьте бдительны и никогда не переходите по ссылкам, которые вам отправляют даже старые друзья.

Источник: https://www.easycoding.org/2014/11/10/epidemiya-vredonosnyx-ssylok-v-steam.html

Мне такие сообщения , раз 10 в день приходят! Сразу пишу жалобу на аккаунт и удаляю ! Мало того , можно заметить , что аккаунты либо только что созданные,либо там практически 0% активности ( мало игр , мало друзей, часов и т.д. ) !

Антивирус всегда работает. Так что х*й им.

Не одного подобного сообщения не получал. Единственное что, так это в друзья неизвестные мне люди добавляются каждый день, сразу игнор или в блок кидаю.

А ко мне добавляются в день по 10 чел вещи продают т к в армию уходят

bkr сказал(а):↑

Антивирус всегда работает. Так что х*й им.

Нажмите, чтобы раскрыть...

говно все эти антивирусы, всегда найдутся вирусы которые обойдут защиту.

А мне никто ничего не присылает. Ах да, у меня же ничего ценного и нет.

Народ, а что за боты ко мне в друзья добавляются? Я хз что с ними делать, я их блокирую и опять добавляются в друзья.

По теме: у меня друг попался на такой сайт теперь его акк раздает спам рассылки на такой сайт для скачки картинки(типо посмотри какую мне вещь подарили).

SD_KroLiK сказал(а):↑

Не одного подобного сообщения не получал. Единственное что, так это в друзья неизвестные мне люди добавляются каждый день, сразу игнор или в блок кидаю.

Нажмите, чтобы раскрыть...

Мне тоже самое! Такое ощущение что это какие то боты.

Каспер съест его с говном.

Раз прислал один бич, затупил на сайте их там пытался войти в акк. , в итоге увидел что фейк, потом смотрю вещи уже уперли бичи, но стим саппорты не дрогнули и вернули всё что было утрачено!)

И сам запостил подозрительную ссылку снизу :thinking:

Ну вообще фейл скрипт не палится антивирусами тут надо глаза иметь самому, а не ололокать и открывать все скриншоты подряд.

• Norman Stimilik.S 20141128 VIPRE Trojan.Win32.Generic!BT  - открывает двери другим троянам и вирусам в систему который может спокойно загрузить злоумышленник....

Так что не факт что вирус спокойно удалится из системы, можно натворить что угодно вплоть до замены реестра, кражи почты и кражи всех известных паролей на системе и повторное их использование когда хозяин восстановит пк заново до рабочего стостояния

Старо как мир.. Если человек не может отличить *.jpg от *.jpg.scr то пускай его дк хуки достанутся тем, кто может.

за ночь по 20 приглашений во френды, втф началось та опять??

Миллиардер36 сказал(а):↑

Мне такие сообщения , раз 10 в день приходят! Сразу пишу жалобу на аккаунт и удаляю ! Мало того , можно заметить , что аккаунты либо только что созданные,либо там практически 0% активности ( мало игр , мало друзей, часов и т.д. ) !

Нажмите, чтобы раскрыть...

ты главное, больше, еще бОльше добавляй в друзья незнакомых личностей - у тебя же нет друзей в реале, иначе ты бы не страдал коллекционированием френдов в сети.

BezMozg сказал(а):↑

Каспер съест его с говном.

Нажмите, чтобы раскрыть...

да, лицуха это круто

GamaFaadar сказал(а):↑

ты главное, больше, еще бОльше добавляй в друзья незнакомых личностей - у тебя же нет друзей в реале, иначе ты бы не страдал коллекционированием френдов в сети.

Нажмите, чтобы раскрыть...

При чем это? Ты о жизни хочешь поговорить,неудачник?

Надеюсь,уже написали письмо на newvirus@kaspersky.com

Не то слово, просто спам боты с троянами. Уже не только с лоунжа боты добавляются а и с стима по никнейму ( если покупаешь какие либо ценные вещи)

Ничего такого не приходило. А вообще не добавляю никого со скрытыми профилями

Каждый день  приходят по 5-10 шт.

ссылки кидают ежедневно левые еще не созданные акки с нулевым лвлом, блокирую,не глядя.

не так давно друг кинул тож чёто, ну как друг,пол года во френд листе, пару раз катали в дотку,но он номр.

Чет началось скачиваться с этой картинки, ну, я отменил. Еще раз попробовал и то же самое. Я этого френда блокнул офк, но похоже рли, "зараженный" и не знает,что всем идет.

AndrewRi сказал(а):↑

В последнее время появился новый вид вредоносного ПО для Steam, который направлен исключительно на кражу ценных предметов из инвентарей пользователей.

Распространяется данная малварь под видом ссылки на изображение в формате *.jpg (http://example.org/example.jpg), которую отправляют всем своим френдам в Steam уже заражённые пользователи. При переходе по ссылке скачивается не файл картинки, а нечто вида случайное_имя.jpg.scr.

Формат SCR - это обычный Windows PE файл (как и exe), используемый для заставок Windows. Такой расчёт скорее всего сделан на невнимательных пользователей двух категорий:

у которых отключено отображение расширений для зарегистрированных типов файлов (по умолчанию в Windows);

тех, у кого первое включено, но он не знает о том, что SCR - это обычный исполняемый файл.

Данное вредоносное ПО создаётся в специальном генераторе, который недавно утёк в паблик на одном известном в узких кругах ресурсе (ныне ссылки уже стёрты, но Интернет ничего не забывает).

Я загрузил экземпляр данного вредоносного ПО в отладчик и провёл небольшой анализ. После запуска SCR файла пользователь таки увидит картинку, но в фоне малварь осуществит следующие действия:

1. получит содержимое инвентаря вошедшего в Steam пользователя;
2. отправит на удалённый сервер куки авторизации клиента Steam;
3. если в инвентаре есть ценные предметы игр TF2 и Dota 2, то переходит дальше, иначе — на шаг 7;
4. создаст виртуальный невидимый рабочий стол;
5. отправит трейд-реквесты со всеми ценными предметами на один из захардкоденых внутри SteamID мошенника (трейд-реквесты появляются на невидимом виртуальном рабочем столе);
6. отправит все имеющиеся в инвентаре подарки (гифты) на один тот же самый SteamID мошенника;
7. получит список друзей Steam заражённого аккаунта и начнёт массовую рассылку по ним ссылки на загрузку своей копии (текст случайный из словаря программы). Окна входящих сообщений подавляются путём вывода на скрытый виртуальный рабочий стол;
8. полностью удалит себя из системы.

Таким образом, современные вирмейкеры поняли, что воровать аккаунты и потом вручную перебрасывать вещи бессмысленно ибо их восстановит саппорт. Украденные новым способом вещи через саппорт вернуть практически невозможно ибо HardwareID и IP совпадают с предыдущими входами и Steam не фиксирует взлома. Доказать наличие вредоноса также не представляется возможным ибо он уже самоуничтожился из системы.

Будьте бдительны и никогда не переходите по ссылкам, которые вам отправляют даже старые друзья.

Источник: https://www.easycoding.org/2014/11/10/epidemiya-vredonosnyx-ssylok-v-steam.html

Нажмите, чтобы раскрыть...

Те, кто сидят на лоундже, видят такие сообщения раз по 100 в день) у меня в чс уже 1000 таких учеток, причем и с 3к часов игры в доте и с 10+ лвл стим. Я сразу таких блокирую и не добавляю

Внимание, вопрос.

Как включить отображение настоящего разрешения в браузере, а то двойное разрешение трюк старый как мир.