PRO вирусы. Версия 4.0 (Холмогоров) - страница 46
Благодаря проведенному аналитиками расследованию удалось установить первопричину «трагедии». Ею оказался троян SteamBurglar. Пока ничего не подозревающий игрок разглядывал в окне чата дорогой предмет, предложенный ему для обмена на какую-нибудь посредственную безделушку, троянец находил в памяти компьютера процесс Steam и вытаскивал из него информацию об имеющейся в арсенале пользователя амуниции. Затем по этому списку выполнялся поиск с использованием ключевых слов rare, mythical, immortal, legendary, arcana и key (список ключевиков можно настраивать в админнистративной панели трояна) — таким образом SteamBurglar выбирал наиболее ценный инвентарь. Найденное барахло троян тут же выставлял на продажу через Steam по весьма выгодной цене. Вырученные деньги поступали на счет вирусописателя.
Рис. 7. Так выглядит билдер — программа для конструирования троянца-стилера SteamBurglar
Сам троян и билдеры (программы для его изготовления) успешно предлагались на читерских форумах, причем трой позволял воровать предметы не только из CS: GO, но и из других игрушек: Dota 2, Team Fortress 2, Warframe. Для рассылки сообщений пользователи SteamBurglar применяли сторонние инструменты, но в декабре 2014 автор выкатил обновление трояна, позволявшее спамить в чаты прямо из приложения-админки. В ответ на возмущенные сообщения пострадавших игроков администрация Steam поначалу отмалчивалась, предлагая обокраденным юзерам самостоятельно искать на страницах маркета аккаунты злодеев и жаловаться на них в техподдержку. Однако под давлением общественности они все-таки изменили процедуру продажи игровых предметов, после чего для совершения подобных сделок потребовалось обязательное подтверждение по электронной почте.
Осенью того же года по Сети начал разгуливать новый троянец, SteamLogger.1, с тем же самым функциональным назначением — кража предметов у игроков Dota 2, CS: GO и Team Fortress 2. Но устроен он был гораздо более замысловато.
Дроппер трояна распространялся с помощью ссылок на читерских сайтах, в социальных сетях и в личных сообщениях. Потенциальной жертве предлагалось купить по дешевке или обменять игровой инвентарь, а подробности сделки она должна была получить по ссылке, при нажатии на которую на компьютер скачивался дроппер троянца. Внутри дроппера в зашифрованном виде хранился сам троян и его сервисный модуль. При запуске исполняемого файла образ дроппера загружался в память, его содержимое расшифровывалось и сохранялось на диск: сервисный модуль в папку %TEMP% под именем update.exe